Cybersicherheit bei Evonik: “IT-Sicherheit ist wie eine Festung”

Foto: Evonik

Verteilt Evonik die Verantwortung für IT- und OT-Sicherheit auf mehreren Schultern oder sind Sie alleine dafür verantwortlich?

Scholz: Derzeit übernehme ich von meinem Kollegen Arijo Nazari Azari* interimsweise für etwa ein halbes Jahr die beiden Rollen als Bereichsleiter Group Cyber Security Governance und als CISO. Als Bereichsleiter bin ich gemeinsam mit meinem Team für die IT und OT Cyber Security zuständig. Als CISO verantworte ich dabei die IT, zu meinem Team gehört aber auch mit Andre Wardaschka der Chief OT Cyber Security Officer. Das ist eine Rolle, die es nicht so oft gibt. Damit haben wir bei Evonik schon fast ein Alleinstellungsmerkmal.

Zum CISO-Bereich gehören mehrere Information Security Officer (ISOs), die jeweils verschiedene Bereiche wie eine Chemie-Division, Finanzen oder Einkauf verantworten und dafür sorgen, dass dort alle Sicherheitsvorgaben eingehalten werden. Zudem betreiben wir ein zentrales Security Operation Center (SOC), das operativ agiert. Wenn es zu einem Sicherheitsvorfall kommt, kann also das Cyber-Defense-Team direkt loslegen.

Schnell operativ tätig zu werden ist das eine, das andere ist der strategische Rahmen, den wir mit unseren Cybersecurity-Programmen gestalten. Hier adressieren wir die wichtigsten strategischen Maßnahmen für die Zukunft. Ein Beispiel ist unser “Cyber Security Resilience Program”, in dessen Rahmen wir unsere Schwächen analysiert haben. Dabei hilft uns das MITRE ATT&CK Framework, keine Themen zu übersehen. Dies kann man sich als Burg mit mehreren Mauern vorstellen, bei der der Angreifer alle Mauern überwinden muss. Wichtig ist hier, den Angreifer an einer der Mauern aufzuhalten.

Die Sicherheits-Basics sind entscheidend

Welche Bausteine sind im Rahmen einer IT-Sicherheitsstrategie besonders wichtig?

Scholz: Zentral ist zunächst das Asset-Management. Wenn wir nicht wissen, was wir haben, wissen wir auch nicht, was geschützt werden muss. Das Thema Security by Design, also von Grund auf sichere Systeme zu schaffen, ist dabei ein wichtiger Baustein.

Auch das Thema Patching ist von größter Bedeutung. Sie wissen ja, wie schnell Schwachstellen entstehen und wie lange es dauert, bis sie gefunden werden. Auch hier geht es um Basisprozesse. Zur Überprüfung sollte sich dann im Nachgang das Schwachstellen-Management als Prozess anschließen. Besonders wichtig ist auch der Bereich Awareness, zum Beispiel die Aufklärung der Mitarbeiter über Phishing-Kampagnen.

Erst wenn Sie diese Hausaufgaben gemacht haben, ist es sinnvoll, sich mit den Trends in der IT-Sicherheitsbranche zu befassen. Ein solcher Trend wäre beispielsweise das Thema Endpoint-Detection and Response, also der Einsatz von Client-basierter Anomalieerkennung als Ergänzung zu Virenscannern. Das Thema Netzwerksegmentierung ist nicht neu, aber nach wie vor aktuell. Eine große Chance bietet der Ansatz Zero Trust, wo es letztlich darum geht, dem Endgerät gar nicht mehr zu vertrauen, sondern immer zu überprüfen, ob die Person, die zugreifen möchte, die richtige ist. Dabei hilft etwa die Multi-Faktor-Authentifizierung.

Was sich auch immer mehr durchsetzt, ist das sogenannte Red Teaming. Man stellt sozusagen Hacker im eigenen Unternehmen an, um sie herausfinden zu lassen, welche Schwachstellen es gibt. Somit haben wir Personal, das nichts anderes macht, als sich im Netzwerk umzuschauen, um die offenen Flanken zu finden. Dadurch haben wir eine Chance, Lücken zu schließen, bevor Angreifer sie ausnutzen können.

Viele Unternehmen beklagen sich über die hohen Kosten für IT-Sicherheit. Wie rechtfertigen Sie diese Kosten?

Scholz: Welche Kosten für Cybersecurity angemessen sind, lässt sich nur ganz schwer berechnen, weil die Risiken kaum zu bewerten sind. Am Ende stellt sich immer die Frage, wie viel Security sich ein Unternehmen leisten will. Als Spezialchemieunternehmen haben wir Know-how in unseren Prozessen und Produkten, das wir schützen müssen. Damit haben wir einen guten Grund in Security zu investieren.

Und auch ein Ransomware-Vorfall kann sehr teuer werden. Letztendlich ist es eine Risikoabwägung, die das Unternehmen treffen muss. Welcher Schaden kann theoretisch entstehen und was davon können Sie zu welchem Preis verhindern? Wenn die Maßnahmen günstiger sind als der potenzielle Schaden, ist es natürlich sinnvoll in IT-Sicherheit zu investieren.

