Wie würden Sie Ihre Rolle als Allianz-CISO beschreiben?

Fabian Topp: Das Zielbild des CISO ist noch nicht vollumfänglich definiert und variiert stark. Organisatorisch berichte ich an unseren COO und mein Job ist es, den Finger in die Wunde zu legen. Neben der Informationssicherheit verantworte ich unter anderem auch das Business- und das IT-Service-Continuity-Management. Diesbezüglich bieten wir unseren Asset-Ownern Beratung an, wir definieren Prozesse und betreiben Governance.

Was sind dabei die größten Hürden?

Fabian Topp: Das Stress-Level ist hoch. Die IT läuft im roten Bereich des Drehzahlmessers und ich glaube, bei uns in der Informationssicherheit ist das nochmals verschärft. Da muss man mit Augenmaß agieren und akzeptieren, dass es nicht für alle Probleme technische Lösungen gibt - der Faktor Mensch wird in unserem Job oft unterschätzt. Ich versuche, für meine Führungskräfte und ihre Herausforderungen stets eine mentale Stütze zu sein und gleichzeitig unsere Stakeholder-Interessen im Auge zu behalten.

Das klingt nach einem eher weichen Führungsstil. Funktioniert das?

Fabian Topp: Natürlich. Vertrauen ist die Basis unserer Zusammenarbeit. Führung funktioniert im hoch komplexen und schnellen Geschäft wie dem unseren nur so. Ich will mich doch auf unsere Aktivitäten konzentrieren und mich nicht in der Detail-Steuerung verlieren. Dafür benötige ich ein Konzept, das mir schnell und valide Informationen als Entscheidungsgrundlage liefert.

Wie identifizieren Sie denn die Kronjuwelen ihrer stark fragmentierten IT-Landschaft?

Fabian Topp: Als Allianz Technology (die global operierende Shared-Services-Gesellschaft der Allianz SE, Anm. d. Red.) haben wir uns die Mühe gemacht, unsere Assets exakt zu definieren, zu katalogisieren und in einer strukturieren Form in eine Configuration Management Database - kurz CMDB zu bringen. Ein IT-Service kann demzufolge aus mehreren Hundert Configuration Items (CI) bestehen.

Das geht von der Beschreibung des Business-Prozesses unserer Kunden über die Vertragsgestaltung des IT-Services bis hinunter zum letzten Server. Diese Services überprüfen und mitigieren wir regelmäßig teilautomatisiert. Daraus leiten wir dann risikobasiert unsere Kronjuwelen ab.

Die mittelständische Industrie in Deutschland hat das Thema Cyber Security lange Zeit verschlafen. Welche Empfehlungen würden Sie ihren Kollegen aus anderen Unternehmen geben?

Fabian Topp: Wir sehen hier eine gewisse Schieflage. Ein Großteil unserer Wirtschaftsleistung wird zwar vom Mittelstand und den Hidden Champions erbracht. Doch den meisten finanziellen Aufwand für Cyber Security betreiben nach wie vor die großen Player. Das passt noch nicht zusammen. Politik und Wirtschaft müssen sich etwas einfallen lassen!

Für viele Mittelständler ist das Thema Cyber Security eine Herausforderung, die sich nur mit hohen Investitionen meistern lässt. Können Managed Security Services dazu beitragen, den Aufwand der internen IT zu reduzieren, oder plädieren Sie dafür, das Thema Sicherheit im eigenen Haus zu belassen?

Fabian Topp: Wenn wir von Verantwortung sprechen, differenzieren wir in unserem Haus zwischen Accountability und Responsibilty. Ein Accountable haftet für sein Asset, er ist also ein Manager. Dessen Verantwortung ist nicht teilbar und lässt sich nicht delegieren. Responsible hingegen ist jemand, der etwas letztendlich tun muss. Dessen Aufgaben können sehr wohl von Managed Services erbracht werden. Aus diesem Grund haben wir zum Beispiel mit der DCSO (Deutsche Cyber-Sicherheitsorganisation) einen branchenübergreifenden Anbieter mit ins Leben gerufen.

Welche sind die wichtigsten Themen, mit denen Sie sich 2020 beschäftigen?

Fabian Topp: Ein "Attack-as-a-Service" ist bereits Realität. Wir müssen daher unsere Angriffsfläche minimieren, unsere Expertise steigern und noch stärker kooperieren. Jeder für sich muss definieren, was digitale Souveränität für ihn bedeutet und was wie verteidigt werden muss. Neben dem "Business as usual", das wir alle haben, versuchen wir, den berühmten Schritt voraus zu sein. Wir kooperieren daher zum Beispiel mit einer namhaften deutschen Universität und in unseren Netzwerken.

Auf internationaler Ebene vertreten wir die Versicherungsbranche etwa in der Initiative "Charter of Trust" und beschäftigen uns unter anderem mit den Themen Bildung, Wertschöpfungskette, Zertifizierungen und einer effizienten Governance im Rahmen der Informationssicherheit.