Interview mit einem der Referenten des Strategiegipfels 2016

Das Interview wurde am 28. November 2016 auf dem Strategiegipfel IT & Information Security geführt.

Informationssicherheitsgesetz aus Sicht großer Unternehmen – Chance auf Kosteneinsparung – Andreas Jambor, CISO, RWE Generation SE

Informationssicherheitsgesetz aus Sicht großer Unternehmen – Chance auf Kosteneinsparung – Interview mit Andreas Jambor, CISO, RWE Generation SE

Jambor_AndreasRichtig umgesetzt kann das IT-Sicherheitsgesetz zu Kosteneinparungen in Unternehmen führen. Andreas Jambor sprach mit uns über die Chancen des neuen IT-Sicherheitsgesetztes. Insbesondere die Pflicht, die IT-Sicherheit in Unternehmen auf den aktuellsten Stand der Technik zu bringen, birgt viele Potenziale.

 

 

PN: Wir sprechen immer von IT-Sicherheits-Risiken. Wodurch entsteht denn überhaupt ein Risiko in der IT-Sicherheit?

Jambor: Assets sind typischerweise mit Schwachstellen behaftet. Schwachstellen können als bestimmte Eigenschaften von Assets aufgefasst werden. Jedoch erwächst aus einer Schwachstelle allein noch kein Risiko.
Gleichzeitig sind Assets bestimmten Bedrohungen ausgesetzt. Eine Bedrohung hat zunächst nur hypothetischen Charakter. Schwachstellen von Assets und Bedrohungen müssen nicht zwingend aufeinander treffen. Dieses Ereignis passiert offenbar nur unter bestimmten Randbedingungen.

Jedoch, falls eine Schwachstelle und eine Bedrohung zusammentreffen, entsteht ein Risiko für ein Asset. Fraglich ist nur wann und wie und unter welchen Umständen das Zusammentreffen passiert. Eine Vorhersage des Zusammentreffens ist nur mittels Wahrscheinlichkeiten möglich. Denn niemand kann in die Zukunft schauen.

Beispiel: Ein Computer innerhalb eines Netzwerkes hat natürlich Schwachstellen und bildet damit die Schwachstelle innerhalb des Netzwerkes.

Maleware gilt allgemein als Bedrohung, hat aber zunächst nur hypothetischen Charakter. Besteht aber die Möglichkeit, dass diese Maleware mit dem Computer des Netzwerkes aufeinander trifft haben wir ein Risikopotential. In Verbindung mit der Eintrittswahrscheinlichkeit und der Schadenshöhe wird dieses Potential zu einem zu einem Risiko.

PN: Welche Auswirkungen hat das neue IT-Sicherheitsgesetz für große Unternehmen?

Jambor: Die Auswirkungen können sehr positiv sein, wenn Unternehmen das IT-Sicherheitsgesetz vernünftig angehen. Wenn es nicht übertrieben umgesetzt wird, erhalten wir eine angemessene IT-Sicherheit nach dem Stand der Technik. Insofern bewerte ich das IT-Sicherheitsgesetz als große Chance, die IT-Sicherheit im Unternehmen auf einen vernünftigen Stand der Technik zu bringen.

PN: Wodurch ergeben sich Potenziale für Kosteneinsparungen durch die Umsetzung des neuen IT-Sicherheitsgesetzes?

Jambor: Es ergeben sich dadurch Einsparpotenziale, da man eben nicht flächendeckend, sondern individuelle Sicherungsmaßnahmen einsetzt. Angemessene Maßnahmen zu einem Risiko müssen im Vordergrund stehen.

PN: Was ist Ihr Fazit, das Sie anderen IT-Sicherheitsverantwortlichen mit auf den Weg geben können?

Jambor: Hier kann ich einfach nur Bruce Schneier, US-amerikanischer Experte für Kryptographie und Computersicherheit, zitieren: „Es gewinnt nicht, wer Bedrohungen am besten verhindert. Gewinner werden diejenigen sein, die Risiken am effektivsten managen.“ Besser hätte es Bruce Schneier nicht sagen können.

Datum des Interviews: 28.11.2016