Marcel Lehner
Marcel Lehner gestaltet seit über 20 Jahren die Cyber-, Informations- und IT-Security-Branche mit –entsprechend dem Motto „Shaping information security together“. Seit 10 Jahren leitet er leidenschaftlich als Chief Information Security Officer (CISO) die interne Cyber-Security Organisation der Mayr-Melnhof Karton AG. In dieser Funktion ist es ihm besonders wichtig, seine gesammelten Erfahrungen weiterzugeben.
Im folgenden Interview tauschen sich Simeon Mussler, COO Bosch CyberCompare, und Marcel Lehner über seine Tätigkeiten und Erfahrungen der letzten zehn Jahre als CISO bei der Mayr-Melnhof Gruppe aus. Dabei geht er auf die vergangene, aktuelle und womöglich zukünftige Situation des Unternehmens ein.
Was ist für Cybersicherheit oder Informationssicherheit von elementarer Bedeutung? Wie wurde eine Outsourcing- und Cloud Migration aus einer On-Premise-Umgebung durchgeführt? Wie wurde das Thema Ausschreibung angegangen? Welche Sicherheitslösungen wurden und werden implementiert? Was sind die nächsten Meilensteine des Unternehmens?
Aus seinen Erfahrungen abgeleitet, gibt er Empfehlungen an andere CISO´s und Unternehmen.
Herzlich willkommen, Marcel Lehner. Wir freuen uns sehr, dass Du Dir heute die Zeit genommen hast, um einfach über Deine Erfahrungen zu sprechen und einige Fragen, die glaube ich für viele andere genauso relevant sind, zu diskutieren. Vielleicht fangen wir damit an, dass Du Dich kurz vorstellst, damit die anderen wissen, mit wem wir es heute zu tun haben.
Sehr gerne. Auch von meiner Seite ein herzliches Dankeschön für die Einladung, Simon. Ich freue mich auch, hier zu sein und freue mich auch, ein bisschen was über mich und über unsere Security erzählen zu dürfen.
Kleiner Hintergrund: Ich bin mittlerweile 20 Jahre im IT-Security-Bereich tätig, also über 20 Jahre. Und davon die letzten zehn Jahre schon für die Mayr-Melnhof Gruppe als CISO tätig und habe die letzten zehn Jahre sehr sehr viel erleben dürfen.
Vielleicht auch noch ein paar Worte kurz zur Mayr-Melnhof Gruppe. Wir sind Europas führender Produzent für Karton und Faltschachteln. Wir haben 53 Standorte, also man muss immer schauen, wir sind gerade ziemlich auf Einkaufstour, also wir wir expandieren massiv, aber so 2021 hatten wir ca. 53 Produktionsstandorte auf drei Kontinente – davon sechs Karton- und 46 Packaging-Standorte. Wir haben jetzt ca. 13.000 Mitarbeiter, sind aber ständig am Wachsen. Also man sieht, wir sind schon sehr weit vertreten, auch nicht mehr da das kleinste Unternehmen und gerade diese fragmentierte Aufstellung in den unterschiedlichen Ländern, auch eine fragmentierte IT natürlich, da komme ich nachher noch zum Reden, macht das Leben als CISO sehr sehr spannend.
Genau, wir hatten ja auch darüber diskutiert, dass Sie eine ziemlich umfassende Outsourcing- und Cloud Migration gemacht haben und aus einer wahrscheinlich relativ fragmentierten und typischen On-Prem-Umgebung. Was hat Euch und Dich dazu bewogen, so eine Art „Leapfrog“ zu machen, sozusagen nicht inkrementell vorzugehen, sondern wirklich so einen großen Schritt zu machen, um die mehr oder weniger gesamte Systemlandschaft innerhalb weniger Monate eigentlich umzustellen?
Das hat vielleicht auch mit unserem Vorstandswechsel zu tun, wenn man sich die Mayr-Melnhof Gruppe anschaut. Wir sind ein Traditionsunternehmen, ein österreichisches, mit einem zwar langsamen dafür immer stetigen Wachstum gewesen.
