Die Zahl und die Qualität von Cyberattacken steigen kontinuierlich. Für viele Organisationen gehören die Bedrohungen zum Alltag. Um ihre sensiblen Daten optimal zu schützen, verfolgen Unternehmen verschiedene Ansätze. Etwa technische Lösungen, die kontinuierlich die vorhandenen Systeme prüfen. Auch das Sicherheitsbewusstsein der Nutzer hilft dabei, Risiken aus dem Netz zu minimieren.
Björn Eibich hat sich dem grundsätzlichen Ziel von IT-Sicherheit verschrieben: dem Aufrechterhalten der Informationssicherheit. Im Interview gibt der 41-jährige Master of Science in Computer Science einen Einblick in sein Verständnis von IT-Sicherheit – und erklärt, wie TÜV Hessen seine Werte in die digitale Welt transportiert.
Herr Eibich, seit wenigen Wochen sind Sie Leiter der Business Unit „Cyber- und Informationssicherheit“ bei TÜV Hessen. Woher kommt Ihre Faszination für IT-Sicherheit?
Björn Eibich: Ein Schlüsselerlebnis gab es nicht – dafür hat mich eine IT-Sicherheit-Vorlesung während meines Studiums nachhaltig geprägt. Denn der Professor hat Szenarien vorhergesagt, die mittlerweile eingetroffen sind. Damit war mein Interesse geweckt und ich habe mich auch in meiner Freizeit immer mehr mit IT-Sicherheit beschäftigt. Ich habe zum Beispiel eigene Firewalls installiert und konfiguriert.
Wie verlief Ihr Weg zu TÜV Hessen?
Björn Eibich: Ich habe Informatik an der Hochschule Darmstadt studiert und meinen Master-Abschluss gemacht. Danach bin ich direkt als IT-Security-Consultant bei der Computacenter AG & OHG eingestiegen. Dort habe ich mehrere Jahre Sicherheitskonzepte erstellt und umgesetzt. Ich war auch am Aufbau eines Security-Operation-Centers beteiligt. Daher kenne ich mich auch auf der technischen Ebene rund um Endpoint Security, Virenscannern, IPS-Systemen oder Firewalls sehr gut aus.
Anschließend bin ich 2011 zur HSH Nordbank AG nach Kiel gewechselt. Dort war ich erstmals für das Thema Informationssicherheit verantwortlich. Bei einem sehr großen Outsourcing-Projekt war ich zudem Teilprojektleiter Security und habe in dieser Funktion die verschiedenen Provider gesteuert und gemanagt. Parallel dazu habe ich dabei geholfen, das Informationssicherheits-Managementsystem des Geldinstituts aufzubauen, denn damals wurde von der Bank eine Zertifizierung nach ISO 27001 angestrebt.
Nach meinem Wechsel 2015 zur HiSolutions AG habe ich mich dort als Managing Security Consultant auf den Aufbau von Informationssicherheits-Managementsystemen bei Kunden spezialisiert – sowohl nach den Vorgaben des BSI-Grundschutz als auch nach der ISO 27001. Bei meiner letzten beruflichen Station, der csi Verwaltungs GmbH, habe ich daher seit 2017 als Beauftragter für die Informationssicherheit ein Managementsystem eingeführt und zertifizieren lassen.
Und welche Argumente haben Sie schließlich zum Wechsel zu TÜV Hessen motiviert?
Björn Eibich: Ich bin in Südhessen verwurzelt, deshalb war ich immer an interessanten Aufgaben in Darmstadt interessiert. Die Führungsposition in einer renommierten Prüf- und Zertifizierungsgesellschaft ist außerdem eine anspruchsvolle Herausforderung. Weil ich während meiner beruflichen Laufbahn schon mehrere Projektteams geleitet habe, erschien mir der Wechsel zu TÜV Hessen als der nächste logische Schritt in meiner persönlichen Karriere.
Das Thema Cyber- und Informationssicherheit auch bei TÜV Hessen weiter zu etablieren ist zudem eine fachliche Aufgabe, die ich sehr reizvoll finde. Nach den ersten Gesprächen wurde die Stelle zusätzlich interessanter, denn mit der Beteiligung an der Infraforce GmbH verfügt TÜV Hessen über fundiertes externes Know-how. Das war ein weiterer Grund, weshalb ich mich für die Stelle als Leiter der Business Unit entschieden habe.
Vernetzung fördert Bedeutung von Cybersicherheit
Das Thema Cybersicherheit ist aktuell wie nie zuvor. Welche Ziele verfolgen Sie als Leiter der Business Unit?
Björn Eibich: Als bekannte Marke steht TÜV Hessen für Sicherheit und Zuverlässigkeit. Diese Werte von der analogen in die digitale Welt zu transportieren, ist unsere ? zentrale Aufgabe. Deshalb möchte ich das Thema Cyber- und Informationssicherheit bei TÜV Hessen weiter etablieren und ausbauen. Das betrifft nicht nur die externen Ziele und Vorgaben, sondern auch die interne Akzeptanz.
Wie möchten Sie diese Ziele erreichen?
Björn Eibich: Wir müssen zunächst den Markt analysieren, um zu sehen, in welchen Bereichen unsere Dienstleistungen gefragt sind. So identifizieren wir auch gegebenenfalls neue Angebote, mit denen wir die Anforderungen unserer Kunden und Interessenten noch besser lösen können.
Als Prüf- und Zertifizierungsgesellschaft verfügt TÜV Hessen bereits über einen großen Kundenstamm. Jetzt ist die Herausforderung, den Kunden, die Bedeutung von Cyber- und Informationssicherheit bewusst zu machen – und ihnen gleichzeitig unsere passenden Lösungen anzubieten. Gerade bei Industrieanlagen fördert die zunehmende Vernetzung die Bedeutung von Cyber- und Informationssicherheit.
