CSO
Alternatives Drucklayout:
› reiner Text
Link: https://www.csoonline.com/de/a/bauchschmerzen-habe-ich-keine,3671934

Allianz-Technology-CISO Topp

"Bauchschmerzen habe ich keine"

Datum:30.12.2021
Autor(en):Heinrich Vaske
Informationssicherheit ist anspruchsvolles Handwerk, sagt Fabian Topp, CISO der Allianz Technology SE, im CSO-Interview. Er ruft zu einer engen europäischen Zusammenarbeit auf, um den Cyberraum sicherer zu machen.

Alle Unternehmen kämpfen derzeit mit enormen Cyberrisiken. Wie ist das bei der Allianz: Macht Ihnen Ihr Job noch Freude oder werden Sie und ihr Team gerade in den Mühlen der immer neuen Anforderungen zermahlen?

Topp: Unser Firmen-Slogan lautet "We secure your future!", und genau das tun wir in unserer Schlüsselfunktion der IT-Sicherheit. Wir haben hier eine Vielzahl von Anforderungen zu erfüllen, und das gelingt dann gut, wenn eine Atmosphäre des Vertrauens besteht. Das ist meinen Kollegen und mir besonders wichtig.

Worauf konzentrieren Sie sich am meisten?

Allianz ist der zweitgrößte Versicherer der Welt. Dass IT-Sicherheit hier absolut erfolgskritisch ist, bestätigt CISO Fabian Topp im Interview. Doch auch die Münchner wissen, ohne die Zusammenarbeit mit anderen wird diese Herausforderung auf Dauer nicht zu bewältigen sein.
Foto: taranchic - shutterstock.com

Topp: Bezüglich unseres IT-Sicherheits-Managementsystems geht es erst Mal um konzeptionelle Arbeit. Wir brauchen skalierbare Lösungen, die es uns ermöglichen, systemisch zu agieren. Standardisierung und Automatisierung sind hier ganz wichtige Hebel. Neben dem Schutz unserer eigenen Systeme legen wir auch größten Wert auf das Absichern unserer Lieferketten.

Was bereitet Ihnen dabei die größten Bauchschmerzen?

Topp: Bauchschmerzen habe ich keine, sonst müsste ich mir einen anderen Job suchen. Wichtig für uns ist, die Innen- von der Außensicht zu unterscheiden. Aus der Innensicht ist Informationssicherheit letztlich ein anspruchsvolles Handwerk, das beherrscht werden muss. Es geht darum zu liefern und die Fortschritte konsequent anhand von Key Performance Indicators (KPIs) zu messen.

Die Außensicht ist da schon komplexer. Wenn alles mit allem irgendwie vernetzt ist, können wir unsere Arbeit nicht auf unseren eigenen Mikrokosmos beschränken. Wir brauchen unternehmensübergreifende Netzwerke. Die Zusammenarbeit mit anderen wird immer wichtiger. Und da sind wir nicht allein. Deshalb haben vor zwei Jahren einige große Konzerne auf der Münchner Sicherheitskonferenz die Charter of Trust 1gegründet, die uns heute sehr wichtig ist. Dort arbeiten wir in einem gut funktionierendem Netzwerk aus staatlichen und privatwirtschaftlichen Organisationen zusammen.

Tatsächlich lautet das Ziel, die Weltgemeinschaft zusammenzubringen, um den Cyberraum sicherer zu machen. Sie können das mit der Entstehung der Charter of Human Rights vergleichen, ähnliche Ziele wollen wir im virtuellen Raum erreichen. Es geht um ein gemeinsames Verständnis davon, wie wir gegenseitiges Vertrauen und Frieden im Cyberspace schaffen können.

Die Charter of Trust sorgt für Netzwerkeffekte

Hehre Ziele, was wurde bisher erreicht?

Topp: Zum einen liefern wir belastbare Konzepte ab, zum anderen kommen wir uns innerhalb des Netzwerks viel näher, was das gegenseitige Verständnis angeht. Wir sind ja zum Teil auch untereinander Lieferanten und Kunden. Wir bekommen auch einen interessanten Einblick in Bildungseinrichtungen sowie politische oder Non-Profit-Organisationen. Über allem steht dabei immer die Frage: Was können wir gemeinsam tun, um den Cyberspace als Ganzes sicherer zu machen?

Wer hat Zugang zu der Organisation?

Topp: Die Mitglieder repräsentieren Topunternehmen der jeweiligen Branchen, Siemens, Infineon, Airbus zum Beispiel. Die Allianz vertritt die Versicherungs- und Finanzdienstleistungsbranche in der Charter of Trust. Die Ansprüche gehen weit über IT-Sicherheit im Unternehmen hinaus, sie betreffen auch Politik und Gesellschaft.

Wie weit reicht der Einfluss hier? Gibt es eine Zusammenarbeit zum Beispiel mit dem BSI 2oder dem Innenministerium?

Topp: Selbstverständlich, anders würde es nicht funktionieren. Im Associated Partner Forum (APF3) tauschen wir uns regelmäßig unter anderem mit Bildungseinrichtungen und Sicherheitsorganen wie dem BSI aus. Darüber hinaus versuchen wir auch, die regulatorischen Rahmenbedingungen gemeinsam mit unseren staatlichen Partnern zu optimieren. Das gelingt beispielsweise, indem wir unsere globale Positionen einbringen und transparent machen.

