IT-Security

CIO und CISO müssen an einem Strang ziehen

Zwei Business-Männer am Tisch
Foto: Pressmaster / shutterstock.com
Immer neue Attacken stellen Unternehmen vor Herausforderungen. Nicht immer eignet sich jedoch ein eigener CISO. Dann kann es sinnvoll sein, sich diese Fachkraft mit einer anderen Firma zu teilen.
Pascal Kocher: Gründer von Auditron
(Quelle: Jens Stark )
Unternehmen, ob groß oder klein, werden zunehmend von Hackern ins Visier genommen. Wie sollen sie sich und ihre Daten schützen? Im Interview mit com! professional erklärt Pascal Kocher, Gründer, CEO und „Chief Hacking Officer“ des in Düdingen im Schweizer Kanton Fribourg beheimateten IT-Security-Audit-Spezialisten Auditron, worauf es beim Schutz der „Kronjuwelen“ einer Firma vor allem ankommt.
Weil Kocher bei Auditron auch in die Rolle des Chief Information Security Officers (CISO) schlüpft, erläutert er auch die Funktion des IT-Security-Chefs in Firmen sowie dessen Verhältnis zu CEO, CFO und CIO.
com! professional: Täglich hören wir von Cyberattacken. Trotzdem geben viele CIOs an, dass ihre IT sicher sei. Wiegen sie sich in trügerischer Sicherheit?
Pascal Kocher: Das glaube ich weniger. Trügerische Sicherheit gibt es in diesem Sinne nicht. Viele Unternehmen kennen noch nicht alle Angriffsformen, die es gibt. Das können sie auch nicht, denn die Szene wechselt sehr rasch. Ich muss nur eine Woche Urlaub machen und wenn ich zurückkomme, gibt es neue Attacken. Hier den Überblick zu behalten, ist schwierig. Firmen sollten eigentlich immer damit rechnen, dass sie gehackt und angegriffen werden.
com! professional: Sie sind auch als Penetration-Tester tätig. Wann werden Sie gerufen? Vor oder nach einem Angriff?
Kocher: Beides kommt vor. Wir haben Kunden, die uns konsultieren, bevor etwas passiert ist. Das geschieht etwa dann, wenn sie eine neue Webapplikation implementieren und diese in Sachen IT-Security getestet werden soll.
Dann gibt es auch den anderen Fall: Wir werden angefordert, wenn ein Angriff stattgefunden hat. Das ist für uns oft stressiger und komplexer, gerade wenn jemand das erste Mal auf uns zukommt. Dann gilt es nämlich, sich einen Überblick über die IT-Infrastruktur zu verschaffen. Das ist nicht so einfach, wenn eine Attacke gerade läuft. Daher ist eine gute Vorsorge so wichtig.
com! professional: Wie können Sie denn Firmen im Vorfeld besser absichern?
Kocher: Generell analysieren wir, welche Assets besonders schützenswert sind. Diese Core Assets oder Kronjuwelen zu identifizieren, ist sehr wichtig. Dabei müssen wir den Informationsfluss in einem Unternehmen sehr gut kennenlernen, also über welche Schnittstellen und durch welche Programme die Daten laufen. Wir sind somit bestrebt, den sogenannten kritischen Pfad im Griff zu haben.
Natürlich werden wir daneben auch konsultiert, um einzelne Applikationen zu testen. Wenn es aber darum geht, den Sicherheits-Level in der Firma zu heben, müssen wir eine Gesamtanalyse über alle Assets vornehmen. Schließlich kann ich nur etwas schützen, wenn ich weiß, was es zu schützen gilt. Das zu erkennen, ist in der virtuellen Welt oft schwierig, weil die Einfallswege nicht gleich offenkundig werden. Bestes Beispiel sind WLAN-Installationen. Kein Unternehmen käme auf die Idee, seine LAN-Steckdosen an der Außenwand des Firmengebäudes anzubringen. Bei Wi-Fi ist das anders, dessen Signale sind auch draußen empfangbar.
Seite
  1. Teil: CIO und CISO müssen an einem Strang ziehen
  2. Teil: Wachsendes Sicherheitsbewusstsein in Unternehmen
  3. Teil: Mensch als Sicherheitsrisiko
  4. Teil: Die Rolle des CISO
Verwandte Themen

Mehr zum Thema