Eine weltweit durchgeführte Umfrage ergab, dass 49 Prozent der befragten Unternehmen in den letzten 12 Monaten mindestens einmal eine Cyber-Attacke erlebt haben. Tendenz steigend, wie z.B. der Bitkom herausfand. Können Sie diese Entwicklung bestätigen und wie schätzen Sie die aktuelle Lage ein? 

Ich stimme dieser Einschätzung definitiv zu. Es ist in den letzten Monaten ganz klar ein Trend zu erkennen, was Anzahl und Intensität von Cyber-Attacken betrifft und leider ist dieser zu Ungunsten der Unternehmen, die sich damit konfrontiert sehen. Wir beobachten eine eklatante Zunahme an Betrugsaktivitäten, die vor allem all jene Plattformen betrifft, die über große User-Zahlen verfügen. Jede Woche entdecken wir neue Formen von Attacken und Angriffen, auf die man umgehend reagieren und deren Gefahrenpotential man richtig einschätzen muss, um die passenden Abwehrmechanismen zu entwickeln.

Unterschätzen Ihrer Meinung nach zu viele Unternehmen diese Gefahren nach wie vor bzw. verpassen sie es aktuell, die notwendigen Schritte vorzunehmen, um sich ausreichend dagegen zu schützen? 

Da kann ich als außenstehender Betrachter natürlich nur mutmaßen, wie es in anderen Organisationen dazu bestellt ist.. Es wird sicherlich Unternehmen geben, die mit dem Prinzip Hoffnung versuchen, den Sturm unbeschadet zu überstehen. Auf Dauer kann das aber nicht die Strategie sein, denn die Gefahr, die für die Geschäftsfähigkeit bei einer erfolgreich durchgeführten Attacke besteht, ist einfach zu groß und kann zu existenzbedrohenden Umsatzausfällen führen. Realistisch betrachtet, verfügen selbst die großen Tech-Unternehmen nicht über ausreichende Kapazitäten, jedem einzelnen Angriff die notwendige Aufmerksamkeit zu widmen und diese mit voller Vehemenz zu verfolgen und zu bearbeiten. Vielmehr muss basierend auf der Expertise und Erfahrung der Expert*innen tagtäglich pragmatisch und vor allem schnell entschieden werden, mit welchem Problem man sich als erstes befasst. Die Verantwortung, die dabei die Abteilung des Risiko-Managements zu tragen hat, ist nicht zu unterschätzen. Oberstes Gebot für dieses Team ist die Beantwortung der Frage, von welchen Problemen die größte Gefahr für das laufende Geschäft ausgeht. Gleichzeitig gilt es währenddessen, die eigene Cyber Security Struktur und die dazugehörigen Teams so weit auszubauen, dass den Aggressoren klar vermittelt wird, dass ihre Bemühungen nicht zum gewünschten Erfolg führen werden. In der Regel rücken bösartige Akteure dann sukzessive von ihrem ursprünglichen Vorhaben ab und widmen sich anderen Unternehmen. Oftmals handelt es sich dabei um Wettbewerber aus dem eigenen Markt, weshalb mittlerweile die Qualität der Cyber Security Strategie ein – wenn nicht sogar das – entscheidende Kriterium hinsichtlich der Sicherung des geschäftlichen Erfolgs, eben auch im Vergleich zu den Wettbewerbern, darstellt.

Welche Rolle spielen Ihrer Meinung nach Cyber Security Teams mittlerweile für Tech-Unternehmen? Und inwieweit hat sich deren Rolle in den vergangenen Jahren verändert? 

Das Szenario, das ich eben skizziert habe und in dem wir uns derzeit befinden, liefert ja eigentlich schon die Antwort auf diese Frage. Die Bedeutung der Cyber Security Teams ist enorm gewachsen. Gerade schnell skalierende Tech-Unternehmen, die innerhalb weniger Monate von wenigen Dutzend auf mehrere hundert Mitarbeitende anwachsen, müssen im selben Tempo diese Abteilung aufbauen. Dabei reicht es nicht aus, einfach nur neue Mitarbeitende einzustellen und weiter nach dem gewohnten Schema zu verfahren – ganz zu schweigen, dass das Recruiting fähiger Leute für sich schon eine schwierige Aufgabe ist. Auch die Strukturen dieser Abteilung müssen ausdifferenziert werden, spezifische Aufgaben und Verantwortlichkeiten müssen kleinteiliger vergeben werden. Mein Team wuchs innerhalb von zwei Jahren von 1 auf 35 Mitarbeitende. Parallel habe ich neue Strukturen und neue Funktionen geschaffen. So wurde die Security Abteilung unterteilt in Security Governance und in Security Engineering. Das Governance-Team konzentriert sich auf die Verfahren, Richtlinien und Anforderungen und stellt sicher, dass diese Anforderungen innerhalb der Organisation umgesetzt werden. Das Engineering-Team hingegen konzentriert sich auf die technischen Lösungen und Dienstleistungen, die das Unternehmen benötigt.