Wir haben aber vor circa zwei Jahren, zweieinhalb Jahren, einen Vorstandswechsel gehabt und der neue Vorstand ist auf Expansionskurs, wie ich gerade gesagt habe. Also wir haben jetzt die letzten Jahre einige Werke gekauft. Es stehen jetzt schon wieder einige zur Übernahme an. Das heißt wir müssen flexibel werden und wir müssen schnell eskalieren können und das war halt mit der On-Prem-Mannschaft – natürlich geht es auch irgendwie – aber wenn man ein Business Partner oder mehrere Business Partner hat, hat das halt doch gewisse Vorteile gerade was die Skalierung betrifft, Herausforderungen, was die Security betrifft. Aber für die Skalierung war das definitiv einer der Hauptgründe, warum wir jetzt auch gesagt haben, so schnell in den letzten zwei Jahren diesen Change von On-Premise IT-Mannschaft zu Managed Service Outsourcing Cloud Partnern.
Und neben der Fragmentierung und dem Wachstum, was Du schon genannt hast, was waren weitere Voraussetzungen, die Du beim Start vorgefunden hast und wie bist Du eigentlich in die Planung dann eingestiegen?
Wenn man sich die Mayr-Melnhof Gruppe anschaut, wir haben eine mittlerweile sehr starke Zentralisierung, auch was die IT betrifft, auch vor unserer Outsourcing Strategie haben wir sehr viele Services schon im Haus betrieben, für die Werke. Also wir sind als interner Service-Provider aufgetreten, machen wir natürlich jetzt auch noch immer, nur haben wir jetzt alles an die Partner rausgegeben.
Ich glaube die größte Challenge war jetzt, wenn man vielleicht ein bisschen abschwenkt, für mich oder auch für diesen Change, den wir gehabt haben, war zum einen einmal in recht kurzer Zeit die passenden Partner zu finden, weil wir doch weltweit vertreten sind. Also wir haben doch geschaut, dass wir internationale Partner finden, die auch in anderen Ländern für uns vor Ort sind, zum Teil auch, wenn wir sehr viel jetzt zentral machen. Wir mussten recht schnell auch einen gewissen Kultur-Change durchleben, denn man kann sich vorstellen, die IT-Kollegen, vor allem die jetzt 10/20/30 Jahre hier waren und On-Premise gearbeitet haben und selbst an den Systemen gearbeitet haben. Das ist doch ein massiver Change, wenn man von heute auf morgen nicht mehr selbst Hand anlegt, sondern einfach alles den Partner gibt, dass man wird eigentlich vom IT-Techniker oder vom IT-Administrator zum Service Delivery Manager und auch dieser Kulturwandel wurde natürlich teilweise positiv, aber zum anderen natürlich auch teilweise nicht so positiv aufgenommen, aber auch das war ein großer Change für uns.
Also wir hatten hier schon einige Herausforderungen, auch aus der Security Sicht. Wir hatten natürlich unseren gesamten ISMS Werk, als wir sind auf ISO 27001 zertifiziert, sehr auf On-Premise gelegt, weil wir hatten wenig oder nicht viel Fokus auf Dienstleistersteuerung legen müssen, wir mussten nicht viel auf SLA schauen, wir mussten nicht viele Schnittstellen dokumentieren, weil wir alles im Haus hatten. Und natürlich auch die Reaktionszeit, mal wesentlich schneller, muss man sagen und das mussten wir jetzt alles beachten. Wir mussten das ISMS umschreiben, wir mussten Dienstleister-Vorgaben schreiben, also Security Vorgaben für die Dienstleister und in einem / in zwei Monaten steht die Rezertifizierung an. Das wird bestimmt sehr spannend mit diesen vielen Dienstleistern. Wir haben jetzt nicht nur einen wir haben mehrere mittlerweile und genau diese Schnittstellenthematik, diese Vertragsthematik, SLA Thematik ist definitiv sehr sehr spannend und wird auch uns in Zukunft weiterhin sehr beschäftigen.
Spannend, super. Und vielleicht eine Zwischenfrage an der Stelle: Wie seid Ihr das Thema Ausschreibung angegangen, also habt Ihr ein Gesamtpaket gebildet und das dann untergliedert oder habt Ihr das Schritt für Schritt und dann jeweils Spezifikation, Ausschreibung etc. vorgenommen?
