Vorstandsvorsitzender der CISO Alliance

„Die Politik stellt die Weichen falsch"

Ron Kneffel ist der Meinung, dass in puncto IT-Sicherheit die falschen Schwerpunkte gesetzt werden und die Maßnahmen der Bundesregierung fehlschlagen.
Von 
CSO | 06. Oktober 2022 11:25 Uhr
Ron Kneffel, Vorstandsvorsitzender der CISO Alliance, bei der SoSafe Roadshow über die aktuelle Cyber-Bedrohungslage und zukünftige Herausforderungen für CISOs.
Ron Kneffel, Vorstandsvorsitzender der CISO Alliance, bei der SoSafe Roadshow über die aktuelle Cyber-Bedrohungslage und zukünftige Herausforderungen für CISOs.
Foto: SoSafe – Sebastian Gabsch Fotografie

Es wird politisch in der CISO Alliance. Im Juli 2022 hat Ron Kneffel seinen Vorgänger Ulrich Heun als Vorstandsvorsitzenden abgelöst und sich vorgenommen, die Politik wachzurütteln. Seiner Meinung nach erhält die Cybersicherheit von der Bundesregierung nicht genug Beachtung. "Die deutsche Politik schiebt die Verantwortung für die Sicherheit im digitalen Raum von sich. Austragen müssen es die Unternehmen und letztendlich auch wir Bürger", sagt Kneffel. Er kritisiert die bisherigen Cybersicherheits-Maßnahmen sowie zu lockere Datenschutzbestimmungen, die Unternehmen dazu verleiten würden, fahrlässig mit sensiblen Daten umzugehen. Kneffel sieht sich als Sprachrohr der CISOs, die die Bedeutung der IT- und Datensicherheit im Bewusstsein der Politik und der Unternehmen verankern wollten.

Kritik an Cybersicherheits-Politik

Dafür will der Vorstandsvorsitzende sein großes Netzwerk und seine Kontakte in die Politik nutzen. Viele Jahre lang war er Landesvorsitzender des jungen Wirtschaftsrates in Niedersachsen. Sein Plan ist es, in der Zukunft als FDP-Mitglied für den niedersächsischen Landtag zu kandidieren und seinen Fokus dort auf Bildung, Digitalisierung und vor allem die Neujustierung der IT Sicherheits- und Cyber-Politik zu legen.

Bisher habe die Politik die Bedrohungslage oft falsch eingeschätzt. Als Beispiel nennt Kneffel die Cybersicherheitsagenda des Bundesinnenministeriums (BMI), deren Maßnahmen nicht ausreichten. "Aufgrund des Krieges beobachten wir seit Februar dieses Jahres eine besonders hohe Zahl von Cyberangriffen aus Russland." Dennoch reiche es nicht aus, sich auf russische Angreifer zu konzentrieren. Die Bedrohungen aus China und dem Iran seien "noch viel gefährlicher."

Auch die Einführung eines Sondervermögens zur Stärkung der Bundeswehr sieht Kneffel kritisch. Ihm zufolge hätte ein Drittel der 100 Milliarden Euro in den Aufbau der Cybersicherheit in Deutschland investiert werden müssen. Weitere Versäumnisse der Politik sieht der Vorsitzende der CISO Alliance beim Datenschutz. So gilt laut DSGVO, dass Unternehmen erst ab einer Größe von 20 Mitarbeitern einen Datenschutzbeauftragten bestellen müssen. Das habe zur Folge, dass Unternehmen mit weniger Mitarbeitern den Datenschutz oft weitgehend unter den Tisch fallen ließen.

"Dieser Schwellenwert wurde eingeführt, um Bürokratie abzubauen. Stattdessen vermittelt er den Eindruck, dass kleine Unternehmen sich keine Gedanken um den Datenschutz machen müssen." Kneffel betont, dass personenbezogenen Daten, die ein Unternehmen verarbeitet, immer schützenswert seien - unabhängig von der Mitarbeiterzahl des jeweiligen Unternehmens. "Deswegen sollte jedes Unternehmen verpflichtend einen Datenschutzbeauftragten benennen müssen und entsprechende Maßnahmen ergreifen."

Lesetipp: Scharfe Kritik an Cybersicherheitsagenda des BMI

Die Verantwortung der CISOs

Der Verbandssprecher sieht die CISOs durchaus in der Pflicht, den Mund aufzumachen und strikte Datenschutz- und IT-Sicherheitsmaßnahmen durchzusetzen. Würden in den Unternehmen personenbezogene Daten von Kunden oder sensible interne Informationen gestohlen, drohe ein hoher betriebs- und volkswirtschaftlicher Schaden. "Auch CISOs haben eine Verantwortung für die Wirtschaft. Sie müssen immer wieder den Finger in die Wunde legen und auch außerhalb ihrer Unternehmen deutlich machen, wie wichtig die Informationssicherheit ist."

Auch in vielen Unternehmen müsse sich mehr tun. Den Schwerpunkt auf Awareness zu legen und Plattformen dafür einzuführen, sei nur ein erster Schritt, denn es reiche nicht aus, sich auf die sogenannte 'Human Firewall' zu verlassen, mahnt Kneffel. Er stellt nicht in Abrede, dass Mitarbeiter für Bedrohungen sensibilisiert und entsprechend geschult werden müssten. Unternehmen dürften darüber aber nicht vergessen, Sicherheitslücken in internen Systemen zu schließen, Lieferketten abzusichern und ihre Notfallpläne und Backups immer wieder zu testen.

Lesetipp: CISOs gewinnen massiv an Bedeutung

Aktionen der CISO Alliance

Die CISO Alliance will sich nicht mit der Rolle des Mahners begnügen, sondern aktiv werden. Für seine mittlerweile mehrere Hundert Mitglieder bietet der Verein Arbeitskreise, Workshops und Vorträge zu aktuellen Themen an. Für die beteiligten Firmen bietet der Verband zahlreiche Möglichkeiten des Austauschs. Auch andere Fach- und Branchenverbände sowie wissenschaftliche Einrichtungen können an den Aktionen teilnehmen. Darüber hinaus fördert die Alliance die Aus- und Weiterbildung von zukünftigen Fachkräften in der Branche. Auch hier fordert Kneffel ein Umdenken der bisherigen Politik: "Um neue Fachkräfte auszubilden, müssen wir das Thema IT-Sicherheit bereits in den Schulen bekannt machen und mehr Anreize für die Aus- und Weiterbildung schaffen."

Kneffel selbst ist in der IT-Security-Branche sehr aktiv und tritt regelmäßig als Speaker auf diversen Kongressen und Veranstaltungen auf. Zudem ist der Moderator und Ausrichter des BSI IT-Grundschutztages, sowie Trainer und Dozent bei der Bitkom Akademie, die eine Reihe von Zertifizierungen für IT-Sicherheit und Datenschutz anbietet.

Lesetipp: Diese Veranstaltungen sollten Sie nicht verpassen

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.