Wir sprachen mit Dr. Swantje Westpfahl, Geschäftsführerin vom Institute for Security and Safety GmbH über die Sicherheitskultur.
Liebe Frau Dr. Swantje Westpfahl, wie würden Sie Institute for Security and Safety GmbH in 3 schlagfertigen Worten beschreiben?
Forward-Thinking, Effektiv, Passioniert
Stellen Sie sich bitte kurz vor und erzählen Sie uns gerne etwas über Ihren Hintergrund.
Ich bin Geschäftsführerin vom Institute for Security and Safety und der VICCON GmbH. Zuvor habe ich im interdisziplinären Bereich der Linguistik und des maschinellen Lernens promoviert. Ich habe Erfahrungen in einer Vielzahl wissenschaftlicher Methoden, in der Koordination und Organisation von Forschungs- und Bildungsprojekten, in der Beratung und Analyse von Prozessen sowie im Capacity Building. Seit Jahren halte ich Vorträge, Seminare und Webinare zu verschiedenen Themen im Bereich Cybersecurity mit Fokus auf Sicherheitskultur, Regulatorik, BCM, KI und Cybersicherheit in internationalen Beziehungen.
Was zeichnet Institute for Security and Safety GmbH aus?
Durch unser Engagement in internationalen Gremien und die Zusammenarbeit mit der Hochschule Mannheim einerseits und durch die starke Einbindung in Industrie-Projekten andererseits stehen wir für den Transfer von Cybersicherheits-Fachwissen in die Praxis. Unser interdisziplinäres Team bringt vielseitiges Wissen und einen ganzheitlichen Blick auf Cybersicherheitsthemen in die Organisationsstruktur ein und arbeitet dadurch nicht nur kunden- sondern auch zukunftsorientiert. Hierbei verfolgen wir einen holistischen Ansatz: umfassende Assessments von Sicherheitskultur, Prozessen und Management von Informations- und Cybersicherheit an verschiedenen Standorten hin zu Beratung und Schulung. Zu unserer Stärke gehört, dass wir als Übersetzer zwischen verschiedenen Abteilungen einer Organisation auftreten, Unternehmen bei Ihren Sicherheitsproblemen effektiv beraten und dadurch Brücken zwischen Abteilungen, Menschen und verschiedenen Fachbereichen bauen können.
Wie hilft Institute for Security and Safety GmbH Unternehmen?
Wir unterstützen Unternehmen auf drei Ebenen auf ihrem Weg zu mehr Sicherheit:
- Durch Security Assessments, die den Status Quo des Sicherheitsmanagements in der Organisation auf technischer, organisatorischer und menschlicher Ebene analysiert;
- Durch Cyber Security Training, also durch maßgeschneiderte, zielgruppenspezifische Aus- und Weiterbildungen, Awareness Maßnahmen sowie Krisen- und Notfallübungen;
- Und durch Security Management Consulting mit Fokus auf Information Security Management System (ISMS), Business Impact Analysen und Business Continuity Management (BCM), also durch kundenspezifische Prozessbegleitung in der Implementierung von Risiko- und Informationssicherheits-Management im Unternehmen.
Was sehen Sie vielleicht etwas anders als vorherrschende Meinungen im Bereich Cyber-Security?
Meiner Meinung nach geht es bei Cybersecurity hauptsächlich um Kommunikation: Wir brauchen Respekt und gegenseitiges Verständnis, um gemeinsam Sicherheitslücken zu schließen. Durch einen holistischen Ansatz, der alle Mitarbeiter*innen in einem Unternehmen mitdenkt, können wir Sicherheitsbestrebungen auf verschiedenen Ebenen realisieren: Im Management, im technischen Bereich und im Verhalten der Mitarbeiter*innen selbst. Denn nur durch Transparenz, Respekt und Kommunikation kann es meiner Ansicht nach gelingen, Akzeptanz und Support aller Mitarbeitenden für Technische Maßnahmen und Prozesse der Cybersicherheit zu erreichen. Dies ist die Grundlage für den Aufbau einer Sicherheitskultur.
Welche Security-Toolkategorien sind Deiner Ansicht nach über- bzw. unterbewertet? Würdest Du beispielsweise erst in ein NDR oder ein EDR System investieren?
Überbewertet ist meiner Meinung nach Compliance, unterbewertet eine echte Sicherheitskultur. Damit meine ich, dass alle Bereiche erfasst, systematisch analysiert und bearbeitet werden: Unternehmensprozesse, technische Abläufe und das menschliche Verhalten müssen gleichberechtigt beachtet werden. Um Sicherheit tief in die Organisation zu verankern und dadurch Cyber-Angriffe wirksam abzuwehren, lohnt es sich, nicht nur Regulatorien zu erfüllen und Versicherungen abzuschließen, sondern ein starkes Risiko- und Sicherheitsmanagement zu etablieren.
Wie geht es weiter – Was steht bei Euch technisch auf der Roadmap, was habt Ihr Euch vorgenommen?
Wir möchten im Bereich der Forensik zur Erkennung von Manipulation durch KI-Anwendungen forschen, da KI viel ermöglicht und damit auch viel Schaden anrichten kann. Dazu halten wir bereits einige Vorträge zu AI Security, Hacking Tools, zu HackGPT und WormGPT, um darüber aufzuklären und gleichzeitig die Möglichkeiten von KI für Cybersicherheitsthemen aufzuzeigen.
Wenn Sie eine E-Mail an alle CISOs schicken könnten, um ein Sicherheitsproblem anzusprechen – was würden Sie wählen?
Mein Sicherheitsproblem, das ich ansprechen würde, wäre die aktuelle Geopolitik im Zusammenhang mit Industriespionage, die sich auch auf unsere Sicherheitspolitik auswirkt. Ich würde darüber informieren, dass es heutzutage kein geopolitisches Ereignis mehr gibt, das uns und unser Risikomanagement nicht tangiert. Unsere Welt ist digital und analog so vernetzt wie nie. Daher sollten wir nicht nur die Auswirkungen von internationalen Ereignissen auf unsere Lieferketten auf dem Schirm haben, sondern auch beachten, welche Bedeutung das spezifische Geschehen für einzelne Personen im Unternehmen hat und wie sich das auf das Unternehmen auswirken kann.