Müssen Sie manchmal um eine Investition kämpfen?

Scholz: Die Awareness für Cyber Security ist bei uns im Management bis hoch in den Aufsichtsrat vorhanden. Insofern ist der Kampf an dieser Stelle nicht ganz so groß. Aber natürlich werden Ausgaben hinterfragt. Bisher konnten wir unser Management aber immer noch überzeugen, dass die Investitionen angemessen sind.

Lassen Sie uns einmal den Ernstfall durchspielen: Wie gehen Sie mit einem Sicherheitsvorfall um?

Scholz: Erst einmal tun wir möglichst alles, damit es gar nicht so weit kommt. Aber wir wissen, dass die Maßnahmen nicht immer ausreichen werden, deshalb überlegen wir im Vorfeld, was passieren könnte. Ein wesentlicher Bestandteil der Vorbereitung ist, Szenarien durchzuspielen und sich zu überlegen: Was würden wir konkret unternehmen?

Incident-Response-Pläne gehören zum Handwerkszeug eines jeden CISO. Doch niemand kann alle Fälle vorhersehen. Es braucht also fähige Mitarbeiter, die in der Lage sind, auch in unvorhergesehen Situationen die richtigen Entscheidungen zu treffen. Natürlich muss auch das Management mit eingebunden werden. Dafür haben wir einen Konzernkrisenstab, der auch für Cybervorfälle zuständig ist. Wenn es zu einer Krise kommt, haben wir dort das gesamte Management an einem Tisch und können gemeinsam schnell Entscheidungen treffen.

Das ist wichtig, wenn es etwa um die Frage geht: Wollen wir ein geschäftskritisches System herunterfahren oder muss es um jeden Preis weiterlaufen? Solche Entscheidungen kann die IT nicht alleine treffen, weil diese letztendlich immer Auswirkungen auf das Geschäft haben. In dieser Phase haben wir dann auch Personen im Team, die nach einer Entscheidung ganz konkret auf solche Ereignisse reagieren können. Im Zweifelsfall stehen uns auch externe Dienstleister zur Seite.

Um die Sicherheitsrisiken zu senken, spielt die Aufklärung der Mitarbeitenden eine entscheidende Rolle. Wie gehen Sie dabei vor?

Scholz: Wir haben ein umfangreiches Awareness- und Trainingsportfolio für unsere Beschäftigten. Wie allgemein üblich haben auch wir verpflichtende Schulungen in allen Bereichen der Arbeitssicherheit und Compliance, darunter auch Cybersecurity. Es gibt Trainings, die je nach Themenschwerpunkt ein oder zweimal im Jahr absolviert werden müssen.

Neben diesen verpflichtenden Schulungen vertrauen wir auch auf einen Community-Ansatz: Mitarbeiter, die von sich aus an Security interessiert sind, finden bei uns im Intranet jede Menge Informationen dazu. Auf der anderen Seite fingieren wir, wie viele andere Unternehmen auch, interne Phishing-Kampagnen, um unsere Mitarbeiter anhand realistischer Szenarien auf die Risiken aufmerksam zu machen. Wir wollen dabei nicht nachvollziehen, ob sich einzelne Personen richtig oder falsch verhalten, aber wir können auf der Bereichsebene Auswertungen vornehmen. Dadurch sehen wir, wo wir verstärkt Trainings anbieten müssen.

Wo sehen Sie aktuell die größten Bedrohungen für Unternehmen?

Scholz: Menschliches Fehlverhalten war schon immer ein Thema. Wir sind darauf angewiesen, dass Mitarbeitende, wenn sie eine Mail erhalten, richtig damit umgehen. Das ist keine neue Bedrohung, aber nach wie vor eine der größten. Deshalb ist das Thema Awareness auch so wichtig.

Was außerdem immer mehr zunimmt, sind gravierende Software-Schwachstellen wie Log4Shell. Das kann man nicht von heute auf morgen lösen, schon gar nicht als einzelnes Unternehmen. Wir sind also auch darauf angewiesen, dass der Staat regulierend eingreift, damit Software immer einem gewissen Sicherheitsniveau entspricht.

Ansonsten gehört natürlich auch Ransomware zu den derzeit bedrohlichsten Angriffsmethoden. Auch die Chemieindustrie steht laufend im Fokus von solchen Angreifern.

*Arijo Nazari Azari wechselt – ebenfalls interimsweise – in die Rolle des Bereichsleiters Product Management. Aus Sicht von Scholz ist ist das ein gutes Beispiel dafür, dass ein CISO heute flexibel sein und verschiedene Aufgaben wahrnehmen können muss. Neben einem ausgeprägten Security-Verständnis muss er auch (IT-)Produkt-Verständnis sowie Management-Fähigkeiten mitbringen. (Anm. d. Red.)