IT-Security in der Praxis

Was CISOs bewegt

24.09.2019
Von 
Jens Dose ist Redakteur des CIO Magazins. Neben den Kernthemen rund um CIOs und ihre Projekte beschäftigt er sich auch mit der Rolle des CISO und dessen Aufgabengebiet.
Die IT-Sicherheitsverantwortlichen eines Chemiekonzerns und eines großen Krankenhauses sind sich einig: Aufklärung der Mitarbeiter ist das Gebot der Stunde.

IT-Security-Hersteller sind oft der Meinung, ihre Lösungen träfen genau den Nerv der Zielgruppe. Demnach müssten sich die meisten Betriebe aktuell mit KI, IoT, Datenschutz und Security-Awareness beschäftigen. Die COMPUTERWOCHE hat mit den Security-Entscheidern zweier deutscher Unternehmen den Realitäts-Check gemacht.

Zwei IT-Sicherheitsverantwortliche berichten, was sie wirklich beschäftigt.
Zwei IT-Sicherheitsverantwortliche berichten, was sie wirklich beschäftigt.
Foto: ibreakstock - shutterstock.com

Chemiekonzern Lanxess schult und klassifiziert

Florian Jörgens, Chief Information Security Officer (CISO) des Kölner Chemiekonzerns Lanxess, konzentrierte sich in den letzten 12 Monaten darauf, einem der größten Risiken für moderne Unternehmens-IT entgegenzuwirken. In einer weltweit angelegten Awareness-Kampagne an 73 Standorten galt es, die Mitarbeiter über Angriffsmethoden wie Phishing, Social Engineering und E-Mail-Betrug aufzuklären. Damit soll die Schwachstelle Mensch in einen Schutzschirm verwandelt werden. Die stetig wachsende Digitalisierung macht auch vor der Chemiebranche nicht halt. Dadurch ergeben sich im Bereich der Operational-Technology neue Angriffsszenarien die es entsprechend zu analysieren und zu bewerten gilt.

Florian Jörgens ist Chief Information Security Officer (CISO) bei der Kölner LANXESS Deutschland GmbH.
Florian Jörgens ist Chief Information Security Officer (CISO) bei der Kölner LANXESS Deutschland GmbH.
Foto: LANXESS Deutschland GmbH

Des Weiteren kümmert sich der Lanxess-CISO aktuell mit seinem Team darum, die Cloud-Security des Unternehmens auszubauen sowie Dokumenten-Klassifizierung einzuführen. Letzteres ist bei einem Hersteller mit sensiblem geistigen Eigentum, das meist in Form von Dokumenten vorliegt, ein zentraler IT-Sicherheitsaspekt. Als Schlüsseltechnologie für langfristigen Cyberschutz sieht Jörgens das Trendthema künstliche Intelligenz beziehungsweise Machine Learning. Den größten Nutzen sieht er hier vor allem in den Möglichkeiten zur Malware-Erkennung.

Klinikum Neuss setz auf Sicherheit vor Funktionalität

Auch Klaus Höffgen, Chief Digital Officer (CDO) und Sicherheitsverantwortlicher des Rheinland Klinikum Neuss, schätzt KI als wichtige Ergänzung zu vorhandenen Security-Tools ein. "Sie wird aber nicht das 'Allheilmittel' sein, sondern dedizierte Bereiche der Security-Architektur optimieren", urteilt der Security-Entscheider. Eine Gemeinsamkeit mit Jörgens liegt in umfangreichen Awareness-Maßnahmen, die Höffgen in den kommenden 12 Monaten plant. Hierbei will er nicht nur Web-basierte Trainings nutzen, sondern auch neue Entwicklungen wie Gamification mit einbinden. Zudem sei es wichtig, für unterschiedliche Klinikbereiche individuelle Lernmaterialien und Methoden anbieten zu können.

Klaus Höffgen ist Chief Digital Officer (CDO) und Security-Verantwortlicher des Rheinland Klinikum Neuss.
Klaus Höffgen ist Chief Digital Officer (CDO) und Security-Verantwortlicher des Rheinland Klinikum Neuss.
Foto: Lukaskrankenhaus

Das Klinikum ist aus einer Anfang 2019 abgeschlossenen Fusion der Rhein-Kreis Neuss Kliniken und des Lukaskrankenhauses entstanden. Daher war der Security-Verantwortliche im letzten Jahr mit der Vereinheitlichung der Sicherheitsarchitektur beschäftigt. "Das Lukaskrankenhaus lebt seit einem Cyberangriff von 2016 die Devise 'Sicherheit vor Funktionalität'. Dies gilt es im gesamten Klinikum zu verankern", sagt Höffgen. Da das Krankenhaus viele öffentliche Netzzugänge hat, ist die Optimierung des Network Access Management dabei ein Kernthema. Zudem gelte es die E-Mail-Security weiterzuentwickeln und eine zweistufige Firewall-Architektur zu realisieren.

Des Weiteren verbessern Höffgen und sein Team iterativ das Information Security Management System (ISMS), um auch für zukünftige Anforderungen (KRITIS) gut aufgestellt zu sein.