Hallo Florian. Schön, dass wir dich für ein Interview gewinnen konnten. Starten wir doch mit einer Definition: Wie würdest du den Begriff „Awareness“ erklären?
Florian Jörgens: Tatsächlich passt die deutsche Übersetzung „Aufmerksamkeit“ sehr gut. Es geht darum, die Mitarbeiter zu sensibilisieren und ihnen ein gewisses technisches Verständnis beizubringen. Nicht auf dem Niveau von Bits und Bytes, sondern: Es ist nicht immer alles so, wie es scheint. Und was bei Awareness sehr wichtig ist, ist eine gesunde Fehlerkultur innerhalb des Unternehmens, in der niemand wegen eines Fehlers verurteilt wird.
Wie kommt man im Unternehmen am besten zu einer offenen Fehlerkultur?
Florian Jörgens: Grundsätzlich: Jeder Kollege und jede Kollegin, der oder die einen Incident meldet, muss mit Kusshand empfangen werden. Selbst wenn es sich um einen False Positive handelt, geht es darum, aufzuzeigen: „Du hast super reagiert. Vielen Dank, dass du uns hilfst, unser Unternehmen sicherer zu machen.“ Wir hatten einen Fall, der für mich ein Paradebeispiel darstellt. Der Fachbereich war sich bei einer Rechnung nicht sicher, ob sie valide ist, weil sie eine Stammdaten-Änderung und eine neue Bankverbindung enthielt. Wir haben uns das angeschaut und mit den Kollegen Rücksprache gehalten. Es stellte sich heraus, dass es eine valide Rechnung war. So weit, so gut. Dann hat tatsächlich die Geschäftsführung dieses Thema aufgenommen und eine E-Mail an den gesamten Vorwerk-Deutschland-Verteiler geschickt.
Die klang ungefähr so: „Liebe Kollegen, liebe Kolleginnen, hier gab es eine Mail. Der entsprechende Kollege war sich nicht sicher, hat sie an die Security-Abteilung gegeben. Die haben das geprüft. Seid zusammen aware, seid sensibilisiert. Wenn ihr was habt, meldet euch bei den Kollegen, die euch unterstützen.“ Das zeigt, dass niemand Probleme bekommt, wenn mal etwas schief geht.
Glaubst du, es kann irgendwann zu spät sein, Awareness einzuführen im Unternehmen?
Florian Jörgens: Absolut nicht. Es ist immer sinnvoll, zu schulen. Die Informationssicherheit hat einen großen Vorteil: Alles, was wir den Mitarbeitern an die Hand geben, können sie eins zu eins in ihrem privaten Umfeld umsetzen. Jeder von uns hat schon mal solche Mails bekommen: „Dein PayPal-Konto wurde eingeschränkt, klicke hier“ oder „Dein Hermes Paket ist unterwegs“, obwohl ich etwas mit DHL bestellt habe. Insofern werden wir auch permanent im privaten Bereich angegriffen.
Was würdest du der Aussage „Einer wird immer klicken, also kann ich mir Awareness-Maßnahmen sparen.“ entgegensetzen?
Florian Jörgens: Natürlich ist die Aussage Unsinn. Das allgemeine Sicherheits-Level soll angehoben und die Klickraten insgesamt niedriger werden. Ich bekomme keine 0-%-Klickrate bei Phishing-Tests hin. Ziel sollte sein, irgendwo im einstelligen Bereich zu landen. Dann ist das Unternehmen schon sehr gut aufgestellt. Es geht darum, sich so abzusichern, dass für einen Angreifer der Kosten-Nutzen-Aspekt nicht mehr gegeben ist.
Mit welchen Maßnahmen steigerst du bei Vorwerk das Sicherheitsbewusstsein der Mitarbeiter?
Florian Jörgens: Wir sind sehr froh darüber, dass wir eine dedizierte Stelle für den Bereich Awareness haben. Und wir nutzen unterschiedlichste Maßnahmen, angefangen bei klassischen Phishing-Tests über Web-Based-Trainings. Wir haben Podcasts aufgenommen, Live-Hacking gezeigt. Wir haben Schauspieler engagiert, die sich Zutritt zum Gebäude verschafft haben. Diese haben Punkte gesammelt für verschiedene Aufgaben, wie beispielsweise ein präpariertes Notebook stehlen, einen USB-Stick platzieren oder in der Kantine mit den Mitarbeitern essen gehen. Wir machen Quizze. Wir haben einen großen Part für das Thema „Information Security for Family and Kids“ erstellt.
Das ist ein spannender Ansatz. Warum habt ihr auf Familie und Kinder so einen Fokus gelegt in eurem Awareness-Programm?