Wir haben das „Waves“ gedacht, also Wellen, wir haben jetzt quasi eine Welle für das Data Center, eine Welle für den Endpoint, eine Welle für Security, also wir haben das so quasi in Wellen gegeben und für jede dieser Wellen oder Waves konnten sich die Anbieter bewerben.
Also haben kleine Spezifikationskataloge erstellt, ein Ausschreibungskatalog und haben das dann quasi ausgeschrieben, ja.
Wie habt Ihr dabei darauf geachtet, dass die zueinander passen?
Es gab eine übergeordnete Koordinationsfunktion, das war auch eine externe Begleitung, die uns das ein bisschen unter einen Umbrella gestellt hat.
Und jetzt der Bereich Cybersecurity: Hast es schon ein paar Mal gesagt, aber inwieweit habt Ihr den schon bei Architektur und Design eigentlich der Wellen, in dem Falle, eingebaut und inwieweit ist das sozusagen Kernbestandteil oder ein Bestandteil von vielen? Cybersecurity ist sozusagen ein Teil des Ganzen, oft nicht der Hauptteil, aber wie seid Ihr vorgegangen, das einzubetten?
Vielleicht darf ich hier auf zwei Teile aufteilen, weil wir haben ja, wie gesagt, auch eine Wave Security, die auch noch immer läuft. Also ich habe auch dann vor zwei Jahren eine komplett neue IT-Security Strategie aufgestellt mit einem Drei- bis Fünfjahresplan, wenn man so lange planen kann, aber mit einem ungefähren Outlook.
Wir haben ja auch Teile der Security outgesourced. Also vor allem die operativen Themen, wie ein SIEM/SOC zum Beispiel oder ein Vulnerability Management. Das war die Security Roadmap, das heißt das war ziemlich eigenständig und unabhängig von den anderen Projekten.
Bei den anderen Projekten haben wir, wie gesagt, unser ISMS Regelwerk, also wir haben schon diese Vorgaben gehabt, auch zu einem gewissen Teil für bestehende Partner, auch wenn nur kleiner gelebt. Man muss schon auch ehrlicherweise dazu sagen: Durch den Speed, den wir hier hatten bei diesem Outsourcing, ist wie so oft die Security vielleicht nicht immer ganz vorne angestellt gewesen – sagen wir mal so. Wir sind natürlich eingebunden worden, aber das Wichtigste war zum einen einmal, dass man die Systeme up and running kriegt, also beim Partner und wir tun jetzt natürlich schon Nachschärfen, also wir kommen schon drauf, okay vielleicht hat man hier eine Kleinigkeit vergessen, dort ein Kleinigkeit vergessen, aber das Wichtigste für mich war, man muss sich auch als Security, wenn man nicht aktiv eingebunden wird, muss man selbst proaktiv auf die Teams zugehen und sich selbst rein reklamieren, auch wenn es die Teams nicht immer gerne sehen, weil wenn man die Security einkauft, bedeutet das auch hin und wieder etwas mehr Arbeit.
Aber lieber im Vorfeld die Security mit etwas mehr Aufwand berücksichtigen, als im Nachgang mit noch mehr Aufwand erst nachzurüsten.
Wird häufig eher teurer. Security ist ja auch immer eine Richtung eine Trade-off-Entscheidung, muss man einfach risikobasiert dann treffen. Gibt es vielleicht ein paar Beispiele, wo Ihr Trade-off-Entscheidungen einfach zwischen Features, Usability und Security treffen musstet und wie seid Ihr damit vorgegangen oder wie habt Ihr Euch entschieden, vielleicht?
Sagen wir mal so, Trade-offs mussten wir gar nicht so viele machen, weil das Budget war gegeben – das muss man sagen, das ist ja nicht immer so selbstverständlich, dass man das Security Budget kriegt, das man braucht. Aber das ist durch unseren neuen Vorstand und durch unsere neue Teamleitung, die sind auch sehr Security-affin und unterstützen die Security auch ganz stark, war mal diese Grundlage gegeben.
