Lesezeit ca. 7 Min.

So arbeitet der CISO der Deutschen Post DHL Group


Logo von Computerwoche
Computerwoche - epaper ⋅ Ausgabe 49/2021 vom 29.11.2021

Artikelbild für den Artikel "So arbeitet der CISO der Deutschen Post DHL Group" aus der Ausgabe 49/2021 von Computerwoche. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: Computerwoche, Ausgabe 49/2021

„Natürlich nehmen wir auch die vielen Ransomware-Attacken wahr. Bisher sind wir einigermaßen davon verschont geblieben. Aber natürlich klopfen immer wieder Leute an unsere Türen und Fenster, und man ist nie davor gefeit. Man kann die Schotten so hochziehen, wie man will, irgendwie – meist durch einen Social-Engineering- Angriff – schaffen es Angreifer doch immer wieder, sich Zugang zu verschaffen. Das kann auch uns passieren.“

David Thornewill von Essen, CISO Deutsche Post DHL Group

CW: Welche Cyberbedrohungen nehmen Sie bei der Deutschen Post DHL Group gerade besonders wahr?

Thornewill von Essen: Generell steigt weltweit die Zahl der Angriffe rasant, vor allem DDoS-Attacken nehmen gerade zu. Und natürlich nehmen wir auch die vielen Ransomware-Attacken wahr. Bisher sind wir einigermaßen davon verschont geblieben. Aber natürlich klopfen immer wieder Leute an unsere Türen und Fenster, und man ist nie ...

Weiterlesen
epaper-Einzelheft 10,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von Computerwoche. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1050 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 49/2021 von Warum sich ein Blick ins Agile Manifest immer lohnt. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Warum sich ein Blick ins Agile Manifest immer lohnt
Titelbild der Ausgabe 49/2021 von VMware- CEO: „Wir wollen die universelle Multicloud-Plattform sein“. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
VMware- CEO: „Wir wollen die universelle Multicloud-Plattform sein“
Titelbild der Ausgabe 49/2021 von Mit Tools und kostenlosen Angeboten lockt SAP Entwickler in seine Cloud. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Mit Tools und kostenlosen Angeboten lockt SAP Entwickler in seine Cloud
Titelbild der Ausgabe 49/2021 von KI-Einsatz im Unternehmen – Reifegrad verbessern und Akzeptanz erhöhen. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
KI-Einsatz im Unternehmen – Reifegrad verbessern und Akzeptanz erhöhen
Mehr Lesetipps
Blättern im Magazin
Informatica baut Marktplatz für Daten, Analysen und KI-Modelle
Vorheriger Artikel
Informatica baut Marktplatz für Daten, Analysen und KI-Modelle
Geschäftsprozess- Optimierung braucht das Buy-in des Topmanagements
Nächster Artikel
Geschäftsprozess- Optimierung braucht das Buy-in des Topmanagements
Mehr Lesetipps

... davor gefeit. Man kann die Schotten so hochziehen, wie man will, irgendwie – meist durch einen Social-Engineering-Angriff – schaffen es Angreifer doch immer wieder, sich Zugang zu verschaffen. Das kann auch uns passieren.

CW: Wie bereiten Sie sich auf einen möglichen Ransomware-Angriff vor?

Thornewill von Essen: Zunächst mal geht es um eine optimale Verteidigungslinie, also um die richtige Technologie, Sicherheitsschulungen etc. Wir nutzen zum Beispiel künstliche Intelligenz, um ungewöhnliche Datenbewegungen zu entdecken. Letztendlich ist eine Ransomware-Attacke aber vergleichbar mit einem Erdbeben. Man bereitet sich vor, hofft aber, dass es nicht eintritt. Wenn es dann aber passiert, muss man bereit sein, schnell und richtig zu agieren, um den Schaden zu minimieren und den Betrieb am Laufen zu halten oder zumindest schnell wiederherzustellen.

In der Vorbereitung geht es also nicht nur um die Abwehrtechnologie, sondern auch um die Incidence-Management-Prozesse. Es gilt, die Wiederherstellungsabläufe zu verfeinern und durch interne Simulationen zu üben. Alle müssen wissen, was zu tun ist – genauso wie alle Mitarbeiter einmal im Jahr die Feuertreppe herunterlaufen, um für den Notfall zu trainieren.

