Teilen
Twittern
Interview mit Vorwerk CISO Florian Jörgens

„Cyber Security ist ein Katz-und-Maus-Spiel“

Teilen
Twittern

Seit dem 1. Juli besetzt Florian Jörgens die Position als Chief Information Security Officer (CISO) bei Vorwerk. Im Interview verrät er, wie er seine Rolle interpretiert, welche Wege es gibt, das Thema Informationssicherheit spannend zu gestalten – und wieso Künstliche Intelligenz mit Blick auf die Cyber Security ein zweischneidiges Schwert ist. 

Florian, was genau macht eigentlich ein CISO?

Per Definition ist der Chief Information Security Officer ganzheitlich verantwortlich für das Thema Informationssicherheit, also für den Schutz von analogen und digitalen Informationen. Zu den klassischen Aufgaben zählen die Weiterentwicklung einer konzernweiten Informationssicherheits-Strategie, die Ergänzung vorhandener Richtlinien und die Umsetzung fortlaufender Schulungen aller Mitarbeiter im Unternehmen. Für mich besonders spannend ist die Verknüpfung zu verschiedenen Teams innerhalb des Unternehmens – wie zum Beispiel Produktion, Einkauf, Vertrieb oder Personalwesen.

Auf welche Aspekte musst du bei der Weiterentwicklung der Informationssicherheits-Strategie am meisten achten, um immer aktuell zu bleiben?

Oberstes Ziel ist es, die wirklich sensiblen Daten innerhalb des Unternehmens zu schützen. Um dieses Ziel zu erreichen, gilt es, bestehende Maßnahmen ständig weiterzuentwicklen. Ein Weg zum Beispiel ist es, Informationen anhand eines 4-Stufen-Modells zu bewerten, um sie anschließend zu klassifizieren. Dabei werden die jeweiligen Informationen einer von vier Kategorien – öffentlich, intern, vertraulich oder geheim – zugeordnet, um deren Sensibilität besser einschätzen zu können.

Schutzmaßnahmen können dabei sowohl technischer Natur sein, etwa ein Anti-Viren-Scanner oder ein System zum Schutz von mobilen Endgeräten, als auch organisatorischer oder prozessualer. Am Ende gilt es zu entscheiden, welche Schutzmaßnahmen bzw. welche Kombination hieraus sich am besten für das eigene Unternehmen eignen.

Wer einmal gesehen hat, wie leicht ein Notebook geknackt werden kann, wird wachsamer.

Du sprichst von Organisation und Prozessen: Welche Rolle spielt der Faktor Mensch beim Thema Cybersicherheit?

Angreifer haben grundsätzlich zwei Optionen bei der Auswahl ihrer Ziele: Systeme oder Anwender. Der Großteil von Cyber-Angriffen benötigt eine Interaktion mit einem Anwender. Dies bedeutet im Umkehrschluss, dass Mitarbeiter und Mitarbeiterinnen als Sicherheitsfaktor der größte Hebel sind. Eine 100%ige Sicherheit ist für Unternehmen dadurch nicht erreichbar. Ziel muss es also sein, Angreifer von außen durch viele kleine Hürden von ihrem Vorhaben abzubringen. Aufmerksame Mitarbeiter, die Auffälligkeiten frühzeitig kritisch hinterfragen, diese melden und über aktuelle Angriffsmethoden informiert sind, leisten einen enorm wichtigen Beitrag zum Schutz ihres Unternehmens.

Wie schafft man es denn, im Unternehmen mehr Aufmerksamkeit für das Thema Cyber Security zu generieren?

Durch die möglichst spannende Aufbereitung der Thematik. Deshalb nutzen wir beispielsweise Live-Hacking-Termine, um bei den Mitarbeitern ein Bewusstsein für potenzielle Risiken zu schaffen und diese zu veranschaulichen. Denn was klar sein muss: Für Unternehmen ist es heute keine Frage mehr, ob, sondern nur wann und in welcher Intensität sie Ziel eines Cyber-Angriffs werden. Wer einmal gesehen hat, wie leicht ein Notebook mit Schadsoftware übernommen oder ein Passwort geknackt werden kann, wird wachsamer. Ergänzend lässt sich das gewonnene Wissen auch im privaten Umfeld einsetzen. Auch dort werden Phishing-Mails empfangen, Identitäten gestohlen und Accounts geknackt. In unserem Global Information Security Month October haben wir genau das vermittelt.

Security by Design heißt: Sicherheit wird bei unseren Produkten von Anfang an mitgedacht.

Nicht nur die Arbeit findet mittlerweile fast komplett digital statt, auch die Vorwerk Produkte werden immer digitaler und sind Teil des Internet of Things. Welche Aspekte musst du als CISO hier beachten?

Auch hier gilt: Verständnis der Risiken und Offenheit für eine konstruktive Zusammenarbeit sind der Schlüssel. Wir möchten das Business bestmöglich unterstützen. Auch weiterhin gilt: Nur sichere Produkte erhalten das Vertrauen unserer Kunden in unsere hochwertigen Angebote. Das Motto lautet „Security by Design“ und meint, dass Sicherheit von Anfang an mitgedacht wird. Dazu stimmen wir uns eng mit den Kollegen in Forschung & Entwicklung ab, damit deren Ideen in sichere Produkte überführt werden können.

