Merck Group
Die Merck Gruppe beschäftigt weltweit rund 63.000 Mitarbeiter. Wie behalten Sie den Überblick in Sachen Cybersicherheit?
Buß: Zum Glück haben wir ein sehr engagiertes Team, das in alle Richtungen den Überblick behält. Unser Security Operations Center bildet dabei das Herzstück. Die Kolleginnen und Kollegen sind 24/7 für alle Belange der Cybersicherheit die ersten Ansprechpartner. Darüber hinaus erstellen sie Lageberichte, werten die sich ständig ändernden Angriffsvektoren aus und betreiben ein aktives Vulnerability Management. All das hilft uns im besten Fall „vor die Lage“ zu kommen.
Wie lassen sich die Risiken in so einem großen Unternehmen kontrollieren und wie sorgen Sie für Cyberresilienz?
Buß: Ein Restrisiko besteht immer, wir sind nicht in der Lage alle Risiken vollumfänglich zu kontrollieren. Deshalb haben wir einen Risk-Management-Prozess installiert, der uns hilft, die Risiken rechtzeitig zu erkennen und einzuordnen. Dabei wird die Vulnerabilität unserer Systeme und die Bedrohungslandschaft fortlaufend überwacht.
Ein weiterer wichtiger Bestandteil ist aber auch der Bereich, der es uns ermöglicht, den Normalbetrieb nach einem Schadensereignis schnellstmöglich wieder aufzunehmen. Diesen sollte man, ebenso wie die Abwehrmechanismen, stets up to date halten. Unterstützt wird das Ganze durch ein umfangreiches Trainings- und Awareness-Programm, das alle Mitarbeitenden sensibilisiert und Werkzeuge an die Hand gibt, um Risiken zu erkennen und diese zu minimieren.
Wie unterscheidet sich das Awareness-Programm der Merck Gruppe im Vergleich zu anderen Unternehmen?
Buß: Unsere Love-Security-Kampagne ist von der Aufmachung her völlig gegensätzlich zu dem, was sonst so gemacht wird. Das Programm geht dabei über die üblichen Trainings wie Anti-Phishing-Kampagnen hinaus – was wir zwar auch anbieten, aber unsere Love-Security-Initiative läuft nicht über die technische Ebene, sondern über die emotionale. Wir haben zum Beispiel alle Visualisierungen mit rosafarbenen Herzen versehen, um das Thema Security positiv darzustellen. So gab es unter anderem Poster-Aktionen und Giveaways, die damit gestaltet wurden. Unser Ziel ist es, jeden einzelnen Mitarbeitenden abzuholen und zu überzeugen, dass er seinen Beitrag zur Sicherheit leisten kann.
Haben Sie schon einmal einen Cybervorfall erlebt? Wenn ja, wie sind Sie damit umgegangen und was haben Sie daraus gelernt?
Buß: Ja, leider musste ich die Erfahrung machen. Nicht in meiner Rolle bei Merck, aber an anderer Stelle. Ich denke, das Wichtigste, was ich daraus gelernt habe und wie ich mit der Situation umgegangen bin, war Ruhe zu bewahren, den Expertinnen und Experten sowie Kollegen und Kolleginnen zu vertrauen und ihnen die Sicherheit zu geben, dass alles, was sie machen, meine Rückendeckung hat.
Lesetipp: 6 wichtige Punkte für Ihren Incident Response Plan
Was würden Sie anderen CISOs in so einem Fall raten?
Buß: Was aus meiner Sicht am wichtigsten ist: Nicht vorschnell agieren und von außen unter Druck setzen lassen. Stattdessen sollte man klare und schnelle Entscheidungen treffen, die auf einer objektiven Situationsbeurteilung beruhen. Spekulationen und „Könnte – würde – sollte-Fragen“ sind meiner Ansicht nach nicht hilfreich in so einer Krisensituation. Zudem ist es entscheidend, die richtigen Experten an seiner Seite zu haben.
Allerdings kann man sich nicht auf jede Situation vorbereiten oder alles vorhersehen. Damit sollte man sich abfinden.
Welche Security-Projekte haben Sie für die Zukunft geplant?
Buß: Ein aktuell großes Projekt befasst sich mit den Fragestellungen und Konsequenzen, die sich aus NIS 2 für uns als Unternehmen ergeben. Zusätzlich beschäftigen wir uns mit der Frage, welche Chancen und auch Risiken wir in den Entwicklungen im Bereich AI sehen. Das heißt, wir setzen uns damit auseinander, wie wir künstliche Intelligenz im Security-Bereich sinnvoll verwenden können – zum Beispiel, um Prozesse zu automatisieren und für die Detektion. Auf der anderen Seite versuchen wir auch zu verstehen, inwieweit KI künftig von Angreifern genutzt werden kann. Dabei bekommt das Thema Social Engineering auch noch einmal eine neue Dimension. Durch den Missbrauch von AI ist nicht mehr feststellbar, ob eine Person tatsächlich mit Ihnen hier im Teams-Call sitzt, oder das Ganze ein Fake ist.
Lesetipp: Sie interessieren sich für die Meinung von CISOs? Dann lesen Sie auch:
Payback-CISO: „Vorbereitung ist das A und O“
Körber-CISO im Interview – Angreifer-KI vs. Schutz-KI: “Wir dürfen den Kampf nicht verlieren”
The original article found on „Eine Krisensituation erfordert klare Entscheidungen“ | CSO Online Read More
