CISO der Deutschen Post DHL

"Wir brauchen eine Schufa für Lieferanten"

22.11.2021 von Heinrich Vaske
In einem Konzern wie der Deutschen Post DHL die Informationssicherheit zu organisieren, ist eine Aufgabe. Meistern muss sie der Group CISO David Thornewill von Essen, der den CSO-Lesern seine Strategie erläutert.
  • Krisensimulation mit den Top-60-Executives verlief erfolgreich
  • Die CISOs sind nah dran an den Entwicklern, vor allem dort, wo DevSecOps bereits eingeführt wurde
  • Eine Art Schufa beziehungsweise ein Public Rating könnte Unternehmen helfen, Softwarelieferanten zu beurteilen
David Thornewill von Essen, CISO der Deutsche Post DHL Group, zieht beim weltweit größten Logistiker die Fäden im Bereich Informationssicherheit.
Foto: Deutsche Post DHL Group

Welche Cyberbedrohungen nehmen Sie bei der Deutschen Post DHL Group gerade besonders wahr?

Thornewill von Essen: Generell steigt weltweit die Zahl der Angriffe rasant, vor allem DDoS-Attacken nehmen gerade zu. Und natürlich nehmen wir auch die vielen Ransomware-Attacken wahr. Bisher sind wir einigermaßen davon verschont geblieben. Aber natürlich klopfen immer wieder Leute an unsere Türen und Fenster, und man ist nie davor gefeit. Man kann die Schotten so hochziehen, wie man will, irgendwie - meist durch einen Social-Engineering-Angriff - schaffen es Angreifer doch immer wieder, sich Zugang zu verschaffen. Das kann auch uns passieren.

Wie bereiten Sie sich auf einen möglichen Ransomware -Angriff vor?

Thornewill von Essen: Zunächst mal geht es um eine optimale Verteidigungslinie, also um die richtige Technologie, Sicherheitsschulungen etc. Wir nutzen zum Beispiel künstliche Intelligenz, um ungewöhnliche Datenbewegungen zu entdecken. Letztendlich ist eine Ransomware-Attacke aber vergleichbar mit einem Erdbeben. Man bereitet sich vor, hofft aber, dass es nicht eintritt. Wenn es dann aber passiert, muss man bereit sein, schnell und richtig zu agieren, um den Schaden zu minimieren und den Betrieb am Laufen zu halten oder zumindest schnell wiederherzustellen.

In der Vorbereitung geht es also nicht nur um die Abwehrtechnologie, sondern auch um die Incident-Management-Prozesse. Es gilt, die Wiederherstellungsabläufe zu verfeinern und durch interne Simulationen zu üben. Alle müssen im Falle eines Falles wissen, was zu tun ist - genauso wie alle Mitarbeiter einmal im Jahr die Feuertreppe herunterlaufen, um für den Notfall zu trainieren.

Wie schaffen Sie es, dass in einer solchen Testsituation wirklich Ernsthaftigkeit vorherrscht und alle mitmachen?

Thornewill von Essen: Es gibt ja verschiedene Arten von Simulationen. Oft wird punktuell in einem ganz bestimmten Bereich geübt, doch dann gibt es auch die größeren Sachen, also echte Krisensimulationen. Ich bin stolz darauf, dass wir kürzlich eine solche Krisensimulation mit unseren Top-60-Executives umgesetzt haben. Wir hatten nur drei bis vier Stunden zur Verfügung, da konnte nicht alles bis ins feinste Detail ausgereizt sein, aber es hat Wirkung gezeigt. Die Leute haben verstanden, dass der IT-Notfall keineswegs nur Sache des CISOs oder der IT ist.

Man muss sich ja für einen solchen Fall eine Menge überlegen: Zum Beispiel: Was geschieht mit den Beschäftigten, wenn der Betrieb einmal stillsteht? Sollen sie zu Hause bleiben oder an einer anderen Arbeitsstätte eingesetzt werden? Man muss sehr viel durchdenken und Szenarien dafür entwerfen.

Angenommen, ein Ransomware-Angriff bei der Deutschen Post DHL Group war erfolgreich. Wie sieht der Ablauf in Sachen Notfall-Management aus?

Thornewill von Essen: Es kommt darauf an, was geschehen ist und welche Systeme verschlüsselt worden sind. Dafür gibt es ganz verschiedene Pläne. Sind nur Endgeräte betroffen oder auch die Server, wo die großen Firmenprozesse gesteuert werden? Was lässt sich vielleicht noch von Hand bearbeiten und wie lassen sich im äußersten Notfall ganze Systeme schnell vom Netz nehmen, damit die Arbeit weitergehen kann? Es gibt ganz verschiedene Szenarien, auf die man sich vorbereiten muss.

Inwieweit ist das Topmanagement involviert? Jemand muss ja im Notfall auf höchster Ebene entscheiden, was man auszuhalten bereit ist und ab wann man sich den Erpressern gegebenenfalls aus wirtschaftlichen Gründen beugt.

Thornewill von Essen: Das Corporate Board ist stark involviert. Ich berichte als CISO direkt an unseren CEO, Frank Appel. Und gerade er war es, der diese Simulation mit den Top-60-Executives angeregt hat. Sie müssen bedenken, eine ernste Cyberattacke kann ein Unternehmen über Nacht vollständig stilllegen, so wie wir es etwa bei Mitbewerbern vor ein paar Jahren gesehen haben. Wir wissen: Niemand ist zu 100 Prozent sicher. Deshalb sind wir daran interessiert, das Risiko zu minimieren, auch wenn wir es nicht vollständig ausschließen können.