Du betonst die enge Abstimmung mit den verschiedenen Teams. Welche Soft-Skills sind aus deiner Sicht für deine Rolle am wichtigsten – und wieviel technisches Knowhow benötigt ein CISO tatsächlich?

Für mich persönlich ist ein informationstechnischer Hintergrund eine Grundvoraussetzung für meinen Job. Ein Großteil von Unternehmensinformationen wird durch die stetig wachsende Digitalisierung auf Servern gespeichert. Um als Sicherheitsverantwortlicher die eigene Funktion bestmöglich ausüben zu können, ist ein breites Basiswissen im Bereich Informatik meiner Meinung nach unumgänglich.

Ergänzend sollte man die Belange der Fachbereiche verstehen. Informationssicherheit ist kein Selbstzweck, sondern stützt immer die Strategie des Business. Die gemeinschaftliche Zusammenarbeit Hand in Hand mit verschiedenen Teams ist deshalb auf jeden Fall entscheidend, um das Sicherheitsniveau des Unternehmens noch weiter zu steigern

Erfolgreiche Angriffsmethoden werden oft nur in Nuancen weiterentwickelt.

Aktuelle Maßnahmen zur Informationssicherheit werden selten gegen die Gefahren von morgen wirken. Wie kannst du als CISO eine vorwärts gerichtete Informationssicherheit im Unternehmen etablieren?

Tatsächlich erleben wir in der Praxis, dass erfolgreiche Angriffsmethoden der letzten Jahrzehnte bestehen bleiben und sich lediglich in Nuancen weiterentwickeln – Makroviren in E-Mail-Anhängen, manipulierte USB-Sticks oder Social Engineering funktionieren immer noch. Demnach sind auch die Gefahren von morgen häufig dieselben wie gestern. Wir sind allerdings heute viel stärker auf funktionierende Systeme angewiesen.

Um auf dem aktuellen Stand zu bleiben, müssen wir uns beständig informieren und weiterbilden. Wir haben deshalb neben öffentlichen Nachrichtenportalen auch Foren und Datenbanken, in denen sich Hacker über neue Schwachstellen oder Angriffsszenarien austauschen, im Blick. Ergänzend ist der Austausch mit anderen CISOs aus meiner Sicht besonders hilfreich. Wir alle möchten sicherstellen, dass unsere Unternehmen geschützt sind. Daher ist ein interdisziplinärer Austausch über Unternehmensgrenzen hinweg sehr wertvoll.

Wir betrachten die Entwicklung sogenannter Deepfake-Angriffe mit zunehmender Besorgnis.

Man liest immer mal wieder vom Einsatz Künstlicher Intelligenz, um die Informationssicherheit zu erhöhen? Welche Rolle kann KI wirklich einnehmen und siehst du andere Trends in deinem Metier? 

Künstliche Intelligenz ist ein zweischneidiges Schwert. Die Technologie unterstützt uns einerseits dabei, Angriffe gezielter und früher zu erkennen. Andererseits machen sich aber auch Angreifer diesen technologischen Ansatz zu Nutze. Mit zunehmender Besorgnis betrachten wir derzeit die Entwicklung sogenannter „Deepfake“ Angriffe. Dabei werden Medieninhalte wie Fotos, Audio und Video durch Nutzung neuronaler Netze abgeändert und verfälscht. Ein Beispiel: plötzlich klingelt das Telefon und der vermeintliche CFO stößt eine Überweisung auf ein Auslandskonto an. Die genutzten Audiodateien wurden vorher zusammengeschnitten und lassen keine Unterscheidung mehr zum tatsächlichen Menschen zu.

Es findet ein Katz-und-Maus-Spiel zwischen Angreifern und Verteidigern statt. Umso wichtiger ist es, dass unsere Mitarbeiter uns täglich dabei unterstützen, das Unternehmen bestmöglich zu schützen. Daher informieren wir regelmäßig auf unterschiedlichen Wegen – über unser Intranet, in persönlichen Gesprächen und im Rahmen von Veranstaltungen – über aktuelle Risiken.

Weiterlesen

Career Insights
„I spread love all the time”
Kerstin Herget wusste zunächst nicht, was sich hinter dem Jobtitel Customer Love Manager verbergen sollte. Hier erzählt sie, warum sie sich trotzdem auf die Stelle beworben hat und was den Unterschied zu Customer Care ausmacht.
Career Insights
5 Gründe, warum Vorwerk in seinen DevOps-Teams auf Container setzt
Dank Container-Technologie können Entwickler rascher und flexibler arbeiten. Wie sie gleichzeitig die Arbeitsmethoden von Entwicklern und IT-Spezialisten von Grund auf verändert, erklärt Michael Hosse, Senior Manager Digital Architecture bei Vorwerk.
Career Insights
Wie Big Data uns hilft, das Kocherlebnis zu optimieren
Maria Coronado von Thermomix® verrät, warum gerade die einfachsten Rezepte höchste Sorgfalt und Aufmerksamkeit benötigen.