GEA ist einer der wichtigsten Spezialmaschinen- und Anlagenbauer der Welt. Mit über 18.000 Mitarbeitenden in 62 Ländern gibt es speziell aus Sicht der Informationssicherheit eine ganze Reihe von relevanten Faktoren: Lieferketten, Produktionsanlagen und physische Standorte, IT-Infrastrukturen, Mitarbeitende und natürlich auch die selbst entwickelten digitalen Produkte. Sie alle fallen in den Verantwortungsbereich von Iskro Mollov, der als "Vice President Security, Business Continuity and Crisis Management" und CISO den ganzheitlichen Blick auf die Security-Themen bei GEA einnimmt.
Beim Cybersecurity Summit von CIO und CSO, den die beiden Medien von Foundry am 20. Juni 2023 in Frankfurt am Main veranstalten, wird GEA-CISO Mollov über diesen ganzheitlichen Blick und seine Herausforderungen im Rahmen der Keynote "Was es für eine ganzheitliche Security-Sicht in der Praxis braucht" sprechen. Zuvor haben wir Iskro Mollov aber noch zum Interview getroffen.
Herr Mollov, Sie haben bei GEA im Grunde alle Aspekte der Sicherheit - auch die IT-Security - in Ihrem Verantwortungsbereich vereint. Wie sieht dieser ganzheitliche Blick auf Sicherheit in der täglichen Praxis aus? Was macht diese Aufteilung aus Ihrer Sicht besonders wertvoll?
Iskro Mollov: Für die Sicherheit des Unternehmens ist es essenziell, dass alle Einfallstore mit einer einheitlichen Sicherheitsrisikomethodik betrachtet werden. Potenzielle Angreifer werden schließlich jede Schwachstelle ausnutzen. So werden sie sich nicht nur auf die IT-Infrastruktur konzentrieren und unsere Produktionsmaschinen, digitale Produkte und Services, Webauftritte, Standorte oder Lieferanten "verschonen", nur weil wir diese nicht betrachten oder das Risiko anders einschätzen.
In der Praxis muss man deshalb als CISO und Security Governace, also als "second-line-of-defense", mit allen beteiligten Bereichen aus dem "first-line-of-defense" sehr eng zusammenarbeiten. Die Zusammenarbeit erstreckt sich insbesondere auf die IT, Digitalisierung, Produktentwicklung, Produktion, Real Estate und Facility Management, Einkauf, Kommunikation und HR.
Konkret bedeutet das, dass man in der Implementierungsphase von neuen Security-Projekten die Kollegen unterstützen und beraten muss, um die neuen Themen einzuführen sowie deren Prozesse anzupassen und um Sicherheitsaspekte zu ergänzen. Während der kontinuierlichen Verbesserungsphase ist der CISO meistens in der Auditoren-Rolle und mittels interner Audits, Reviews und Pen-Tests für die Prüfung der Umsetzung der internen Sicherheitsvorgaben zuständig.
Dass alle Aspekte der Sicherheit in meinem Verantwortungsbereich liegen, würde ich dabei nicht als "Aufteilung", sondern viel mehr als "notwendige Vereinigung" bezeichnen. Besonders wertvoll bei dieser ganzheitlichen Betrachtung sind insbesondere die enormen Synergie-Effekte. Methoden und Vorgehensweisen sind einheitlich, Interessenkonflikte zwischen unterschiedlichen Sicherheitsverantwortlichen sind nicht vorhanden, die Kosteneffizienzvorteile sind enorm und die Sicherheitsmaßnahmen der unterschiedlichen Sicherheits-Disziplinen können zentral entsprechend ihrer Risiken priorisiert werden.
Jetzt zum Cybersecurity Summit registrieren
Wie funktioniert für Sie als Leader diese ganzheitliche Aufgabe entlang der unterschiedlichen Perspektiven und Vektoren Ihrer Arbeit?
