{"id":4085,"date":"2022-03-23T18:02:00","date_gmt":"2022-03-23T18:02:00","guid":{"rendered":"https:\/\/cybercompare.com\/?p=4085"},"modified":"2023-09-06T12:26:40","modified_gmt":"2023-09-06T12:26:40","slug":"informations-und-cybersicherheit-herausforderungen-entwicklungen-empfehlungen","status":"publish","type":"post","link":"https:\/\/cybercompare.com\/de\/informations-und-cybersicherheit-herausforderungen-entwicklungen-empfehlungen\/","title":{"rendered":"Informations- und Cybersicherheit: Herausforderungen, Entwicklungen & Empfehlungen"},"content":{"rendered":"\n

Michael Reiter<\/h2>\n\n\n\n
\n
\n
\"\"<\/figure>\n<\/div>\n\n\n\n
\n

Michael Reiter ist CISO und Vizepr\u00e4sident f\u00fcr Sicherheit und IT-Infrastruktur bei Rolls-Royce Power Systems AG. Rolls-Royce Power Systems AG ist ein weltweit f\u00fchrender Hersteller von Antriebs- und Energieerzeugungssystemen. Michael Reiter hat mittlerweile \u00fcber 25 Jahre Erfahrung in der Informations- und Cybersicherheit. Als zertifizierter ISO 27001 Lead Auditor hat er Unternehmens-ISMS gepr\u00fcft und war als Gr\u00fcndungsmitglied und Leiter des Branchenarbeitskreises UP KRITIS an der Entwicklung des Sicherheitsstandards (B3S) beteiligt. Im folgenden Interview blickt er auf seine langj\u00e4hrige und \u00e4u\u00dferst erfolgreiche Karriere in der Informations- und Cybersicherheit zur\u00fcck. Er spricht \u00fcber besondere Herausforderungen, die aktuelle Security-Landschaft, Potenziale im OT- und IoT-Umfeld sowie \u00fcber den Zusammenhang zwischen der Verbreitung von Kryptow\u00e4hrungen und der Zunahme von Ransomware-Angriffen. Seine Kernbotschaft an CEOs lautet \u201eSecurity als Erfolgsfaktor der digitalen Zukunft\u201c.<\/p>\n\n\n\n

Das Interview wurde Ende 2021 gef\u00fchrt.<\/p>\n<\/div>\n<\/div>\n\n\n\n

<\/p>\n\n\n\n

Lieber Michael, Du blickst bereits auf eine langj\u00e4hrige und \u00e4u\u00dferst erfolgreiche Karriere in der Informations- und Cybersicherheit zur\u00fcck. Welche besonderen Herausforderungen haben Dich hier begleitet?<\/strong><\/p>\n\n\n\n

Eine der gr\u00f6\u00dften Herausforderungen der letzten Jahre war und ist sicherlich, das Thema aus der IT-Nerd-Ecke heraus zu bekommen und als ernstzunehmendes Thema – sowohl im Businesskontext, als auch gesellschaftlich – zu etablieren. Da ist in den letzten Jahren einiges passiert.<\/p>\n\n\n\n

Heute sind Cyberbedrohungen und ihre m\u00f6glichen Auswirkungen viel pr\u00e4senter. Zuletzt schaffte es die Log4j Schwachstelle sogar zur Primetime in die Tagesschau. Und im Allianz Riskbarometer 2022 ist Cyber, nach einer kurzen Unterbrechung durch die Pandemie, wieder DAS weltweite Top-Risiko f\u00fcr Unternehmen.<\/p>\n\n\n\n

Weitere gro\u00dfe Herausforderungen sehe ich tats\u00e4chlich in der Geschwindigkeit der technologischen Entwicklungen bei gleichzeitigem Mangel an Fachexperten und der Professionalisierung bzw. Institutionalisierung von Cyberangriffen.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Im R\u00fcckblick auf Deinen pers\u00f6nlichen Werdegang, welche besonderen Herausforderungen haben Dich hier begleitet? Gibt es eine Anekdote aus Deinem Berufsleben, \u00fcber die Du heute noch schmunzelst, wenn Du Dich daran erinnerst?<\/strong><\/p>\n\n\n\n

Da muss ich kurz \u00fcberlegen – In meinen knapp 25 Jahren in der Informations- und Cybersicherheit habe ich tats\u00e4chlich schon einiges erlebt.<\/p>\n\n\n\n

Grunds\u00e4tzlich muss man jedoch sagen, dass das Umfeld kontinuierlich neue Herausforderungen bietet, auf die man sich flexibel und dynamisch einstellen muss. Diese eine, gro\u00dfe Herausforderung gibt es meiner Meinung nach nicht. Es ist ein st\u00e4ndiges Beobachten, Hinterfragen, Bewerten, Lernen, (Re-)agieren und Weiterentwickeln.<\/p>\n\n\n\n

