IT-Sicherheit bei Otto: “IT-Sicherheit muss Teil der Kultur sein”

Foto: OTTO

Wie muss man sich das IT-Sicherheits-Management bei Otto vorstellen? Sind Sie der große Spielverderber, der alle guten Vorschläge des Business erstmal gegen den Strich bügelt?

Kleinfeld: Genau das sind wir nicht. Die generelle Haltung ist für ein erfolgreiches Informations-Sicherheits-Management aber tatsächlich ganz entscheidend. Mein Team und ich wollen Geschäft ermöglichen – zum Beispiel durch pragmatische Compliance-Prüfungen. Ob das immer möglich ist, steht natürlich auf einem anderen Blatt und hängt von einer angemessenen Risikobetrachtung ab.

Unsere Kolleginnen und Kollegen sollen sich nicht fragen: ‘Darf ich das tun oder verstoße ich damit gegen irgendwelche Sicherheitsregeln?’. Sie sollen fragen: ‘Was muss ich tun, damit ich einen Geschäftsprozess sicher abbilden kann?’ Das ist für eine Organisation anstrengender, aber auch erfolgsversprechender. Informationssicherheit soll als Business-Funktion empfunden werden, nicht als Trade-off. Sicherheit und Business gehören untrennbar zusammen.

Das klingt ein bisschen nach Brainwashing. Anwender sollen mit eingebauter Handbremse agieren oder es gibt etwas auf die Finger.

Kleinfeld: …das würde ich so nicht unterschreiben, auf die Finger hauen wir sowieso nicht. Der Schlüssel liegt darin, in der Unternehmensführung so verankert zu sein, dass unsere Stimme Gewicht hat. Am Ende geht es ja um die Akzeptanz von Risiken – und darüber zu entscheiden, ist Aufgabe der Geschäftsführung. Auf dieser Grundlage möchte ich mir das Vertrauen aller Mitarbeiter verdienen, weil wir ja eines genau nicht wollen: Fortschritt und Initiative verhindern.

Ihre Formulierung Brainwashing tut mir schon ein bisschen weh, das sehe ich gar nicht so. Wir wollen nicht auf einer Freigabe-Ebene agieren, sondern inhaltlich. Das gelingt nur, wenn wir im Dialog mit dem Business zu gemeinsamen Lösungen kommen. Inzwischen kann ich für Otto sagen: Das grundsätzliche Verständnis dafür, dass Dinge sicher sein müssen, ist da.

Wir berichten jeden Tag von neuen Angriffsszenarien und Schwachstellen. Ich könnte mir vorstellen, dass man als Sicherheitsverantwortlicher irgendwann paranoid wird. Wie gelingt es Ihnen, die Sicherheits- nicht über die Geschäftsinteressen zu stellen und eine gute Balance zu finden?

Kleinfeld: Wichtig ist zunächst, dass sich die IT-Sicherheitsorganisation am Entwicklungsstand des Unternehmens ausrichtet. Wenn die Organisation mit agilen Methoden arbeitet, die Sicherheitsverantwortlichen noch nach dem Wasserfallmodell arbeiten, funktioniert das nicht. Dann kann ich nur Verhinderer sein, weil ich Dinge in die Länge ziehen werde. Ich muss also überlegen: Wie bekomme ich das Thema Informationssicherheit in agile Vorgehensweisen hinein.

Nehmen wir mal unseren Online-Shop, da haben wir Live-Deployments mehrmals am Tag. Wenn ich den Anspruch hätte, bei jedem Deployment vorher noch zu schauen, ob auch alles sicher ist, dann kämen wir nicht voran. Das muss im Dialog stattfinden. Es gilt, die Teams in die Lage zu versetzen, solche Live-Gänge hinzubekommen, ohne dass wir in Sicherheitsrisiken hineinrutschen. Die IT-Sicherheit muss sich also in die Organisation integrieren und darauf einlassen, wie dort gearbeitet wird.