CW: Wie schaffen Sie es, dass in einer solchen Testsituation wirklich Ernsthaftigkeit vorherrscht und alle mitmachen?

Thornewill von Essen: Es gibt ja verschiedene Arten von Simulationen. Oft wird punktuell in einem ganz bestimmten Bereich geübt, doch dann gibt es auch die größeren Sachen, also echte Krisensimulationen. Ich bin stolz darauf, dass wir kürzlich eine solche Krisensimulation mit unseren Top-60-Executives umgesetzt haben. Wir hatten nur drei bis vier Stunden zur Verfügung, da konnte nicht alles bis ins feinste Detail ausgereizt sein, aber es hat Wirkung gezeigt. Die Leute haben verstanden, dass der IT-Notfall keinesfalls nur Sache des CISOs oder der IT ist.

Man muss sich ja für einen solchen Fall eine Menge überlegen: Zum Beispiel: Was geschieht mit den Beschäftigten, wenn der Betrieb einmal stillsteht? Sollen sie zu Hause bleiben oder an einer anderen Arbeitsstätte eingesetzt werden? Man muss Szenarien entwerfen.

CW: Angenommen, ein Ransomware-Angriff bei der Deutschen Post DHL war erfolgreich. Wie sieht das Notfall-Management aus?

Thornewill von Essen: Es kommt darauf an, was geschehen ist und welche Systeme verschlüsselt worden sind. Dafür gibt es ganz verschiedene Pläne. Sind nur Endgeräte betroffen oder auch die Server, wo die großen Firmenprozesse gesteuert werden? Was lässt sich vielleicht noch von Hand bearbeiten, und wie lassen sich im äußersten Notfall ganze Systeme schnell vom Netz nehmen, damit die Arbeit weitergehen kann? Es gibt ganz verschiedene Szenarien, auf die man sich vorbereiten muss.

CW: Inwieweit ist das Topmanagement involviert?

Jemand muss ja im Notfall auf höchster Ebene entscheiden, was man auszuhalten bereit ist und ab wann man sich den Erpressern gegebenenfalls aus wirtschaftlichen Gründen beugt.

Thornewill von Essen: Das Corporate Board ist stark involviert. Ich berichte als CISO direkt an unseren CEO Frank Appel. Und gerade er war es, der diese Simulation mit den Top-60-Executives angeregt hat. Sie müssen bedenken, eine ernste Cyberattacke kann ein Unternehmen über Nacht vollständig stilllegen, so wie wir es etwa bei Mitbewerbern vor ein paar Jahren gesehen haben. Wir wissen: Niemand ist zu 100

Prozent sicher. Deshalb sind wir daran interessiert, das Risiko zu minimieren, auch wenn wir es nicht vollständig ausschließen können.

CW: Warum berichten Sie an den CEO und nicht an den CIO?

Thornewill von Essen: Diese Frage wird in vielen Unternehmen diskutiert, aber uns hat sie sich gar nicht gestellt, weil wir keinen Gruppen-CIO haben. Das hat einen guten Grund:

Wir sind ein weit verzweigtes, weltweites Unternehmen mit Niederlassungen in über 220 Ländern und Territorien. Also gibt es bei uns mehrere CIOs in den Gesellschaften, die operativ weitgehend unabhängig arbeiten können.

Diese Dezentralität macht aber bei der Cybersicherheit keinen Sinn. Letztendlich werden ja Marken angegriffen, nicht einzelne Divisionen. Die Angreifer würden wohl eher die Deutsche Post DHL Group als Ganzes ins Visier nehmen, nicht einzelne Bereiche wie Supply Chain, Global Forwarding, Express oder DHL Freight. Deshalb ist es wichtig, die Verteidigung gleichmäßig und konsequent über alle Konzernbereiche hinweg zentral zu organisieren. Das kann sich dann natürlich in den Divisionen, wo verschiedene Geschäftsmodelle verfolgt werden, unterschiedlich ausprägen.