Schmunzeln muss ich tats\u00e4chlich, wenn ich daran denke, auf welche Skepsis und teilweise Unverst\u00e4ndnis ich u.a. bei IT-Kollegen in fr\u00fcheren Zeiten gesto\u00dfen bin, als ich in Sicherheitskonzepten und -Anforderungen immer die vollumf\u00e4ngliche H\u00e4rtung von Systemen nach Minimalprinzip, so wie die Verschl\u00fcsselung und Einschr\u00e4nkung von Kommunikationsbeziehungen auch in internen IT-Infrastrukturen gefordert, und gleicherma\u00dfen mit internen und externen Bedrohungen argumentiert habe. Heute ist das praktisch der Standard und wird unter dem Begriff „Zero-Trust“ ja geradezu gehyped.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Was besch\u00e4ftigt Dich und Dein Team bei Rolls-Royce Power Systems aktuell besonders?<\/strong><\/p>\n\n\n\n

Als global agierendes Unternehmen, vertreten in \u00fcber 175 L\u00e4ndern und mit Kunden in 12 unterschiedlichen Branchen, gibt es viele Themen, die uns und unsere Kunden im Kontext Informations- und Datensicherheit bzw. Cyberresilienz besch\u00e4ftigen. Das sind all diese, die vermeintlich alle Unternehmen aktuell besch\u00e4ftigen.<\/p>\n\n\n\n

Einerseits die enorme Zunahme und Bedrohung durch weltweit erfolgreiche Cyberangriffe und die enorme Professionalisierung der Hacker-Gruppierungen (Stichworte: Solarwinds, Cybercrime as a Service, etc.) und andererseits die enorm wachsenden regulatorischen Anforderungen, sowohl in den diversen Branchen, als auch in den unterschiedlichen L\u00e4ndern.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Welche Entwicklungen im Bereich Security findest Du technisch besonders interessant?<\/strong><\/p>\n\n\n\n

Hier bin ich tats\u00e4chlich etwas zwiegespalten. Auf der einen Seite begr\u00fc\u00dfe ich die Entwicklungen und Integration von KI, z.B. in Extended Detection and Response (XDR) L\u00f6sungen, und insbesondere, dass Hersteller damit beginnen, dies ganzheitlich f\u00fcr unterschiedliche Betriebssysteme anzubieten, bzw. zunehmend offene Schnittstellen f\u00fcr hersteller\u00fcbergreifende Auswertungen integrieren.<\/p>\n\n\n\n

Auf der anderen Seite vermisse ich wirklich gro\u00dfe Innovationen bzw. Revolutionen, z.B. zur Abl\u00f6sung von ungesch\u00fctzten, historisch gewachsenen Technologien wie z.B. E-Mail. Auch die Abl\u00f6sung von Passw\u00f6rtern wird in meiner Wahrnehmung nicht wirklich konsequent und \u00fcbergreifend vorangetrieben.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Rolls-Royce betreibt eigene Fabriken und stellt Anlagen her, die z.B. zu Wartungszwecken vernetzt sind. Ist langfristig eine Standardisierung auch in OT\/IoT vorstellbar, werden wir irgendwann nur noch Microsoft f\u00fcr Maschinensteuerungen einsetzen?<\/strong><\/p>\n\n\n\n

Interessante Frage. Im Bereich OT\/IoT sprechen wir ja nicht nur von Maschinensteuerungen. Die Herausforderung bzgl. der Cybersicherheit und -Resilienz liegen meiner Einsch\u00e4tzung nach eher im Bereich der Embedded Systeme, der OT\/IoT spezifischen Protokolle und Schnittstellen, der Integration und Widerstandsf\u00e4higkeit der Software in Verbindung mit modernen Sicherheitstechnologien und letztendlich die Unterst\u00fctzung eines ganzheitlichen Lifecycles \u00fcber einen Zeitraum von 15-20 Jahren.<\/p>\n\n\n\n

Grunds\u00e4tzlich nehme ich einige positive Entwicklungen in diesem Bereich wahr, sehe aber auch noch ganz viele ungel\u00f6ste Fragestellungen.<\/p>\n\n\n\n

OT\/IoT Security vollumf\u00e4nglich mit denselben L\u00f6sungen bzw. Herstellern\/Anbietern aus dem Enterprise IT Umfeld umzusetzen, sehe ich pers\u00f6nlich weder kurzfristig, noch langfristig. Daf\u00fcr sind die Anforderungen und die Rahmenbedingungen (z.B. Stichwort Safety) ganz unterschiedlich.<\/p>\n\n\n\n

