CISOs berichten aus der Praxis
Die IT-Sicherheitsverantwortlichen eines Chemiekonzerns und eines großen Krankenhauses sind sich einig: Aufklärung und Schulung der Mitarbeiter sind ein Schlüssel zu mehr IT-Sicherheit im Unternehmen.
Wie der Chemiekonzern Lanxess und das Klinikum Neuss ihre IT-Sicherheit verstärken wollen.
Viele IT-Security-Hersteller glauben, ihre Lösungen träfen genau den Nerv ihrer Zielgruppe. Wenn das so wäre, müssten sich die meisten Unternehmen derzeit mit künstlicher Intelligenz (KI), Internet of Things (IoT), Datenschutz und Security Awareness beschäftigen. Wir haben bei den Sicherheits-Entscheidern zweier deutscher Unternehmen einen Reality-Check gemacht.
Lanxess schult und klassifiziert
Florian Jörgens, Chief Information Security Officer (CISO) des Kölner Chemiekonzerns Lanxess, konzentrierte sich in den letzten zwölf Monaten im Rahmen einer weltweit angelegten Awareness-Kampagne an 73 Standorten darauf, die Mitarbeiter über Angriffsmethoden wie Phishing, Social Engineering und E-Mail-Betrug aufzuklären. Er will, dass sich die viel zitierte „Schwachstelle Mensch“in einen Schutzschirm verwandelt. In der Chemiebranche ergeben sich vor allem im Bereich der Operational Technology neue Angriffsszenarien, die es angemessen zu analysieren und zu bewerten gilt.
Des Weiteren kümmert sich der Lanxess-CISO mit seinem Team intensiv darum, die CloudSecurity des Unternehmens ständig zu verbessern und Dokumenten-Klassifizierung einzuführen. Letzteres ist bei einem Hersteller mit sensiblem geistigem Eigentum, das meist in Form von Dokumenten vorliegt, ein zentraler IT-Sicherheitsaspekt. Als Schlüsseltechnologie für langfristigen Cyber-Schutz sieht CISO Jörgens das Trendthema KI im Allgemeinen und Machine Learning im Besonderen. Den größten Nutzen verspricht er sich von den vielfältigen neuen Möglichkeiten rund um die Malware-Erkennung.
Klinikum Neuss vertraut auf Web-Trainings
Auch Klaus-Uwe Höffgen, Chief Digital Officer (CDO) des Rheinland Klinikums Neuss und in dieser Funktion auch für die IT-Sicherheit verantwortlich, schätzt KI als wichtige Ergänzung zu vorhandenen Security-Tools ein. „Sie wird aber nicht das Allheilmittel sein, sondern dedizierte Bereiche der Security-Architektur optimieren“, urteilt der Sicherheitsverantwortliche. Genauso wie Lanxess-Manager Jörgens legt Höffgen großen Wert auf Awareness-Maßnahmen, die für die kommenden zwölf Monate geplant sind. Hierbei will der CDO Web-basierende Trainings nutzen und dabei auch neue Entwicklungen rund um Gamification einbinden. Zudem sei es wichtig, für unterschiedliche Klinikbereiche individuelle Lernmaterialien und Methoden anbieten zu können.
Das Klinikum ist aus einer Anfang 2019 abgeschlossenen Fusion der Rhein-Kreis Neuss Kliniken und des Lukaskrankenhauses entstanden. Daher war der CDO im letzten Jahr auch mit der Vereinheitlichung der Sicherheitsarchitektur beschäftigt. „Das Lukaskrankenhaus lebt seit einem Cyber-Angriff von 2016 die Devise ,Sicherheit vor Funktionalität‘. Dies gilt es im gesamten Klinikum zu verankern“, sagt Höffgen. Da das Krankenhaus viele öffentliche Netzzugänge hat, ist die Optimierung des Network-Access-Managements ein Kernthema. Zudem gelte es die E-Mail-Sicherheit voranzutreiben und eine zweistufige Firewall-Architektur zu realisieren. Auch gilt es, das Information-Security-Management-System (ISMS) zu optimieren, um für zukünftige Anforderungen gut aufgestellt zu sein. Das Gesundheitswesen gehört zu den kritischen Infrastrukturen (Kritis) und muss laut Bundesinnenministerium besonders geschützt werden.