Wann und wo trifft sich die Charter of Trust?

Topp: Das ist unterschiedlich. Wir versuchen, uns auch physisch zu Gesicht zu bekommen, um ein echtes Miteinander zu pflegen. Aber aus ökologischen, wirtschaftlichen und derzeit auch pandemischen Gründen findet der Austausch überwiegend virtuell statt. Auf der Arbeitsebene gibt es teilweise sogar wöchentliche Treffen.

Was bedeutet dieses Engagement für einen Konzern wie die Allianz?

Topp: Im Unternehmen gibt es Konsens darüber, dass wir als Großkonzern beim Thema Cybersicherheit vorangehen und einen Beitrag für die Gemeinschaft leisten müssen. Natürlich sind wir uns im Klaren darüber, dass nicht jeder Klein- und Mittelständler eine vergleichbare Sicherheitsorganisation betreiben kann. Also versuchen wir, die Charter of Trust nicht nur nach innen, sondern auch nach außen zu leben. Die Partner in unserem Ökosystem sollen sich bei der Allianz wie in einem sicheren Hafen fühlen.

"Ich berichte direkt in den Vorstand hinein"

Jetzt haben wir viel über Ihre selbst auferlegte gesellschaftliche Verpflichtung gesprochen, aber noch nicht über Ihre Arbeit als CISO der Allianz. Welche Rolle spielen Sie im Konzern und an wen berichten Sie?

Topp: Ähnlich wie die IT-Funktion insgesamt ist auch die des IT-Sicherheitsverantwortlichen in den vergangenen Jahren - entsprechend ihrer großen Bedeutung - stark aufgewertet worden. In meiner Rolle als CISO berichte ich also direkt in den Vorstand hinein.

Mit welchen Maßnahmen sorgen Sie dafür, dass auch bei Ihren Zulieferern Sicherheitsstandards eingehalten werden?

Topp: Das ist unterschiedlich. Wir klassifizieren die Partner auf verschiedenen Ebenen in Risikoklassen und gehen je nach Ergebnis unterschiedlich in die Tiefe. Manchmal beurteilen wir nur nach Papierlage, manchmal kommt es zu tiefergehenden Untersuchungen.

Welche Maßstäbe legen Sie an Ihre Lieferanten von Software und Cloud-Diensten an? Die Beispiele Solarwinds und Kaseya haben gezeigt, dass auch in der Software-Lieferkette Risiken lauern.

Topp: Das ist ein wichtiger Punkt. In erster Linie erwarten wir, dass jeder Akteur seine eigenen Systeme beherrscht, und in zweiter Linie müssen wir auch die Systeme unserer Partner bewerten können. Wir sprechen hier von der IT-Governance. Hilfreich ist ein Baselining anhand allgemeingültiger Regelwerke. So gelingt es uns, diese Bewertungen miteinander vergleichbar zu machen.

Fabian Topp: "Jeder IT-Nutzer muss ein Grundverständnis von IT-Sicherheit haben."
Foto: Allianz

Mit Awareness-Maßnahmen sorgen Unternehmen für die richtige Aufmerksamkeit bei den Mitarbeitern, durch Ansätze wie Software by Design oder DevSecOps 4für die richtigen Arbeitsroutinen bei den Entwicklern. Nimmt die Charter of Trust hier Einfluss?

Topp: Selbstverständlich, dafür gibt es unterschiedliche Arbeitsgruppen. Bevor wir aber über Security by Design oder Awareness reden, möchte ich das Augenmerk noch auf die Ausbildung richten: Jeder IT-Nutzer im Unternehmen muss ein gewisses Grundverständnis von IT-Sicherheit haben, damit Awareness-Maßnahmen überhaupt emotional andocken können.

Das geschieht leider nicht hinreichend in unserer schulischen Ausbildung und in den Studiengängen, wie es die OECD im Lernkompass 2030 empfiehlt. Wir werden in Zukunft darunter leiden, nicht genügend entsprechende Fachkräfte zu haben, wenn wir nicht gegensteuern!

Kleinere Betriebe sind im Nachteil

Ist das Thema IT-Sicherheit aus Ihrer Sicht in den Vorstandsetagen der deutschen Unternehmen angekommen?

Topp: In den großen Unternehmen, denke ich, ja! Für die kleinen und mittleren Betriebe ist die Herausforderung allerdings deutlich höher. Sie sind ähnlichen Risiken ausgesetzt wie die Konzerne, haben aber oft nicht die Mittel und Ressourcen, ihre Resilienz auf vergleichbarem Niveau voranzutreiben. Hier ist auch der Staat gefragt.

Wichtig für alle ist es, wachsam zu bleiben. Niemand ist perfekt und weiß alles - schon gar nicht in der Cybersicherheit. Deshalb müssen wir in Europa unsere Ressourcen und unser Know-how bündeln und den Angreifern gemeinschaftlich entgegentreten. Lassen Sie uns einen Cyberraum des Vertrauens schaffen, für den langfristigen Erfolg unserer Wirtschaft wäre das essenziell.

Links im Artikel:

1 https://www.charteroftrust.com/
2 https://www.bsi.bund.de/DE/Home/home_node.html
3 https://new.siemens.com/global/en/company/stories/research-technologies/cybersecurity/what-makes-the-charter-of-trust-such-successful-model.html
4 https://www.computerwoche.de/a/was-ist-devsecops,3550921

IDG Tech Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.