„Wenn man eine Schwachstelle hat, verbreitet sich das immer schneller unter den Angreifern. Momentan bemerkt die Gegenseite noch nicht sofort, wenn mal ein Zertifikat ausläuft oder eine SSL-Konfiguration nicht optimal aufgesetzt ist, doch das ändert sich gerade. Man muss lernen, möglichst schnell zu reagieren.“

CW: Wie organisieren Sie die CISO-Aufgaben im Konzern? Haben Sie ein zentrales CISO-Office eingerichtet?

Thornewill von Essen: Ich stehe einem zentralen CISO-Office vor, wo geschäftsübergreifend über Themen wie Governance, Regulatorik oder das Information Security Management System (ISMS) insgesamt entschieden wird. Wir sind auch für die Kommunikation, die Awareness und Simulationen – etwa Phishing – zuständig. Zum Beispiel sorgen wir dafür, dass alle 250.000 Mitarbeiter mit E-Mail-Accounts alle zwei Jahre eine Schulung erhalten. Wir gehen auch alle drei bis vier Wochen in die Geschäftsbereiche, um aufzuklären und die Prävention sicherzustellen. Ebenso steuern wir übergreifend Supply-Chain-Risiken, schauen also, ob unsere Partner in der Lieferkette unseren Sicherheitsanforderungen genügen.

„Wir brauchen so eine Art Schufa, ein Public Rating, damit wir einen Lieferanten besser beurteilen können. Wenn dann etwas vorfällt, lernen wir alle schnell davon und nicht erst sechs Monate später, wenn der Schaden schon angerichtet ist.“

CW: Haben Sie Ihr Security Operations Center (SOC) zentral mit weltweiter Zuständigkeit eingerichtet?

Thornewill von Essen: Wir haben bei der Deutschen Post DHL Group einen internen IT-Dienstleister, der für interne Rechenzentren und Netzwerke verantwortlich ist. Er stellt auch Entwickler zur Verfügung, die von den Divisionen abgerufen beziehungsweise beauftragt werden können. Innerhalb dieser Einheit IT Services gibt es ein Cyber-Abwehrzentrum (CDC), also unser SOC. Es ist für das ganze Unternehmen zuständig.

CW: Wo ziehen Sie die Grenzen der Zuständigkeiten Ihres CISO-Office?

Sorgen Sie auch für physische Sicherheit, also für Zugangskontrollsysteme? Oder auch für Datenschutz?

Thornewill von Essen: Datenschutz ist bei Legal und Compliance angesiedelt, aber wir arbeiten eng mit den Kollegen zusammen. Auch die Physical Security mit Zugangskontrollen et cetera ist von unseren Aufgaben getrennt. Wir arbeiten aber auch hier eng zusammen.

CW: Regieren Sie als CISO in die verschiedenen Geschäftsbereiche hinein?

Thornewill von Essen: Nein, wir haben das zentrale Office, das die Governance-Aufgaben erledigt, und dann gibt es noch in jeder Division einen eigenen CISO. Die berichten an den jeweiligen CIO. Sollte es dort mal zu Interessenskonflikten oder Spannungen kommen, kann ich als Gruppen-CISO mit meiner Berichtslinie zum CEO eingreifen und schlichten.

CW: Wie muss man sich die Zusammenarbeit der CISOs untereinander vorstellen?

Thornewill von Essen: Wir haben dafür schon vor ungefähr 15 Jahren unser Information Security Committee (ISC) eingerichtet, seit 2011 bin ich der Vorsitzende. Vor zwei Jahren bin ich dann aus dieser Rolle heraus zum Group CISO berufen worden. Zweimal in der Woche haben wir einen kurzen Stand-up-Call mit allen CISOs, damit wir über die täglichen Themen, zum Beispiel kleinere Incidents oder neue Bedrohungsszenarien, reden können.

CW: Wie sorgen Sie für eine Harmonisierung der Prozesse in den CISO-Bereichen?

