Interview

Cybersicherheit: Strategien, Prozesse & Prioritäten

TOPdesk
Martin Stephan

Cybersicherheit ist keine „one fits it all“- Lösung. Sie ist vielmehr eine technische Herausforderung, die heute einen ganzheitlichen Sicherheitsansatz erfordert – angefangen bei der Mitarbeitersensibilisierung über Lieferkettensicherheit bis zur Erfüllung gesetzlicher Anforderungen.

Über diese Herausforderungen sprachen wir mit Martin Stephan, Informationssicherheitsbeauftragter bei TOPdesk.

Anzeige

Wie hat sich das Bedrohungsbild der Cybersicherheit in den letzten Jahren entwickelt? Welche neuen Herausforderungen beobachten Sie?

Martin Stephan: Es ist zunächst einmal größer geworden. Viele Tools und Kurse zum Thema Hacking sind frei verfügbar. Aufgrund von Corona sind viel mehr Dienste in die Cloud gewandert und mehr Menschen nutzen diese Dienste. Dadurch ist die Zahl der potenziellen Opfer gestiegen, was wiederum attraktiver ist für Menschen, die sich dadurch Profit erhoffen. Dies gilt für legale wie auch illegale Methoden.

Könnten Sie uns einen Überblick über Ihre Rolle als Informationssicherheitsbeauftragter bei TOPdesk geben? Welche Prioritäten setzen Sie in Bezug auf Cybersicherheit?

Anzeige

Martin Stephan: Ganz grob kann man sagen, dass ich in Absprache mit Fachabteilungen und anderen Standorten Sicherheitsmaßnahmen plane, deren Umsetzung prüfe und darüber hinaus auf die Erfüllung gesetzlicher Anforderungen achte sowie Fragen von Kunden zu diesem Thema beantworte. Stichwort: Lieferkette. Wo beginnt Cybersicherheit? Erst wenn jemand sich unerlaubt Zugriff verschafft zu einem System, oder wenn sich diese Person in einem sozialen Netzwerk mit einem Kollegen oder einer Kollegin anfreundet? Insofern betrachte ich das Thema lieber ganzheitlich im Rahmen der Informationssicherheit.

NIS2 ist ein zentrales Thema in der aktuellen Cybersicherheitslandschaft. Wie wirkt sich die neue Richtlinie auf TOPdesk und seine Kunden aus?

Martin Stephan: Erstmal ist die konkrete Umsetzung in Deutschland vermutlich frustrierend. Die unscharfe Definition des MSP wird oft kritisiert. Auch hat der Bundesrechnungshof gerade erst scharfe Kritik geübt. Es besteht also noch Verbesserungspotenzial. Da wir uns intern an der ISO 27001 orientieren und die Rechenzentren SOC2-zertifiziert sind, hatten wir vieles bereits umgesetzt oder auf dem Schirm. Unsere Kunden möchten wir dabei gerne unterstützen. TOPdesk eignet sich hervorragend, um darin den Plan-Do-Check-Act-Zyklus abzubilden.

Welche konkreten Maßnahmen müssen Unternehmen im Rahmen von NIS2 ergreifen, um den Sicherheitsanforderungen gerecht zu werden?

Martin Stephan: Die konkreten Maßnahmen müssen sich nach den Bedürfnissenund Risiken des jeweiligen Unternehmens richten.

Wie stellt TOPdesk sicher, dass es die Compliance-Anforderungen von NIS2 und ähnlichen Regulierungen erfüllt?

Martin Stephan: Das ist tatsächlich in das Konzept eingebaut. Der Plan-Do-Check-Act-Zyklus sieht vor, dass man auf geeignete Art und Weise überprüft, ob gewählte Maßnahmen (Plan) umgesetzt wurden (Do) wie geplant und die gewünschte Wirkung entfalten (Check). Ist das nicht der Fall, muss nachgebessert werden (Act).

Wir verwenden als Maßnahme, um die Awareness unserer Mitarbeiter zu erhöhen und das Risiko zu senken, dass einer unserer Kollegen durch eine Phishing-Mail zum Narren gehalten wird, eine Schulungsplattform. Um die Effektivität zu prüfen, werden regelmäßig unsere eigenen (ungefährlichen) Phishing-Mails verschickt. Die Abdeckung stellen wir sicher, indem Kollegen, die ihre Lerneinheiten nicht regelmäßig ausführen, nach einer gewissen Zeit von fast allen Systemen ausgesperrt werden.