Wir hatten einige Themen, wie zum Beispiel ein SIEM/SOC,hatten wir vorher noch gar nicht. Also wir haben hier bei bestimmten Themen auf der grünen Wiese angefangen, daher mussten wir hier nicht großartig Trade-offs machen. Ganz im Gegenteil, wir konnten sogar mit dem bestehenden Partner schauen, wo gibt es Synergien, welche Partner integrieren sich gut, welche arbeiten gut zusammen.
Natürlich jetzt kommt man im Nachgang vielleicht beim einen oder anderen Thema drauf, muss man auch ganz ehrlich sagen, wo wir sagen, „okay, dieses Know-how hätten wir vielleicht besser nicht nach draußen gehen sollen.“ Wir sind sogar schon wieder soweit, dass wir bestimmte Themen jetzt doch wieder ins Haus holen. Klassisches Beispiel also, wie es bei uns jetzt ist, kann ich auch offen sagen, ist zum Beispiel das wohl Vulnerability Management System. Natürlich, das Scanning kann der Externe machen, aber wir haben uns so erhofft, dass der Externe auch das interne Patching anleiten kann und so weiter. Aber man muss so einen komplexen Konzern und auch so eine komplexe IT-Infrastruktur mehr verstehen und da haben wir auch lernen müssen: „Okay, wir können doch nicht alles den Partner geben. Ein Teil muss bei uns bleiben.“ Jetzt schauen wir halt zum Beispiel gerade beim Vulnerability Management, dass wir das Scanning, dass einfache Doings, sage ich mal, was zum Teil automatisiert läuft, dem Partner machen lassen, aber das ganze Patch Management, das Vulnerability Management, dann doch im Haus die Ressource behalten. Aber im Großen und Ganzen, muss ich sagen, mussten wir hier keine großen Abstriche machen.
Super, cool. Ist wahrscheinlich auch dadurch, dass Ihr es von Anfang an auch mitgedacht habt, natürlich der große Vorteil, weil häufig die Erfahrung ist, man macht was, und da muss man es hinterher zusammensammeln und dann muss man nämlich den Trade-off fahren, weil dann schon natürlich Features freigegeben waren, die dann wieder eins werden muss. Das ist der schlechtere Weg, der unangenehmere Weg.
Und jetzt vielleicht im Rückblick auch auf die letzten Monate und jetzt schon Jahre in diesem Übergang. Was sind so elementare Punkte für Cybersicherheit oder Informationssicherheit, die Euch auf diesem Weg aufgefallen sind und die auch für andere relevant werden, von Anfang an auf dem Schirm zu haben?
Also eines ist, aber ich glaube, da spreche ich jedem CISO aus der Seele, das ist ja heute auch kein Geheimnis mehr, ist, dass man die Security ganzheitlich betrachtet. Auch wir haben es bis vor Kurzem nicht ganzheitlich betrachtet. Wir haben zum Beispiel die OT, also die Industriesicherheit, den Werken überlassen, weil die einfach eine klare Schnittstelle war, die IT gehabt haben. Nach einigen internen Diskussionen und Überzeugungsarbeit, muss man auch sagen, haben wir uns darauf geeinigt, dass auch die OT-Security zu uns in die Group Security wandert. Weil es einfach wichtig ist, dass man das ganze System Infrastruktur oder IT und OT als Ganzes betrachtet. Es verschmilzt ja auch immer mehr. Man holt sich die BI, das Analytics, holt sich immer mehr Daten aus dem OT-Bereich; der OT-Bereich holt sich Produktionsdaten, Produktionsaufträge aus der IT. Also es wird immer mehr vernetzt. Daher ist es, glaube ich, das A und O, dass man Security ganzheitlich betrachtet und jetzt natürlich mit den ganzen Partnern und mit dem Outsourcing-Partnern und natürlich dann auch noch mit der Cloud zukünftig, muss man hier auch die Partner immer mehr ins Boot holen.
Also ich glaube, das ist einer der wichtigsten Punkte – diese ganzheitliche Betrachtung. Und natürlich Security frühzeitig einzubinden – je früher, umso besser, je später, umso kostspieliger. Das sind meine zwei Main Takeaways der letzten Jahre; habe auch viel lernen müssen selbst.