Foto: OTTO

Das klingt plausibel, ist aber wahrscheinlich kompliziert. Sie haben ja nicht nur die Entwickler, die sich beispielsweise mit DevSecOps-Ansätzen beschäftigen sollen, sondern beispielsweise auch Einkäufer, die sichere Software beschaffen sollen. Und viele Endanwender, die bestimmte E-Mails nicht öffnen sollen. Wie gelingt die Zusammenarbeit mit den verschiedenen Stakeholdern?

Kleinfeld: Wir schauen, dass wir an den neuralgischen Stellen im Boot sind und alle Aktivitäten laufend mit dem Business abstimmen. Nehmen wir den Einkauf von sicherer Software: In Beschaffungsprozesse ist mein Team einbezogen. Bei der Softwareentwicklung hilft uns der Community-Ansatz weiter. Wir arbeiten dort mit Entwicklern oder Vertretern der Entwicklungsteams zusammen und tauschen uns darüber aus, welche Maßnahmen die richtigen sind. In agilen Entwicklungsmethoden gibt es ja nicht die eine Lösung. Über Community-Ansätze lassen sich Informationen zwischen den Teams teilen, und wir – als IT-Sicherheit – können uns einbringen. Das funktioniert allerdings nicht, wenn man dort eindringt und den Leuten sagt, was sie zu tun haben.

Sie Interessieren sich für die CISO-Perspektive? Dann lesen Sie auch:

• Interview mit David Thornewill von Essen, Group CISO der Deutschen Post DHL

• Warum Allianz CISO Fabian Topp die Charter of Trust wichtig findet

• Notfall-Management – ein CISO berichtet aus der Praxis

Aber Sie müssen den Programmierern in der agilen SW-Entwicklung ja schon Richtlinien und Standards vorgeben und sagen, welche Anforderungen auf jeden Fall erfüllt sein müssen.

Kleinfeld: Machen wir auch, aber so, dass die Teams mitgestalten können. Sie können sagen, welche Regeln aus ihrer Sicht sinnvoll wären und wo sie sicherheitstechnische Hinweise gebrauchen könnten. Das gelingt uns auf eine spielerische Art durch sogenannte Skill-Regeln: Wir haben die Sicherheitskompetenzen, die ein Team braucht, dokumentiert und bieten mit einem Tool Hilfen in Form einer strukturierten Herangehensweise an, um dort hinzukommen. Wir unterstützen die Teams in ihrer Eigenständigkeit und sind am Ende die Qualitätssichernden, die dafür sorgen, dass die Sicherheitsansätze zur Kritikalität unserer Prozesse und Daten passen.

Offensichtlich wollen Sie auch hier keinesfalls als “verbietende Instanz” wahrgenommen werden.

Kleinfeld: Nein. Wir glauben, dass es der bessere Weg ist, die Informationssicherheit in der Unternehmenskultur zu verankern. Das funktioniert deshalb sehr gut, weil die Digitalisierung längst Teil unserer Kultur ist. Das spielt uns in der Informationssicherheit natürlich in die Karten. Wir haben für die Digitalisierung Handlungsgrundätze formuliert wie Eigenverantwortung oder kontinuierliche Weiterentwicklung, die gelten auch für die Informationssicherheit. Aus meiner Sicht ist es erfolgsentscheidend, dass wir Informationssicherheit aus der Expertensicht herausheben und sagen: das ist ein fester Bestandteil von Digitalisierung – auch wenn wir natürlich wissen, dass nicht alle Experten im Kontext der Informationssicherheit sein müssen.

Was heißt das nun in der konkreten Umsetzung?

Kleinfeld: Ich versuche immer dann, wenn ich in Sachen Informationssicherheit mit anderen zu tun habe, zu sensibilisieren und zu schulen. Nehmen wir zum Beispiel das Incident Management. Die Mitarbeitenden sollen lernen selbst festzustellen, ob sie es mit einem Sicherheitsvorfall zu tun haben. Wenn sie sich unwohl fühlen, unsicher sind und glauben, da ist etwas Eigenartiges passiert, dann tun wir das nicht ab, sondern betrachten es immer als Sicherheitsvorfall.