Florian Jörgens: Der Gedanke war: Wenn Mitarbeiter etwas als so wichtig erachten, dass sie es ihren eigenen Kindern beibringen, ist die Wahrscheinlichkeit sehr hoch, dass sie es im operativen Tagesgeschäft auch einsetzen. Als Beispiel: Wann fängt man als Elternteil wieder an, einen Fahrradhelm zu tragen? Exakt zu dem Zeitpunkt, wenn man mit den Kindern unterwegs ist. Und die Idee haben wir auf die Informationssicherheit übertragen. Es gibt eine ganze Menge fantastisches, kostenloses Material im Internet dazu. Angefangen bei Lego-Anleitungen zu Information Security, zu Cybermobbing etc.. Wir haben Passwortspiele zur Verfügung gestellt. Alles auf Eltern ausgerichtet, die ihren Kindern das Thema Cybersecurity auf eine spielerische Art und Weise näherbringen möchten. Und das hat sehr, sehr positiven Anklang gefunden. Wir haben Rückmeldung bekommen von Eltern, die gefragt haben: „Können wir das in der Schule unserer Kinder teilen?“
Solche Rückmeldungen sind Gold wert. Habt ihr noch weiter beobachtet, ob die Maßnahmen fruchten?
Florian Jörgens: Wir werden eine Umfrage durchführen, um genau das herauszufinden. Dabei wollen wir kein Wissen abfragen, sondern eher ein Gefühl. Die Fragen werden in diese Richtung gehen: „Lieber Mitarbeiter, liebe Mitarbeiterin, wie fühlst du dich aktuell abgeholt? Bist du dir im Klaren darüber, wie du dich zu verhalten hast? Weißt du, wer im Falle eines Cyberangriffs dein zuständiger Ansprechpartner ist? Oder gehen unsere Awareness-Maßnahmen komplett am Ziel vorbei?“
Unsere Leser wird wahrscheinlich brennend interessieren, wie du das Budget für diese Maßnahmen bekommen hast. Wie argumentierst du vor der Geschäftsführung, wenn es um das liebe Geld geht?
Florian Jörgens: Wir haben bei der Vorwerk-Gruppe einen fantastischen Vorstand, der zu 100 Prozent hinter dem Thema steht. Nichtsdestotrotz, wir bekommen natürlich nicht alles blind genehmigt. Das ist nachvollziehbar und auch gar nicht unser Ansatz. Wir sind dazu übergegangen, im Rahmen unserer Kommunikation gegenüber dem Vorstand von einer fiktiven KPI zu sprechen, und zwar vom „Return on ‚Damages not incurred‘“. Denn unser Mehrwert als IT-Sicherheitsteam liegt darin, dass mögliche Schäden gar nicht erst auftreten.
Darüber hinaus ist es sehr hilfreich, sich einen CISO zu schnappen, dessen Unternehmen schonmal von einem Vorfall betroffen war, und diesen für einen Impulsvortrag ins eigene Unternehmen zu holen. Jemanden, der erzählt, wie es ist, wenn alle Montagmorgen ins Büro kommen und nichts mehr funktioniert. Das ist aus meiner Erfahrung wesentlich effektiver, als wenn die Security-Abteilung mit hohen Schadenssummen und möglichen Strafen argumentiert.
Es gibt ja durchaus Unternehmen, in denen das Thema Budget ein sehr schwieriges ist und in denen alle Maßnahmen nicht wirklich zum Erfolg führen.
Florian Jörgens: Den Kollegen aus diesen Unternehmen empfehle ich immer Stepstone. Es gibt andere fantastische Unternehmen. Auch wir sind immer auf der Suche nach Security-Spezialisten. Am Ende des Tages kann man nicht jeden retten. Es ist durchaus ein valides Szenario in der Informationssicherheit, ein Risiko zu akzeptieren und sich zu sagen: „Okay, ich bin in einem Unternehmen, in dem die Security-Stelle eine Alibifunktion hat.
Ich bleibe trotzdem hier.“ Oder man sagt: „Nein, ich möchte tatsächlich etwas verändern. Ich habe einen Security-Anspruch und den möchte ich auch umsetzen.“ Dann sage ich: Change it. Es gibt genug andere Stellen, die aktuell unbesetzt sind.
Was würdest du Sicherheitsverantwortlichen, die neu in der Rolle sind oder gerade das Thema Awareness auf den Tisch bringen möchten, mit auf den Weg geben?
Florian Jörgens: Wenn ich neu starte, brauche ich das Know-How von irgendwo. Wenn ich es nicht selber im Haus habe, hole ich mir Experten dazu, die mir helfen, eine Awareness-Kampagne aufzubauen, mit einem didaktischen Faden, mit der Auswahl der richtigen Formate und Medien. Wie spreche ich eigentlich welche Zielgruppe an? Da gibt es durchaus Unterschiede in einem Unternehmen. Ich habe Mitarbeiter, die technisch affiner sind, weil sie tagtäglich mit dem Computer arbeiten. Auf der anderen Seite habe ich in der Produktion jemanden, der seit 30 Jahren Maschinen repariert. Nichtsdestotrotz arbeiten diese Kollegen aber auch mit nicht digitalen Informationen – abgelegt in Ordnern und Mappen. Das sind Baupläne und Betriebsgeheimnisse und auch diese müssen entsprechend geschützt werden.