Und das Ziel als CISO natürlich, vielleicht auch für die CISO´s ein Tipp, dass man sich als CISO Gehör verschafft. Also weg von dieser Buhmann-Rolle, hört man immer mehr, also der CISO ist auch immer mehr der Business Enabler, also auch als Security. Das ist definitiv ein wichtiger Punkt, dass man sich als CISO auch mit dem Business gut stellt, dass man rausgeht ins Business, nicht nur, wie es viele noch immer denken, Security als IT-Thema betrachtet, sondern als ganzheitliches Thema, Konzernthema betrachtet.
Wir haben auch sehr wichtige interne Takeaways: Jetzt auch das ganze Thema Tool-Auswahl, wenn man unserer Infrastruktur und unsere Security Infrastruktur anschaut, da würde ich sagen, da hätte ich mir in der Vergangenheit wahrscheinlich (…) hin und wieder öfter einen Partner geholt, der uns auch bei der Evaluierung von diesen Themen hilft, weil hier die große Challenge wirklich ist, jeder schreibt sich auf, er kann alles, quasi. Wenn man dann die Produkte einmal hat, wenn man dann einmal seine eigenen Anforderungen mit den Produkten vergleicht, oft kommt man erst dann im täglichen Betrieb drauf, „das passt doch nicht so, wie uns das der Verkäufer, der Key-Accounter, gesagt hat.“ Also hier gehe ich lieber immer eine extra Schleife mittlerweile, auch wenn es notwendig ist, mit externer Unterstützung, die uns bei der Evaluierung helfen, weil es halt mittlerweile auch so viele verschiedene Anbieter gibt.
Aber das ist definitiv auch ein Key-Takeaway: Bitte lieber einmal eine extra Runde gehen, schauen, sind die Produkte überhaupt notwendig, braucht man es überhaupt. Wir sind auch gerade dabei sehr stark wieder zu konsolidieren, also viele Produkte, vielleicht habe ich ein kleines Drehtuch, wenn ich ein Produkt weggebe, aber dafür spare ich mir halt die Administration von zehn verschiedenen Produkten und habe am Ende des Tages noch mehr zwei oder drei. Also man braucht kein ganzes Bauhaus voll Tools, man braucht nur die richtigen Tools.
Du hattest das Stichwort OT gerade schon auch angesprochen. Gehe ich dann richtig in der Annahme, dass Ihr sozusagen die Wellen erstmal IT-fokussiert aufgesetzt habt und dann im Nachgang oder in einem zweiten Schritt geschaut habt, wie das auf die OT passt, nachdem Ihr die Verantwortung zusammengeführt habt? Oder war die OT auch vorher schon integriert?
Nein, die war vorher noch nicht integriert. Das hat schon natürlich eine gewisse Schnittstelle gegeben, weil wir natürlich schon vor dieser ganzen Transformation hier bestimmte Systeme angebunden gehabt haben, weil wir Produktionsdaten schon gebraucht haben, weil wir schon Maschinendaten ausgelesen haben. Ja, das war es schon gegeben, aber es gab eine klare OT-Firmware, das war die Schnittstelle.
In meiner Security Roadmap für drei bis fünf Jahre haben wir natürlich OT schon betrachtet, also wir wussten zwar noch nicht, ob wir es wirklich schaffen, dass wir die OT Governance und Compliance bei uns in die Verantwortung kriegen, aber natürlich haben wir das mit diesen ganzheitlichen Einsatz dann auch geschafft, war also schon Teil der Security Roadmap und haben das ja jetzt dann auch technisch implementiert.
Und jetzt habt Ihr natürlich ein paar Sachen, die jetzt so anstehen, ist natürlich so Justierung, vielleicht Verantwortlichkeiten noch mal anschauen, aber was sind dann weiterhin so für die nächsten, wenn Du den Drei- bis Fünfjahresplan hast, was sind die Meilensteine, die Ihr Euch da jetzt noch vorgenommen habt als Nächstes?
Genau, wir haben bestimmte Themen, die wir natürlich noch umsetzen müssen und Security ist ja eher ein laufendes Thema.