Was ich mir vorstellen kann, ist das \u00dcberwachen von Protokollen und Ereignissen, bzw. die Inventarisierung von OT\/IoT Assets \u00fcber heutige Standardschnittstellen – z.T. kommen solche L\u00f6sungen bzw. Module von den klassischen Marktbegleitern ja gerade auf den Markt.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Im Normalfall werden jedes Jahr weitere Security-Ma\u00dfnahmen umgesetzt, neue L\u00f6sungen kommen hinzu. Mal andersherum gefragt: Wenn Du auf eine Security-Ma\u00dfnahme verzichten m\u00fcsstest, welche w\u00e4re das?<\/strong><\/p>\n\n\n\n

Das mag jetzt erst einmal \u00fcberraschend klingen, aber ich w\u00fcrde auf schriftliche Richtlinien, Vorgaben und Anweisungen verzichten wollen.<\/p>\n\n\n\n

Das soll jetzt nicht hei\u00dfen, dass ich ein ISMS\/CSMS nicht als sinnvoll oder notwendig erachte, ganz im Gegenteil. Allerdings stelle ich schon lange fest, dass es in Unternehmen mittlerweile so enorm viele unterschiedliche Richtlinien, Vorgaben und Anweisungen gibt, die kein einzelner Mensch mehr \u00fcberblicken bzw. geschweige die alle lesen und dann einhalten kann.<\/p>\n\n\n\n

Hier w\u00fcnsche ich mir eine moderne, zeitgem\u00e4\u00dfe technologische L\u00f6sung, welche von Grund auf vollst\u00e4ndig neu gedacht wird. Ich habe hierzu auch schon erste eigene Ideen, die behalte ich aber (noch) f\u00fcr uns! \ud83d\ude09<\/p>\n\n\n\n

<\/p>\n\n\n\n

Was fehlt heute noch in der Security-Landschaft (falls etwas fehlt aus Deiner Sicht), und wo ist der Markt schon v\u00f6llig ges\u00e4ttigt?<\/strong><\/p>\n\n\n\n

Oh, da fallen mir f\u00fcr beide Fragen jeweils viele Themen ein.<\/p>\n\n\n\n

Im Bereich der hersteller-\/system\u00fcbergreifenden, passwortlosen Authentifizierung fehlen mir standardisierte Innovationen, bzw. die Durchdringung\/Unterst\u00fctzung der Implementierung (Stichwort: FIDO).<\/p>\n\n\n\n

Im Bereich sichere Kommunikation fehlt mir eine Abl\u00f6sung der klassischen E-Mail durch eine einfach zu handhabenden Ende-zu-Ende verschl\u00fcsselten L\u00f6sung, analog den Messengern. Ich frage mich tats\u00e4chlich schon lange, warum noch kein Konsortium auf die Idee kam, einen neuen IEEE-Standard auf Basis von Messenger Technologie als Abl\u00f6sung des Email-Unterbaus von IMAP(-S), POP3(-S) und SMTP(-S) zu entwickeln bzw. vorzuschlagen. Aber vielleicht stelle ich mir das auch zu einfach vor. Sollte ich jedoch gerade den Impuls f\u00fcr eine Innovation gegeben haben, dann freue ich mich auf eine Beteiligung. \ud83d\ude09<\/p>\n\n\n\n

Weiterhin sehe ich im OT\/IoT Umfeld noch viel Potential f\u00fcr spezialisierte L\u00f6sungen und Produkte.<\/p>\n\n\n\n

Bzgl. der Frage zur S\u00e4ttigung sehe ich z.B. in vielen Bereichen Antivirus\/Malware-Schutz\/Threat-Erkennung, aber auch im klassischen Netzwerk\/Firewall Umfeld viele sehr gute L\u00f6sungen und Produkte, die sich nur in Nuancen voneinander unterscheiden. Mal ist der eine Hersteller mit einem Produkt f\u00fchrend, mal wieder der Andere.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Siehst Du einen Zusammenhang in der Verbreitung von Kryptow\u00e4hrungen (wie Bitcoin oder Monero) mit der Zunahme von Ransomware-Angriffen?<\/strong><\/p>\n\n\n\n

Absolut. Ransomware ist ja nichts anderes als das Werkzeug f\u00fcr eine klassische Erpressung. Der Schwachpunkt bei einer Erpressung und das Risiko erwischt bzw. verhaftet zu werden, ist bekannterma\u00dfen immer die Geld\u00fcbergabe. Dieses Risiko hat sich mit der Durchdringung und der Akzeptanz von Kryptow\u00e4hrungen von einem Tag auf den Anderen nahezu aufgel\u00f6st.<\/p>\n\n\n\n

