«CIO und CISO müssen an einem Strang ziehen»
Awareness, die wirkt
Computerworld: Wie sensibilisieren Sie am besten? Können Sie uns von Awareness-Kampagnen berichten, die tatsächlich etwas gebracht haben?
Kocher: Sicher. Am besten wirken Videos und Computer-based Trainings, die sich die Mitarbeiter individuell und bei genügend Zeit anschauen oder durchführen können. Was dagegen nichts bringt, ist, wenn man die Mitarbeiter einmal im Jahr zusammentrommelt und in einem grossen Saal einen Vortrag über die richtigen Verhaltensweisen hält. Sie können sicher sein, dass die meisten den Inhalt einer solchen Präsentation bereits vergessen haben, wenn sie den Saal verlassen haben.
Computerworld: Apropos Awareness: Wie hoch ist das IT-Sicherheits-Bewusstsein in den Führungsetagen von Schweizer Firmen?
Kocher: Das kommt sehr stark darauf an, ob ein Unternehmen schon einmal einen Sicherheitsvorfall hatte. Ist dies der Fall, ist auch die Awareness durchaus vorhanden – zumindest mittelfristig (lacht). Denn das Sicherheitsbewusstsein nimmt mit der Zeit auch wieder ab.
Ist dagegen noch nie etwas passiert, ist die Awareness gering ausgeprägt. Dies, obwohl in der Schweiz der Verwaltungsrat zumindest für die Organisation des Riskmanagements zuständig ist.
Computerworld: Wo liegt das Problem?
Kocher: Das Hauptproblem liegt darin, dass IT-Security zunächst nur etwas kostet, aber dem Unternehmen erst einmal keinen direkt erkennbaren Mehrwert bringt. Dies auch im Gegensatz zur IT, die anerkannterweise der Effizienzsteigerung dient, sich also auf den Umsatz auswirkt.
Kocher: Das Hauptproblem liegt darin, dass IT-Security zunächst nur etwas kostet, aber dem Unternehmen erst einmal keinen direkt erkennbaren Mehrwert bringt. Dies auch im Gegensatz zur IT, die anerkannterweise der Effizienzsteigerung dient, sich also auf den Umsatz auswirkt.
Security macht dagegen nicht mehr Umsatz, sondern weniger Verlust. Das ist schwieriger zu vermitteln, und zwar obwohl es mittlerweile auch in der Schweiz genügend Beispiele dafür gibt, wie geschäftsschädigend ein Hackerangriff sein kann. Hier lassen sich die Umsatzverluste relativ gut berechnen. Hinzu kommt der Imageschaden und der Reputationsverlust, der immens sein und ein Unternehmen ruinieren kann.
Zur Person
Pascal Kocher
Jens Stark / NMGZ
ist Gründer und CEO der Auditron GmbH. Auf der Webseite des Düdinger Unternehmens, das sich auf IT-Security-Audits und Penetration-Tests sowie IT-Forensik spezialisiert hat, firmiert er auch als «Chief Hacking Officer». Daneben schlüpft er immer weider im Firmenauftrag in die Rolle des Chief Information Security Officer (CISO). Seit über 20 Jahren engagiert sich Kocher im Bereich der IT-Security. Studiert hat er an der Universität Fribourg und an der Fachhochschule Bern. Basierend auf der dortigen Diplomarbeit – eine integrierte Firewalllösung auf CD – gründete er seine erste Firma.