Eines möchte ich an dieser Stelle noch betonen: Die Fähigkeit, wirklich innovative Konzepte zu entwickeln, muss bei den Verantwortlichen für Cyber Security und Datenschutz vorhanden sein. So besteht  zum Beispiel eine Schwierigkeit darin, dass es für die Struktur und Strategie des Risiko-Managements keine einheitlichen und gängigen Standards gibt, die man einfach für die eigene Organisation übernehmen könnte. In traditionellen Einrichtungen, wie beispielsweise Banken oder Regierungen, sind die damit verbundenen Prozesse meist sehr langsam und iterativ. Diese Herangehensweise kommt aber für schnell skalierende Tech-Unternehmen nicht in Frage. Hier müssen Informationen umgehend vorliegen, Entscheidungen sofort getroffen werden. Deshalb muss man selbst innovativ sein, neue Strukturen entwickeln, diese testen und ständig optimieren, denn in den seltensten Fällen bringt der erste Ansatz auch den gewünschten Erfolg.

Worauf achten Sie bei der Zusammenstellung Ihres Cyber Security Teams?

Dadurch, dass wir die einzelnen Funktionen innerhalb des Cyber Security Teams wie bereits erwähnt sehr ausdifferenziert haben, können wir im ersten Schritt sehr viel gezielter nach den passenden Mitarbeiter*innen suchen und gleichzeitig sehen auch die Bewerber*innen von Anfang an transparent, welche spezifischen Aufgaben in ihren Verantwortungsbereich fallen würden. Fest steht: In diesem hochsensiblen Bereich benötigen wir die Besten der Besten für jeweils klar definierte Ziele. Für neu definierte, so noch nicht dagewesene Funktionen, kompetente Mitarbeitende mit der benötigten Erfahrung zu finden, stellt zugegebenermaßen eine große Herausforderung dar. Als wir zum Beispiel zur Unterstützung des Privacy Governance Teams die Abteilung Privacy Engineering geschaffen haben, haben wir ein halbes Jahr gesucht, bis wir den richtigen Kandidaten gefunden hatten, der die gewünschten Fähigkeiten vorweisen konnte. Zusammenfassend lässt sich sagen, dass Mitarbeitende in meinem Team über hervorragendes analytisches Denken, eine pragmatische Problemlösungsmentalität, außerordentliches Fachwissen in ihrem spezifischen Aufgabenfeld verfügen sollten. Zudem sollten sie gute Kommunikatoren sein, die kooperativ im Team agieren, und darüber hinaus in Drucksituationen wichtige Entscheidungen treffen und dabei einen kühlen Kopf bewahren.

Es ist zwar mittlerweile ein allseits bekanntes Problem, dadurch aber nicht weniger relevant: der Fachkräftemangel – insbesondere in der IT. Wie gehen Sie damit um? Welche Wege gehen Sie, um die benötigten Fachkräfte zu finden und für Ihr Unternehmen zu gewinnen? 

Hier muss ich zunächst ein wenig ausholen: Vor allem in den Bereichen Risiko-Management und Betriebskontinuitätsmanagement haben wir bei unserer tagtäglichen Arbeit zum einen mit bekannten Unbekannten zu tun, zum anderen mit unbekannten Unbekannten. Erstere sind die Fälle, bei denen wir bestimmte Voraussagen treffen können, wir aber nicht sicher sein können, ob diese am Ende auch so eintreffen. Zweitere sind jene Fälle, die wir nicht einmal grob vorhersagen können, mit denen wir uns aber dennoch auseinandersetzen müssen und für die wir Lösungen finden müssen. Um sich diesen herausfordernden Aufgaben stellen zu können, benötigt man eine Bandbreite an speziellen Fähigkeiten. An den Universitäten gibt es nun so langsam die ersten Absolvent*innen, die in diesem spezifischen Bereich ausgebildet wurden. Und diese verfügen aber natürlich auch erstmal nur über die Theorie und haben begrenzte Praxiserfahrung. Wir versuchen nun zum einen, den Ausbildungsprozess so gut es geht zu unterstützen und kooperieren mit mehreren Universitäten. Zum anderen müssen wir parallel schauen, wo wir dennoch zum jetzigen Zeitpunkt neue kompetente Mitarbeiter*innen finden. Und hier sehen wir ein großes Potential, Fachfremde aus ganz anderen Bereichen in die Teams zu integrieren. Unsere Awareness-Expert*innen sind zum Beispiel größtenteils ehemalige Psycholog*innen oder Lehrer*innen, da sie in der Lage sind, Themen, die eher trocken oder monoton sind, auf motivierende und verständliche Weise zu vermitteln. Diese Awareness- Expert*innen arbeiten eng zusammen mit Security Engineers, die wiederum ein umfassendes Verständnis für die Materie selbst haben. Um es auf den Punkt zu bringen: Im Bereich Cyber Security kann ich nur empfehlen, den Suchradius bei der Rekrutierung auf fachfremde Disziplinen auszuweiten, und das nicht nur, weil einen der Fachkräftemangel eventuell dazu zwingt. Ich beobachte in meinem Team greifbare Vorteile, denn die Diversität der beruflichen Werdegänge, die Bandbreite der Fähigkeiten und der ko-kreative Austausch sorgen letztendlich für ein erhöhtes Maß an Innovation. Und diese Innovation, diesen Spirit benötigen wir, um tagtäglich den Aggressoren einen Schritt voraus zu sein.