Ich will davon weg, dass die Kolleginnen und Kollegen sagen: ‘Das ist bestimmt etwas ganz Banales oder vielleicht sogar mein eigener Fehler. Ich weiß nicht, ob ich das melden sollte.’ Sie sollen sich freimachen davon zu glauben, dass sie uns unnötigerweise beschäftigen könnten. Wenn sie sagen: ‘Hier stimmt etwas nicht’, dann ist das für uns erstmal ein Sicherheitsvorfall. Wir können dann immer noch zusammen überlegen, ob das tatsächlich so ist und wie wir sie dabei unterstützen können, sich sicherer zu fühlen.

Wir müssen doch dankbar sein, wenn jemand anruft und mit der Meldung beweist, dass er oder sie für IT-Sicherheit sensibilisiert ist und Aufklärung möchte. Wir sehen da auch deutliche Erfolge. Früher sagten die Leute: ‘Ich glaube, da ist irgendwas Schlimmes passiert’, heute sagen viele ‘Ich habe hier wieder so eine Phishing-Mail erhalten. Ich habe die gleich gelöscht, aber vielleicht könnt ihr dafür sorgen, dass jemand anderes sie gar nicht erst bekommt.’

Es entsteht also mehr und mehr Kompetenz und Selbstbewusstsein, um Fälle richtig einzuordnen. So etwas kommt nicht über Nacht. Da müssen wir als Informationssicherheit-Organisation richtig dafür aufgestellt sein, und auch die Beschäftigten im Supportservice sollten dafür dankbar sein, dass jemand sensibel ist und die Person nicht abweisen – sonst gibt’s nächstes Mal keine Meldung.

Hat diese Herangehensweise nicht zu einer Inflation von Alerts geführt?

Kleinfeld: Im Gegenteil, weil die Beschäftigten ja ständig dazulernen und sich kompetenter fühlen. Wir geben ihnen ja auch mit, woran sie Malware oder Spam erkennen können, so dass sie oft dankbar sind, etwas zu lernen. Beim nächsten Mal müssen sie sich dann vielleicht gar nicht mehr melden. Am Ende bestimmen aber nicht wir die Menge der Incidents. Wir müssen mit allem, was kommt, fertig werden, dafür sind wir da.

Insgesamt können wir uns mit dieser Vorgehensweise resilienter aufstellen. Nehmen wir das Beispiel Luftfahrt: Dort weiß man heute, dass Flugzeugabstürze selten die Konsequenz von einem Ereignis sind, sondern aus einer Kette von Ereignissen. Das lässt sich auf Informationssicherheit übertragen: Ziel muss es sein, die Kette frühzeitig zu unterbrechen. Jedes einzelne Event ist eine Chance, um den Vorfall oder GAU zu verhindern. Dafür brauchen wir aber viele Sensoren. Die haben wir technologisch mit Monitoring und einem Informations-Sicherheitsteam, aber die Organisation selbst braucht auch Sensoren. Je besser die Menschen ausgebildet und sensibilisiert sind, desto wertvoller werden sie als Sensoren und können helfen, die Kette zu unterbrechen.

Foto: OTTO

Sie haben den Supportservice erwähnt, der ja eigentlich immer die erste Kontaktstelle ist. Wie reagiert der auf sicherheitsbezogene Anfragen?

Kleinfeld: Wir haben mit ihm vereinbart, dass er solche Vorfälle nicht bearbeitet, sondern nur notwendige Informationen erhebt und den Fall an uns weiterleitet. Den Beschäftigten soll klar sein: Da stecken Experten hinter. Wir ergreifen die richtigen Maßnahmen und nutzen das gleichzeitig zur Sensibilisierung unserer Kolleginnen und Kollegen.

Dann stand für Sie eine Auslagerung des Security Incident Managements an einen Dienstleister sicherlich auch nie zur Debatte?