Und wie können erfahrene CISOs sich in ihrer Rolle weiterentwickeln?
Ich kann den Kollegen nur ans Herz legen, den Austausch zu suchen. Gerade die Gespräche auf Veranstaltungen und Konferenzen und über LinkedIn weiß ich sehr zu schätzen. Die CISO-Community in Deutschland ist fantastisch und extrem hilfsbereit. Die Angreifer auf der anderen Seite sind ebenfalls gut vernetzt, haben ihre Discord Channel, ihre Foren. Wenn sie ein Unternehmen erfolgreich angegriffen haben, teilen sie ihre Erfahrungen: „Ich bin in das Unternehmen so und so reinkommen. Ach ja, die haben übrigens eine veraltete Apache-Version im Einsatz. Das sind die Zugangsdaten. Ich habe 2 Millionen $ in Bitcoins bekommen.“
Da müssen wir aus Security-Sicht noch hinkommen, dass wir in einen sehr transparenten Austausch gehen in Bezug auf Best Practices, gute und schlechte Anbieter und die eigenen Erfahrungen. Wo kann ich mir Unterstützung holen? Wie habt ihr das Thema gelöst? Oder auch: „Bei uns wurde erfolgreich angegriffen. Die sind über die und die Version reingekommen in Kombination da und damit. Prüft das mal bei euch“. Das erzeugt am Ende des Tages einen großen Mehrwert, von dem alle profitieren können.
Wohin entwickelt sich der Bereich Security Awareness in den nächsten Jahren deiner Meinung nach?
Florian Jörgens: Ich denke, die Awareness-Maßnahmen werden mehr Bedeutung bekommen, aufgrund von zusätzlichen externen regulatorischen Anforderungen. Zum Beispiel durch NIS-2, wenn die neue Richtlinie als ein lokales Gesetz umgesetzt wird. Es wird auch weitergehen in die Richtung der persönlichen Haftung von Geschäftsführern, wo nachgewiesen werden muss, ob die Mitarbeiter geschult wurden. Unabhängig davon – getrieben durch die Digitalisierung – wird die Arbeit mit Informationen immer wichtiger, der Schutz von Informationen wird immer wichtiger. Und am Ende des Tages werden nicht alle Menschen durch Maschinen, durch künstliche Intelligenz, ersetzt werden. Insofern wird Awareness immer ein Thema sein.
Eine abschließende Frage mit Blick auf deine Position: Wie entwickelt sich die Rolle des CISOs bzw. der Security-Verantwortlichen in der nahen Zukunft?
Florian Jörgens: Ich hoffe, dass wir in Deutschland ähnlich wie in den USA dazu kommen werden, dass der CISO näher Richtung Vorstand rückt, oder sogar Teil des Vorstands wird.
Die U.S. Securities and Exchange Commission, die Börsen-Aufsichtsbehörde, fordert von Unternehmen den Nachweis über Cybersecurity Know-how im Board of Members. Das wird wahrscheinlich in Deutschland noch gute zehn Jahre dauern, bis wir dahin kommen.
Unabhängig von der organisatorischen Aufhängung wird der CISO immer mehr zum Generalisten. Er muss näher an das Business herankommen. Ich stelle fest, dass es immer noch vielen Kollegen schwerfällt, die richtige Sprache zu sprechen. Die gehen das OSI-Schichten-Modell durch und sprechen über Bits und Bytes. Es geht aber darum, zu verstehen, was das Business braucht, und dann pragmatische Lösungen zu implementieren, die auch mal eine Ausnahmegenehmigung mit sich bringen. Am Ende des Tages hat die Informationssicherheitsstrategie die Aufgabe, die Business-Strategie zu unterstützen. Beim CISO selbst liegen in den seltensten Fällen vertrauliche Informationen – von einem Audit oder Pentest Reports mal abgesehen. Die Musik spielt in den Fachbereichen und wenn dort etwas passiert, verlieren die Kunden das Vertrauen in den Bereich, den Vertrieb und die Produktion. Also: Liebe Fachbereiche, wir von der Information Security wollen euch helfen, dass ihr weiterhin fantastische Produkte produzieren könnt, dass ihr dem Kunden tollen Support bietet, dass ihr Produkte verkaufen könnt. Wir wollen euch unterstützen. Und wir sind nicht diejenigen, die euch sagen: „Ihr könnt das so und so nicht mehr machen, lasst euch was anderes einfallen.“
Das Informationssicherheitsteam als Möglichmacher, das ist ein tolles Schlusswort. Vielen Dank für deine spannenden Insights.
Das Interview stammt aus dem aktuellen CISO_report der G DATA academy und steht hier zum Download bereit.