Iskro Mollov: Ich erachte diese ganzheitliche Aufgabe aus persönlicher Perspektive als extrem zufriedenstellend, aber natürlich enorm anstrengend und zeitraubend. Glücklicherweise konnte ich mein Team in den vergangenen zweieinhalb Jahren dazu bringen, Scratch aufzubauen und Top-Spezialisten für die unterschiedlichen Sicherheitsdisziplinen zu gewinnen. Meine Mitarbeitenden mit ihren spezifischen Expertisen und der grandiosen Teamarbeit machen diese ganzheitliche Aufgabe überhaupt erst möglich.
Schauen wir kurz auf die Strategie: Wie ist dieser 360-Grad-Approach in der Cyber- und Informationssicherheitsstrategie bei GEA verankert? Welche Rolle spielen dabei Support und Awareness des Managements?
Iskro Mollov: Ohne Awareness und Unterstützung des Managements auf allen Ebenen ist das Meistern der Sicherheitsthemen nicht möglich. Das Kommunizieren der Sicherheitsthemen auf allen Ebenen im Unternehmen ist die Aufgabe, welche die meiste Zeit meines Arbeitstages einnimmt. Glücklicherweise bin ich in der Situation freien Zugang zu allen Vorständen zu haben und regelmäßig im Group Executive Committee (GEC) und quartalsweise beim Aufsichtsrat berichten zu dürfen. Auf der operativeren Ebene wird der Status des Global Security Programms, welches wir seit September 2020 vorantreiben, quartalsweise dem Vorstand berichtet.
Bei den Themen in der Linie findet das Group Information Security Board (GISB) ebenfalls quartalsweise statt. Dieses wird von mir im Beisein des Vorstands und aller relevanten Unternehmensfunktionen geleitet. Mit unseren dauerhaften Awareness- und Schulungskampagnen sowie zielgruppenspezifischen Trainings und Veranstaltungen versuchen wir möglichst alle GEA-Mitarbeitenden, inklusive aller Managementebenen zu erreichen und für die Sicherheit zu sensibilisieren.
Sie sprechen bei unserem Cybersecurity-Summit, den wir als CIO und CSO am 20. Juni 2023 in Frankfurt am Main veranstalten, im Zuge einer Keynote über die Verbindung von einem ganzheitlichem Blick auf Security und den praktischen Voraussetzungen dafür. Ohne schon zu viel zu verraten: Was ist da aus Ihrer Sicht die "Geheimzutat" für eine erfolgreiche, resistente Organisation?
Iskro Mollov: Die absolute Voraussetzung am Anfang einer solchen Reise ist, dass man eine gemeinsame Vision, Strategie und klare Ziele vor Augen hat. Man muss alle überzeugen mitzuziehen und sowohl in der Implementierungsphase aber auch in der Linienorganisation möglichst reibungslose Arbeitsumgebung mit klaren Verantwortlichkeiten und Zuständigkeitsbereiche schaffen.
Jetzt zum Cybersecurity Summit registrieren
Zum Schluss noch eine - vielleicht etwas provokante - Frage zum Stichwort "Erfolg", den es im Kontext von Cyber- und Informationssicherheit eigentlich kaum objektiv geben kann. Was heißt für Sie in Ihrer Aufgabe als Security-Verantwortlicher "Erfolg"?
Iskro Mollov: Ich sehe zwei Aspekte, die man als Security-Verantwortlicher als Erfolg bezeichnen kann - erstens, dass man die richtigen Strukturen hat, um möglichst effizient auf die dauerhaft stattfindenden Angriffe reagieren zu können oder diese optimalerweise sogar vorbeugen kann und zweitens, wenn die Arbeit außerhalb des eigenen Verantwortungsbereichs als Hilfestellung wahrgenommen wird.
Zweiteres kann zum Beispiel dadurch entstehen, dass man dank Sicherheitszertifizierungen den nächsten Kundenauftrag bekommt, man seine sicheren digitalen Produkte deutlich besser auf dem Markt positionieren kann oder wenn der Arbeitstag der Kollegen mithilfe von passwortlosen Anmeldeverfahren erleichtert wird.
Vielen Dank für das Gespräch, wir sehen uns in Frankfurt beim Cybersecurity Summit!