Kleinfeld: Nein, wenn wir das auslagern, fehlt uns die Kompetenz im eigenen Hause. Ein externes Unternehmen würde sich nicht darum kümmern, dieses Wissen in unserem Unternehmen zu verankern. Es würde in jedem Vorfall nur einen abzuarbeitenden Prozess sehen. Das ist ja auch okay, aber ich glaube nicht, dass es für uns erfolgsversprechend wäre.

Lassen Sie uns über die CISO-Organisation im Otto-Konzern reden: Haben Sie mehrere CISOs für verschiedene Geschäftsbereiche?

Kleinfeld: Wir haben einen zentralen CISO für den Gesamtkonzern und mehrere Information Security Officers – wir sagen ISOs – für die verschiedenen Konzerngesellschaften. Einer davon bin ich. Ich habe eine direkte Berichtslinie an den Bereichsvorstand, wir sind da eng im Austausch. Ohne den Support aus der Unternehmensführung lässt sich Informationssicherheit nicht in eine Organisation hineintragen.

Wichtig ist uns außerdem, die Mitarbeitergruppen zu unterstützen, die besonders relevant sind, allen voran die Entwickler. Wie gesagt, sorgen wir über einen Community-Ansatz dafür, dass Informationen fließen. Jedes Entwicklerteam etabliert außerdem einen Security-Champion, der Sicherheitsthemen hinein und hinaus kommuniziert. So sorgen wir dafür, dass es an allen relevanten Stellen Ansprechpersonen gibt. Das Schlimmste wäre, dass wir im Monitoring irgendwelche Alarme haben und nicht wissen, wen wir zur Analyse und Bewertung einbeziehen können. Deswegen muss sich das Thema durch die ganze Organisation ziehen.

Wie sichtbar ist die IT-Sicherheitsorganisation im Unternehmen?

Kleinfeld: Darauf legen wir großen Wert, ich als ISO muss sichtbar sein und das gilt auch für die ganze Abteilung. So wichtig eine ISO-27001-Richtlinie oder der BSI-Grundschutzkatalog auch sein mögen, für mich ist Informationssicherheit doch in erster Linie ein People-Thema. Wenn wir die Kolleginnen und Kollegen kennen und sie uns auch, dann können wir sicher sein, dass wichtige Informationen auch fließen. Insofern gehört auch Marketing zu unseren Aufgaben: Es gilt, das Thema an die Organisation zu vermitteln und zu verkaufen.

Was Technologie heute an Schutz bieten kann, ist bekannt und gut ausgereift. Vollständig wird dieser Schutz nie sein. Das Geschäft von Kriminellen ist es, die Lücken in den Technologien zu finden. Und um dem zu begegnen, brauchen Mitarbeitende technische und sicherheitsspezifische Kompetenz. Banales Beispiel: wenn eine Phishing-Mail im Postfach landet, dann hat die Technologie versagt, sie hat die Mail nicht als Phishing erkannt. Also müssen die Mitarbeitenden die Mail richtig beurteilen und reagieren.

Was sind aus Ihrer Sicht die größten Risikoszenarien, die sich derzeit abzeichnen?

Kleinfeld: Die größte Bedrohung ist die zunehmende Professionalisierung von Cyberkriminellen. Ich würde das nicht auf einzelne Angriffsarten und Technologien begrenzen. Es ist eine hochprofessionelle Industrie entstanden, die arbeitsteilig agiert und ganz andere Treiber hat als früher. Die Angreifer sind wandlungsfähig und schnell, die Geschwindigkeit, mit der wir neuen Angriffsszenarien ausgesetzt sind, ist sehr hoch.

Tauschen sich die CISOs und ISOs in Ihrem Konzern mit denen anderer Unternehmen aus?

Kleinfeld: Ja, da gibt es verschiedene Initiativen und Interessensgruppen, in denen wir mitarbeiten. Ich empfinde aber die persönliche Vernetzung mit anderen CISOs als am wertvollsten. Es geht hier um Vertrauen, um den persönlichen Austausch abseits von Protokollen. Zusätzlich gibt es aber auch Strukturen, um sicherheitsrelevante Informationen in Mengen auszutauschen und automatisiert zu bearbeiten.