Aber ein ganz großes Thema für uns ist jetzt natürlich das BCM Thema, also Business Continuity Management, Resilienz Thema, das heißt auch, dass wir, wenn wirklich was passiert, wieder schnell up and running sind. Also das ist glaube ich, eines der größten Themen. Jetzt sind wir gerade dabei, ein BCMS System aufzubauen, also parallel zu unserem Informationssicherheitsmanagementsystem ein Business Continuity Management System und dann natürlich alles was danach gelagert ist, wieder Anlaufpläne, wieder Anlaufprozeduren und so weiter. Bis hin zu Business Impact Analysen.
Ein weiteres großes Thema ist natürlich das ganze Thema Zero Trust, das kommt jetzt bei uns schon langsam, sage ich einmal. Wir fangen hier im Netzwerkbereich, also ZTNA, also Zero Trust Network Access, und dann ab nächstes Jahr wollen wir das dann ausweiten auf den Client und Endpoint Bereich. Also definitiv ein großes Thema.
Krisenmanagement ist ein großes Thema, das wir im Zuge des BCMS natürlich ein bisschen noch erweitern und, wo wir jetzt noch ein bisschen evaluieren, aber was auch definitiv noch eine Baustelle ist, ist, sage ich, das ganze Thema Identity Management. Wir haben ein klassisches Active Directory, aber wir wollen ja weiter gehen, wir wollen das Live Sector Management so weit wie möglich automatisieren und da braucht es natürlich auch eine gewisse Toolunterstützung. Das sind so die Kernthemen, die wir jetzt die nächsten zwei/drei Jahre oder ein/zwei Jahre im Fokus haben.
Wird nicht langweilig.
Überhaupt nicht, nein.
Genau, und vielleicht, einfach noch mal abschließend nochmal zurückgeblickt und noch mal gesagt: Wenn Du Dir auf die letzten so circa zwei Jahre schaust, die es ja waren, was würdest Du aus heutiger Sicht anders machen bzw. anderen Unternehmen auch gleich empfehlen in ihrem Vorgehen zu beachten?
Also ich glaube das aller aller aller Wichtigste ist es, vor allem sobald noch externe Partner ins Spiel kommen, klare Rollen und Verantwortlichkeiten. Damit haben wir heute noch zu kämpfen, obwohl wir natürlich, man hat Verträge, aber wenn die nicht sauber gestaltet sind, wenn die Prozesse nicht sauber gestaltet sind und vor allem die Verantwortlichkeiten und die Ansprechpartner nicht sauber gestaltet sind, dann hat man im Nachgang sehr viele extra Schritte zu tun und ich glaube, das ist einfach das Allerwichtigste, damit man klar definiert, wer ist für was zuständig und das am besten natürlich auch verschriftlicht. Also das ist mein Key Learning aus den letzten zwei Jahren.
Gilt nicht nur beim Outsourcing, sondern natürlich auch, wenn man On-Premise alles selbst betreibt. Das haben wir in der Vergangenheit probiert zu machen, dass wir alles so gut wie möglich dokumentieren. Das ist jetzt im Zuge dieser schnellen Transformation vielleicht ein bisschen untergegangen, weil es ist immer einfacher zu sagen, „Ja, das macht eh alles der Partner“, aber im Daily Doing merkt man dann doch, dass es nicht so ist, dass das einfach der Partner machte. Die Retainingorganisation muss gestärkt werden, die Retainingorganisation, die im Haus bleibt, die muss geschult werden und die ist natürlich nach wie vor der Hauptverantwortliche. Das ist Accountability, bleibt natürlich immer beim Unternehmen und das ist etwas, was klar geregelt werden muss und ich glaube, da haben wir noch ein bisschen Lernbedarf gehabt, das haben wir jetzt beachtet und jetzt geht es darum, eben diese Themen nachzuschärfen. Aber ich glaube, das ist das Allerwichtigste, finde ich, ja.
Spannend! Dann hätte ich gesagt, für den Moment, vielen Dank für Deine Zeit, dass Du Erfahrungen mit uns geteilt hast.
Ich glaube, es lohnt sich wahrscheinlich in einiger Zeit wieder reinzuhören, wie Ihr quasi die nächsten Schritte gemacht habt und für den Moment herzlichen Dank und viel Erfolg auf dem Weg weiterhin.
Vielen Dank und danke für die Einladung. Bis bald!
Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.
Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.