Anders gesagt – w\u00fcrden die Kryptow\u00e4hrungen weltweit nicht mehr akzeptiert bzw. verboten werden, k\u00f6nnten die Ransomwareangriffe nach meiner Einsch\u00e4tzung stark abnehmen.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Eigentlich suchen alle Unternehmen Security-Spezialisten. Hast Du einen Tipp daf\u00fcr, neue MitarbeiterInnen aus benachbarten Themengebieten schnell weiterzuentwickeln und einzuarbeiten?<\/strong><\/p>\n\n\n\n

In der Tat ist die Situation auf dem Arbeitsmarkt f\u00fcr Security-Spezialisten, insbesondere Erfahrene, sehr angespannt. Die Aussicht auf kurzfristige Verbesserung sehe ich nicht.<\/p>\n\n\n\n

Was ich aber sehe, ist der dringende Bedarf von ganz neuen Ausbildungskonzepten bzw. Weiterbildungs-\/Umschulungsangeboten, um wenigstens den mittelfristigen Ausblick zu verbessern.<\/p>\n\n\n\n

Ich frage mich, warum gibt es in den Lehrpl\u00e4nen immer noch kein (oder nur sehr selten) verpflichtendes Hauptfach, welches IT-\/Programmier-Grundwissen in den unteren Klassen der Schulen vermittelt. Und welche Ausbildungsberufe (nicht Studium) f\u00fcr Software, Daten und Security-Spezialisten werden angeboten? Welche staatlich anerkannten Umschulungs- und\/oder Weiterbildungsm\u00f6glichkeiten, wie z.B. Techniker, Meister, etc. gibt es?<\/p>\n\n\n\n

<\/p>\n\n\n\n

Wenn Du eine E-Mail an alle CEOs dieser Welt schicken k\u00f6nntest, wie w\u00fcrde die Betreffzeile oder die Kernbotschaft lauten?<\/strong><\/p>\n\n\n\n

Meine Kernbotschaft w\u00e4re: „Security als Erfolgsfaktor der digitalen Zukunft“.<\/p>\n\n\n\n

Aus meiner Erfahrung besteht in vielen Unternehmensf\u00fchrungen der dringende Bedarf, die Informations- und Cybersicherheit aus der IT-Ecke herauszuholen und Top-Down eine Sicherheitskultur im Unternehmen zu entwickeln, in der Informations- und Cybersicherheit von den F\u00fchrungskr\u00e4ften und Mitarbeiter*innen als Grundvoraussetzung bzw. Business-Enabler wahrgenommen und gelebt wird.<\/p>\n\n\n\n

Um das nachhaltig umzusetzen und sich optimalerweise von Mitbewerbern abzuheben, ben\u00f6tigt es nach meiner Wahrnehmung dieselbe Stringenz und Zielstrebigkeit im t\u00e4glichen Doing der Fachbereiche und den geforderten KPIs, Security als weiteren Erfolgsfaktor neben Qualit\u00e4t, Kosten und Time-to-market zu etablieren.<\/p>\n\n\n\n

Security in diesem Kontext kann hier sehr vielschichtig sein, von der klassischen IT-Sicherheit, \u00fcber die Informations- und Datensicherheit bzw. -souver\u00e4nit\u00e4t, aber auch die Verf\u00fcgbarkeit und Funktionsf\u00e4higkeit der Produktionsanlagen bzw. der Resilienz von Produkten und Services.<\/p>\n\n\n\n

Vielen Dank, Michael!<\/p>\n\n\n\n

\u00dcbrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider \u2013 aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenw\u00e4rtigen Entwicklungen vertiefend und freuen uns \u00fcber Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abh\u00e4ngig von der kundenindividuellen Situation.<\/p>\n","protected":false},"excerpt":{"rendered":"

Michael Reiter Michael Reiter ist CISO und Vizepr\u00e4sident f\u00fcr Sicherheit und IT-Infrastruktur bei Rolls-Royce Power […]<\/p>\n","protected":false},"author":24,"featured_media":4086,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[19],"tags":[],"class_list":["post-4085","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-interviews-de"],"_links":{"self":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/4085","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/users\/24"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/comments?post=4085"}],"version-history":[{"count":1,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/4085\/revisions"}],"predecessor-version":[{"id":4090,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/4085\/revisions\/4090"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/media\/4086"}],"wp:attachment":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/media?parent=4085"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/categories?post=4085"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/tags?post=4085"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}