Welche Lösungen sind Ihrer Meinung nach ideal für diese Herausforderungen?
Björn Eibich: Für den Schutz von IT-Infrastrukturen gibt es verschiedene Ansätze. Mit der Continuous Attack und Threat-Simulation (CAT-Simulation) haben wir ein Tool, das nicht alltäglich ist. In Deutschland ist es sogar einzigartig. Es ist ein Alleinstellungsmerkmal, denn es gibt kaum Lösungen, die so auf den deutschen Markt zugeschnitten sind, wie unsere kontinuierliche Simulation von Hackerangriffen.
Der Begriff Digitalisierung bezeichnet ursprünglich das Umwandeln von analogen Werten in digitale Formate. Welche Themen werden in diesem Zusammenhang die Zukunft der Cybersicherheit prägen?
Björn Eibich: Die Digitalisierung von Alltagsgegenständen ist mittlerweile schon Realität. Aber dabei wird die Sicherheit fast immer vernachlässigt. Ein weiteres Zukunftsthema ist das autonome Fahren. Mit der zunehmenden Vernetzung der Autos steigt die Zahl der Schwachstellen und Angriffspunkte, die von Hackern ausgenutzt werden können.
Mit unseren Dienstleistungen und unserem Know-how können wir frühzeitig ein Bewusstsein schaffen und Menschen für diese Bedrohungen sensibilisieren. Denn es muss geprüft werden, wie verwundbar die einzelnen Systeme letztendlich sind. Das ist ein ganz wichtiger Punkt.
Sicherheit mit geringem Budget
Während Ihrer beruflichen Laufbahn haben Sie mehrere Informationssicherheits-Managementsysteme aufgebaut, die später zertifiziert wurden. Woher kommt Ihr Interesse an diesem Thema?
Björn Eibich: Das Interesse wurde bei der HSH Nordbank geweckt. Vorher war ich eher an der Technik interessiert. Aber mit dem Aufbau des Managementsystems in der Bank war mein Interesse an der Organisation und der Gestaltung von Informationssicherheit geweckt.
Wie trägt eine Zertifizierung eines Informationssicherheits-Managementsystems zur Cybersicherheit bei?
Björn Eibich: Letztendlich ist ein Zertifikat nur ein schriftlicher Nachweis. Wichtiger ist dagegen, dass Sicherheit im alltäglichen Arbeitsleben verankert ist und Bewusstsein für die digitalen Gefahren -eine gewisse digitale Hygiene- vorhanden sind. Informationssicherheit ist ein fortlaufender Prozess und kein Projekt, das irgendwann endet. Ist diese Erkenntnis in einem Unternehmen etabliert sinkt der Zusatzaufwand zur Erreichung des Zertifikats erheblich.
Auf dem Weg zur Zertifizierung sollte also das Primärziel sein, Informationssicherheit in den Arbeitsalltag zu integrieren.
Welche Auswirkung hat die zunehmende Vernetzung auf die Industrie oder Versorger?
Björn Eibich: Die Bedeutung der IT-Sicherheit wird gerade im Feld der kritischen Infrastrukturen deutlich zunehmen. Es gab ja bereits zahlreiche Angriffe auf Energieversorger – in Deutschland bisher zum Glück ohne größere Schäden. In der Gesundheitsbranche oder der Medizintechnik sieht das schon anders aus. Forschern ist es beispielsweise erst kürzlich gelungen, die Kontrolle über Diagnosegeräte zu erlangen und dadurch Untersuchungsergebnisse zu manipulieren.
Speziell Krankenhäuser sind oft nicht ausreichend auf die digitalen Bedrohungen vorbereitet. Bei gezielten Angriffen sind diese Einrichtungen häufig leichte Beute, denn ihre primäre Aufgabe ist die Versorgung von Patienten. In den Schutz der eigenen Infrastruktur wird aber nicht immer entsprechend investiert. Hier besteht noch viel Potenzial, um die IT-Sicherheit zu verbessern. Aber dafür ist noch viel Sensibilisierung notwendig. Leider sind noch zu viele IT-Verantwortliche zufrieden, wenn ihre Systeme mit einfachen Mitteln laufen. Notwendige Rollen, wie Informationssicherheitsbeauftragte sind oft nicht angemessen besetzt, oder existieren erst gar nicht.
In vielen Organisationen ist Sicherheit immer noch eine Kostenfrage. Welche Rolle spielt das Budget, wenn es um die Optimierung der IT-Sicherheit geht?
Björn Eibich: Mit ausgesuchten Prozessen und Verfahren können Unternehmen und Organisationen bereits ein hohes Sicherheitsniveau erreichen. Das muss auch nicht viel Geld kosten. Dass Hardware und aufwendige Systeme Geld kosten ist klar. Aber speziell organisatorische Maßnahmen können kostengünstig und gleichzeitig effizient umgesetzt werden – Stichwort Social Engineering.
Dazu zählen etwa Schulungen der Mitarbeiter, zum Beispiel in einer Arztpraxis. Wenn der Doktor den Raum verlässt und den Monitor im Behandlungszimmer nicht sperrt, sind persönliche Daten von Patienten sichtbar. Diese Sensibilisierung kostet nicht viel Geld, denn es muss keine zusätzliche Technik gekauft werden.
Newsletter
Immer informiert im Thema Nachhaltigkeit. Melden Sie sich jetzt zu unserem Newsletter an!
Anmelden