Wie sieht dein bisheriger Werdegang aus?
Nach der Schule habe ich mit einer Lehre als Elektromonteur gestartet. Mein Ziel war es, nach der Berufsmatura Elektroingenieur zu werden, doch dann kam alles anders. Während der Berufsmatura stiess ich auf eine spannende Anzeige eines neuen Studiengangs der Hochschule Luzern mit Fokus Wirtschafsinformatik. Dies war mein Einstieg in das Gebiet der Informatik. Nach dem Vollzeitstudium habe ich dann bei Roche Diagnostics in Rotkreuz als System Engineer meine ersten Arbeitserfahrungen gesammelt. Vier Jahre später habe ich mich dazu entschieden, einen Master in Information Security zu absolvieren. Nach meinem Abschluss startete ich dann meine nächste berufliche Herausforderung beim Kanton Luzern und beim Kanton Aargau als Informationssicherheitsbeauftragter, bevor ich dann vor gut drei Jahren bei der AMAG landete.
Wie sieht dein Arbeitsalltag als CISO aus?
Ich finde meinen Job als CISO abwechslungsreich. Ich glaube, man kann diesen ein wenig mit einem Berufsfeuerwehrmann vergleichen (ich war selbst auch mal bei der Feuerwehr). Die meiste Zeit des Tages verbringe ich mit dem Erarbeiten von unterschiedlichen Konzepten, Projekten, Richtlinien, Anforderungen und Sicherheitsvorgaben. Gleichzeitig begleiten wir auch viele Projekte und versuchen, darin das Thema Informationssicherheit so früh als möglich zu platzieren. Was an die Feuerwehr erinnert, ist das stetige Reagieren auf Alarmierungen, die durch unsere Sicherheitsüberwachungssysteme ausgelöst werden. Was in diesen Fällen passiert, ist jedes Mal aufs Neue eine Herausforderung, welcher sich die gesamte Security-Abteilung nahezu wöchentlich stellt. Ziel ist es, die Ausbreitung von Hackern und ihr Wille nach Zerstörung zu verhindern oder einzudämmen. Weiter ist es dann meine Aufgabe, Entscheide zu treffen, welche Systeme wie weit abgeschaltet oder vom Internet getrennt werden, um eine Ausbreitung und z. B. eine komplette Verschlüsselung unserer AMAG Systeme zu verhindern. Das sind dann die Momente, wo die Mitarbeitenden in ihrer täglichen Arbeit und der Nutzung unserer Informatikmittel etwas eingeschränkt werden können.
Was macht ihr bezüglich Awareness und Prävention / Massnahmen?
Hier versuchen wir, technische Sicherheitsmassnahmen mit Awareness und Sensibilisierung zu koppeln, und – wo immer möglich – die Mitarbeitenden zu schulen und ihnen zu vermitteln, warum wir gewisse Sicherheitssysteme einsetzen. Weiter sind unsere Mitarbeitenden die besten Sensoren der Früherkennung, die wir haben. Wenn sie Social-Engineering oder Phishing-Angriffe frühzeitig erkennen und uns diese melden, haben es Hacker schwerer. Der deutsche Fachbuchautor Sebastian Klipper hat es mal sehr treffend auf den Punkt gebracht: «Im Mittelpunkt jeder Sicherheitsbetrachtung steht menschliches Handeln und Unterlassen.» Ich glaube, dass bei nahezu jeder erfolgreichen Cyberattacke einer dieser beiden Punkte dem Hacker erst die Möglichkeit bietet, ein System anzugreifen.
Bei der AMAG haben wir das Glück, eine aktive Kommunikationsabteilung zu haben, die, zusammen mit dem Security Office, das Thema «Security Awareness» bei den Mitarbeitenden fördert. Folgende Massnahmen zur Bekämpfung der Cyberkriminalität haben wir bereits eingeführt:
- Die von der AMAG kreierten Troy & Trixie sensibilisieren die Mitarbeitenden alle paar Wochen zum Thema «Cybersicherheit» und zeigen auf, wie man vorsichtig und aufmerksam seine Daten schützen kann.
- Der Ende 2021 eingeführte Phishing-Simulator Hoxhunt trainiert die Mitarbeitenden spielerisch im Umgang mit Phishing-E-Mails.
- Den Mitarbeitenden werden im Intranet – durch Vorträge, Aktionen und Events – die Gefahren im Zusammenhang mit Cyberkriminalität regelmässig aufgezeigt.
Bezüglich Massnahmen, wo legst du am meisten Wert darauf?
Da setze ich gerne auch wieder auf den Faktor Mensch. Vieles, was wir im Privaten einsetzen, können und müssen wir auch bei der AMAG einsetzen:
- Gesunder Menschenverstand
- Etwas misstrauisch sein (macht es Sinn, dass ich dieses Mail erhalte?)
- Passwörter nach Kritikalität der Anwendung oder des Systems einsetzen
- Büro und Privates möglichst trennen
- Aufmerksam sein und den Mut haben, etwas der Security zu melden!