CERN-IT-Sicherheitschef Stefan Lüders

"Wir leben ByoD seit 20 Jahren"

17.02.2015
Von 


Simon Hülsbömer betreut als Senior Project Manager Research Studienprojekte in der IDG-Marktforschung. Zuvor verantwortete er als Program Manager die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT - inhaltlich ist er nach wie vor für das "Leadership Excellence Program" aktiv. Davor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.

Auch auf Unternehmen übertragbar

CW: Inwiefern ist dieses Modell in die freie Wirtschaft übertragbar?

LÜDERS: Ich habe nie selbst für ein Unternehmen in der freien Wirtschaft gearbeitet. Ich habe aber mit vielen Kollegen von dort zu tun. Unser Modell ist nicht viel anders als das, was wir in der Industrie finden. Der einzige Unterschied zu unserem Modell war lange Zeit, dass es in den Unternehmen eine IT-Abteilung gab, die Kontrolle über die Geräte der Mitarbeiter hatte. Solange das der Fall war, konnte auch das Thema Security zentral verwaltet und organisiert werden, mit allen Konsequenzen.

Mittlerweile hat sich dies durch die "Bring your own Device"-Thematik aber auch in der freien Wirtschaft fast komplett erledigt. Heute stehen die Unternehmen dort, wo wir am CERN schon immer waren. Deshalb ist unser Modell auf jeden Fall in die freie Wirtschaft übertragbar.

Entscheidend ist doch, dass wir den Menschen beibringen, was Computer-Sicherheit bedeutet. Grundlagenwissen vermitteln, idealerweise von klein auf. Auch am CERN arbeiten normale Menschen, die in der Regel kaum eine größere Affinität zum Thema Security besitzen als der Durchschnittsbürger.

Wir erklären unseren Mitarbeitern ja nicht, wie Computer-Sicherheit am CERN funktioniert - wie erklären ihnen, wie sie sich zuhause gegen alle möglichen Gefahren schützen. Was ist Phishing? Warum ist regelmäßiges Patching wichtig? Was passiert mit den Daten, die ich bei Facebook einstelle? Wie kommen Daten abhanden? Was bedeutet ein solcher Datenverlust? Haben die Menschen das erst einmal verstanden, ist es nur noch ein einziger Satz, den Sie ihnen mitgeben müssen: "Jetzt macht Ihr genau das Gleiche für die Computer-Sicherheit nicht nur zuhause, sondern auch am CERN." Damit haben wir den ersten Impuls für ein aktives IT-Security-Bewusstsein gegeben und schon ganz viel gewonnen.

Die Mitarbeiter, die darüber hinaus aktiv eigene Web-Services oder Datenbanken am CERN betreiben möchten, erhalten dann von uns weitergehende Schulungen, die tiefer in bestimmte Aspekte einsteigen. Diese Kandidaten melden sich dann meist aber schon von selbst bei uns, nachdem wir sie mit den genannten Grundlagen versorgt haben.

Das gesamte Vorgehen gleicht selbstredend einem Marathon, bedenkt man die hohe Fluktuation an Mitarbeitern. Ich möchte nicht behaupten, dass wir alle gleichermaßen mit unseren Trainings erreichen können. Aber wir müssen immer am Ball bleiben.

CW: Herr Lüders, vielen Dank für das Gespräch.