Interview mit Cato Networks

Das richtige Maß an Panik

Cato-CSO Amit Spitzer über unternehmensweite Security Awareness, den Job des CISOs und warum er immer panisch ist.
Von 
CSO | 08. Juli 2022 05:40 Uhr
Cato-CSO Amit Spitzer zufolge sollten Sicherheitsverantwortliche ständig in Panik und auf der Hut vor Cyberbedrohungen sein, aber nicht panisch handeln.
Cato-CSO Amit Spitzer zufolge sollten Sicherheitsverantwortliche ständig in Panik und auf der Hut vor Cyberbedrohungen sein, aber nicht panisch handeln.
Foto: Mix and Match Studio - shutterstock.com

Herr Spitzer, Sie sind Chief Security Officer in ener Network-Security-Firma. Können Sie Ihren Mitarbeitern überhaupt noch etwas über IT-Sicherheit beibringen?

Spitzer: Auf jeden Fall. Die meisten der Mitarbeiter bei Cato sind Security- und Netzwerkexperten. Sie wissen, wie sie unsere Produkte sicher machen. Wenn es aber darum geht, die Informationssicherheit des kompletten Unternehmens zu gewährleisten, braucht man ein anderes Mindset. Die Aufgabe meines Teams und mir besteht darin, die Security Awareness unternehmensweit zu erhöhen und eine Sicherheitsstrategie zu etablieren, auch in Abteilungen, die mit IT-Sicherheit wenig Berührungspunkte haben, wie beispielsweise HR, Einkauf, Sales und Marketing.

Amit Spitzer, CSO bei Cato Networks
Amit Spitzer, CSO bei Cato Networks
Foto: Cato Networks

Seit einem Jahr verantworten Sie sowohl die Informationssicherheit wie auch die physische Sicherheit bei Cato. Wie sieht Ihre Strategie dafür aus?

Spitzer: Da es sich dabei um weitläufige Aufgabengebiete handelt, haben wir sie in drei Bereiche unterteilt. Zum ersten Teil gehören Governance, Compliance und Risk Management. Um alle Vorgaben einzuhalten arbeiten wir eng mit der Management-Ebene und Datenschutzbeauftragten zusammen. Auch die unternehmensweite Security Awareness fällt in diesen Bereich, für die mein Team und ich mit den Sicherheitsteams in anderen Niederlassungen weltweit zusammenarbeiten, um Best Practices zu entwickeln.

Im zweiten Bereich geht es um die Security Operations. Das ist ein Ansatz, bei dem Sicherheits- und Betriebsteams zusammenarbeiten, um zu gewährleisten, dass Sicherheitsaspekte frühestmöglich in den Entwicklungsprozess eingebunden werden. Auch nach der Bereitstellung einer Lösung entweder intern bei Cato oder beim Kunden, ist es die Aufgabe des SecOps-Teams, diese sowie die komplette IT-Landschaft auf Sicherheitslücken zu überprüfen.

Zum Schluss befassen wir uns noch mit der Anwendungssicherheit. Unser AppSec-Team ist dafür verantwortlich, Sicherheitslücken in Anwendungen zu finden und zu beheben. Auch hier geht es um den gesamten Lebenszyklus von der Entwicklung bis zur Implementierung der Anwendung. Es ist wichtig, dass wir alle Anwendungen kennen und verstehen, um mögliche Risiken zu erkennen.

Ich will über jeden Vorgang und jeden Vorfall im Unternehmen Bescheid wissen. Nur wenn wir einen detaillierten Überblick über die komplette IT-Landschaft haben, sind wir in der Lage, mögliche Risiken frühzeitig zu identifizieren.

Mit welchen konkreten Maßnahmen erhöhen Sie die Security Awareness bei Cato?

Spitzer: Wir haben eine Security-Awareness-Plattform im Einsatz. Darüber erhalten die Mitarbeiter regelmäßig Trainings, spielerisch gestaltete Theorie-Einheiten sowie Phishing-Simulationen. Mir ist es besonders wichtig, die realen Folgen eines Phishing-Angriffs aufzuzeigen. Deshalb gebe ich immer wieder Vorträge mit Live-Demonstrationen und Beispielen von Sicherheitsvorfällen, die tatsächlich in anderen Organisationen passiert sind.

Jeder unserer Mitarbeitenden ist mitverantwortlich für die Sicherheit und muss zumindest die Basics des sicheren Umgangs mit Daten beherrschen. Damit wir dieses Wissen richtig vermitteln können, braucht es aber Vertrauen. Erst, wenn die Mitarbeiter uns als Security-Team vertrauen, werden sie sich bei Problemen und Fragen an uns wenden. Und nur so können wir den Überblick über alle Prozesse im Unternehmen behalten.

Was macht Ihrer Meinung nach einen guten CISO aus?

Spizter: In unserer Branche spricht jeder ständig darüber, wie man die Security besser machen kann. Aber CISOs sind nicht mehr nur dazu da, um über Sicherheitsrisiken für Unternehmen zu sprechen und andere darauf anzusetzen. Stattdessen sollten sie die konkreten Bedrohungen selbst verstehen und beheben können. Ich habe bereits in verschiedenen DevOps-Teams gearbeitet und arbeite immer wieder an kleinen Entwicklungsprojekten mit, um auf dem Laufenden zu bleiben. CISOs brauchen meiner Meinung nach eine Hands-on-Mentalität.

Haben Sie abschließend noch einen Tipp für CISOs und Sicherheitsbeauftragte?

Spitzer: Seien Sie immer in Panik, aber verhalten Sie sich nicht, als seien Sie panisch. Bei all den Cyberrisiken und Bedrohungen in der IT, müssen Unternehmen ständig auf der Hut sein und einen Cyberangriff erwarten. Allerdings sollten sie dabei nie panisch oder hektisch handeln, da dadurch Fehler passieren.

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.