Thornewill von Essen: Das machen wir über unser Information Security Target Model, das haben wir 2013 in der ersten Version zusammengestellt. Damals gab es in den verschiedenen Gesellschaften der Deutschen Post DHL Group noch unterschiedliche Richtlinien für Abläufe und auch für den Einkauf von IT- und IT-Sicherheits-Produkten. Das haben wir über das Information Security Target Model vereinheitlicht und komplett durchstrukturiert – von der Policy über unsere Zielvorgaben bis hin zu konkreten Richtlinien, anhand derer wir diese Ziele erreichen wollen. Wir aktualisieren das alle sechs Monate. Es geht dann durch verschiedene Gremien und wird von den CISOs, den CIOs und dem Corporate Board abgezeichnet. Alle sechs Monate sind die Veränderungen nicht so groß, aber nach drei, vier Jahren hat man doch einiges erreicht.

CW: In diesem Jahr gab es spektakuläre Angriffe auf die Softwarelieferkette, begünstigt durch Fehler in Enterprise-Softwareprodukten von Kaseya und Solarwinds. Was heißt das für den Softwareeinkauf bei Ihnen?

Thornewill von Essen: Ich arbeite eng mit unserem zentralen Einkauf zusammen. Wir entwickeln gemeinsam unseren Information Security Code of Practice, den jeder Lieferant einhalten muss, ständig weiter. Früher haben wir Spreadsheets verschickt, die IT-Lieferanten ein oder zwei Mal im Jahr ausfüllen mussten.

Inzwischen sind wir dabei, das zu automatisieren, um den Aufwand in Grenzen zu halten.

Wir bräuchten so eine Art Schufa, ein Public Rating, damit wir einen Lieferanten besser beurteilen können. Wenn dann etwas vorfällt, lernen wir alle schnell davon und nicht erst sechs Monate später, wenn der Schaden schon angerichtet ist.

CW: Wenn man sich die Trends im Bereich IT-Sicherheit anschaut, dann spielt Zero Trust eine wesentliche Rolle. Wo stehen Sie bei der Umsetzung?

Thornewill von Essen: Wir wollen dorthin, aber bei einem Konzern unserer Größenordnung geht das nicht so schnell. Da sind einige fundamentale Dinge, die wir erledigen müssen, bevor wir so weit sind. In einzelnen Fällen sind wir jetzt schon so weit, aber konzernweit dauert es noch ein bisschen.

CW: Was, glauben Sie, wird in den nächsten zwei bis drei Jahren die größte Herausforderung in Sachen IT-Sicherheit sein?

Thornewill von Essen: Die Risiken liegen in den vielen verschiedenen Anforderungen, die Kunden an uns stellen, und vor allem in der Lieferkette. Das gilt zum einen für unsere IT-Lieferanten, vor allem aber für all die Zulieferer und Partner, mit denen wir zusammenarbeiten. Ein weiteres Sicherheitsthema ist die steigende Bereitschaft der Unternehmen, sich und die eigenen Systemwelten zu öffnen. Wenn man eine Schwachstelle hat, verbreitet sich das immer schneller unter den Angreifern. Momentan bemerkt die Gegenseite noch nicht sofort, wenn mal ein Zertifikat ausläuft oder eine SSL-Konfiguration nicht optimal aufgesetzt ist, doch das ändert sich gerade. Man muss lernen, möglichst schnell zu reagieren.

CW: Wachsen die Risiken im Cloud-Zeitalter tendenziell oder werden sie kleiner?

Thornewill von Essen: Grundsätzlich ist es so, dass Cloud-Provider ein sehr hohes Maß an Sicherheit bieten. Da haben es klassische Unternehmen schwer, an dieses Niveau heranzukommen. Ich glaube durchaus, dass durch das Prinzip der Cloud die Security eher gestärkt wird. So gelingt es mit Information Protection zusehends, einen hohen Schutz auf der Ebene der einzelnen Dateien zu erreichen. Früher war es durchaus üblich, eine Powerpoint mit dem Vermerk vertraulich zu verschicken. Aber jetzt lässt es sich technisch durchsetzen, dass durch ein entsprechendes Berechtigungsmanagement nur ganz bestimmte Leute auf eine Datei zugreifen – und das auch nur für eine begrenzte Zeit. Das ist eine Steigerung der Sicherheitsmöglichkeiten.