Welche Technologien oder Prozesse erachten Sie als besonders effektiv, um Bedrohungen im Bereich der Cybersicherheit zu begegnen?

Martin Stephan: Zunächst muss man dafür ein Bewusstsein bei allen Mitarbeitern auf allen Ebenen schaffen und dann müssen die gewählten Maßnahmen hinsichtlich ihrer Wirksamkeit regelmäßig überprüft werden.

Wie können Unternehmen sicherstellen, dass sie ihre Cybersicherheitsinfrastruktur angesichts des schnellen technologischen Wandels auf dem neuesten Stand halten?

Martin Stephan: Hier gibt es leider kein „One-Size-Fits-All“. Der Aufwand muss wirtschaftlich sinnvoll sein, sofern Wirtschaftlichkeit ein relevantes Kriterium ist.

Wie gehen Sie bei TOPdesk mit der Herausforderung der Integration von Sicherheitslösungen in die bestehende IT-Landschaft um?

Martin Stephan: Ich sehe das weniger als technische Herausforderung, eher als menschliche. Die Menschen müssen abgeholt werden und man muss ihnen die Ängste nehmen. Veränderung ist immer auch etwas mühsam.

Wie fördern Sie bei TOPdesk eine Sicherheitskultur, um sicherzustellen, dass Cybersicherheit nicht nur eine technologische, sondern auch eine unternehmensweite Priorität ist?

Martin Stephan: Wir fördern unsere Sicherheitskultur zunächst einmal indem die Gesch.ftsführung sie zu einer unternehmensweiten Priorität gemacht hat. Die Schulungen zu dem Thema sind für alle verpflichtend und wir unterstützen unsere Führungskräfte dabei, als Vorbilder agieren zu können.

Welche zukünftigen Entwicklungen im Bereich Cybersicherheit sehen Sie auf uns zukommen?

Martin Stephan: Ich gehe davon aus, dass man in einigen Bereichen zu On-Premises-Lösungen zurückkehren wird, um wieder die Datenhoheit zu haben und – vielleicht viel relevanter – mühsamen Prüfungen der Lieferkette zu entgehen.

Der Digital Operational Resilience Act (DORA) fordert dies bereits. Gleich- zeitig werden mehr Unternehmen eine ISO 27001-Zertifizierung anstreben. Ich denke, zumindest in einigen Bereichen wird sich auch die Haftung in Bezug auf Softwarefehler verschärfen. Dadurch wird hoffentlich die gesamte Softwarelandschaft langfristig sicherer.

Besorgen Sie sich externe Hilfe, wenn Informationssicherheit und Risikomanagement bisher „nur“ nebenbei liefen!

Martin Stephan, TOPdesk Deutschland GmbH

Wie schätzen Sie die Bedeutung von Cybersicherheitsstandards in den nächsten Jahren ein, insbesondere in Bezug auf die Vermeidung von Cyberattacken?

Martin Stephan: Ich gehe stark davon aus, dass die ISO 27001 als Standard für Informationssicherheit stark an Bedeutung gewinnt. Wer diese bereits heute umsetzt, hat lediglich die Spezifizierungen von NIS2 oder DORA umzusetzen. Man wird dadurch allerdings keine Cyberangriffe vermeiden, nur den potenziellen Schaden verhindern, verringern oder zumindest geplant managen können.

Welchen Rat würden Sie anderen Unternehmen geben, die mit der Umsetzung von NIS2 und anderen Sicherheitsanforderungen konfrontiert sind?

Martin Stephan: Gehen Sie davon aus, dass das ein Führungsthema ist, und besorgen Sie sich externe Hilfe, wenn Informationssicherheit und Risikomanagement bisher „nur“ nebenbei liefen. Es mag merkwürdig klingen, aber das ist kein originäres IT-Problem.

Wie unterstützt TOPdesk seine Kunden dabei, ihre eigenen Sicherheitsanforderungen zu erfüllen und Cybersicherheitsrisiken zu minimieren?

Martin Stephan: Nun, aus meiner Sicht – und ich bin da klar vorbelastet – lässt sich der Plan-Do-Check-Act-Zyklus wunderbar abbilden mit der Knowledge Base (Plan), Incidents und Assets (Do), Operativen Aktivitäten und Serien (Check) und Changes (Act). TOPdesk kann ein sehr gutes ISMS sein.

Herr Stephan, wir danken für dieses Gespräch.

Martin

Stephan

Informationssicherheitsbeauftragter

TOPdesk Deutschland GmbH

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.