"Ich bin stolz darauf, dass wir kürzlich eine Krisensimulation mit unseren Top-60-Executives umgesetzt haben. (...) Es hat Wirkung gezeigt", sagt Thornewill von Essen.
Foto: Deutsche Post DHL Group

Warum berichten Sie an den CEO und nicht an den CIO?

Thornewill von Essen: Diese Frage wird in vielen Unternehmen diskutiert, aber uns hat sie sich gar nicht gestellt, weil wir keinen Gruppen-CIO haben. Das hat auch einen guten Grund: Wir sind ein weit verzweigtes, weltweites Unternehmen mit Niederlassungen in über 220 Ländern und Territorien. Also gibt es bei uns mehrere CIOs in den Gesellschaften, die operativ weitgehend unabhängig arbeiten können.

Diese Dezentralität macht aber bei der Cybersicherheit keinen Sinn. Letztendlich werden ja Marken angegriffen, nicht einzelne Divisionen. Die Angreifer würden wohl eher die Deutsche Post DHL Group als Ganzes ins Visier nehmen, nicht einzelne Bereiche wie Supply Chain, Global Forwarding, Express oder DHL Freight. Deshalb ist es wichtig, die Verteidigung gleichmäßig und konsequent über alle Konzernbereiche hinweg zentral zu organisieren. Das kann sich dann natürlich in den Divisionen, wo verschiedene Geschäftsmodelle verfolgt werden, unterschiedlich ausprägen.

Wie organisieren Sie die CISO-Aufgaben im Konzern? Haben Sie ein zentrales CISO-Office eingerichtet?

Thornewill von Essen: Ich stehe einem zentralen CISO-Office vor, wo geschäftsübergreifend über Themen wie Governance, Regulatorik oder das Information Security Management System (ISMS) insgesamt entschieden wird. Wir sind auch für die Kommunikation, die Awareness und Simulationen - etwa Phishing - zuständig.

Zum Beispiel sorgen wir dafür, dass alle 250.000 Mitarbeiter mit E-Mail-Accounts alle zwei Jahre eine Schulung erhalten. Wir gehen auch alle drei bis vier Wochen in die unterschiedlichen Geschäftsbereiche um aufzuklären und die Prävention sicherzustellen. Ebenso steuern wir übergreifend die Supply-Chain-Risiken, schauen also genau, ob unsere Partner in der Lieferkette unseren Sicherheitsanforderungen genügen.

Haben Sie Ihr Security Operations Center (SOC) zentral mit weltweiter Zuständigkeit eingerichtet?

Thornewill von Essen: Wir haben bei der Deutschen Post DHL Group einen internen IT-Dienstleister, der für interne Rechenzentren und Netzwerke verantwortlich ist. Er stellt auch Entwickler zur Verfügung, die von den Divisionen abgerufen beziehungsweise beauftragt werden können. Innerhalb dieser Einheit IT Services gibt es ein Cyber-Abwehrzentrum (CDC), also unser SOC. Es ist für das ganze Unternehmen zuständig.

Wo ziehen Sie die Grenzen der Zuständigkeiten Ihres CISO-Office? Sorgen Sie auch für physische Sicherheit, also beispielsweise Zugangskontroll-Systeme? Oder auch für Datenschutz?

Thornewill von Essen: Datenschutz ist bei Legal und Compliance angesiedelt, aber wir arbeiten eng mit den Kollegen zusammen. Auch die Physical Security mit Zugangskontrollen etc. ist von unseren Aufgaben getrennt. Wir arbeiten aber auch hier eng zusammen.

Auch in einer Niederlassung wie beispielsweise der DHL Global Forwarding in Kanada ist Sicherheit höchstes Gebot. Die CISOs im Konzern stimmen sich zwei Mal in der Woche ab.
Foto: JHVEPhoto - shutterstock.com

Regieren Sie als CISO in die verschiedenen Geschäftsbereiche hinein?

Thornewill von Essen: Nein, wir haben das zentrale Office, dass die Governance-Aufgaben erledigt, und dann gibt es noch in jeder Division einen eigenen CISO. Die berichten an den jeweiligen CIO. Sollte es dort mal zu Interessenskonflikten oder Spannungen kommen, kann ich als Gruppen-CISO mit der Berichtslinie direkt zum CEO eingreifen und schlichten.

Die Deutsche Post DHL Group beschäftigt viele Softwareentwickler. Security by Design und gegebenenfalls der DevSecOps-Ansatz dürften dort bereits gelebt werden. Wieviel Einfluss haben hier die CISOs?

Thornewill von Essen: Sie sind grundsätzlich nah dran an den Entwicklern, vor allem dort, wo DevSecOps bereits eingeführt wurde. Dass unsere Security-Experten im CI/CD-Prozess und bei den Code-Tests dabei sind, ist selbstverständlich.

Die Bereichs-CISOs berichten also an ihre CIOs. Wie muss man sich die Zusammenarbeit der CISOs untereinander vorstellen?

Thornewill von Essen: Wir haben dafür schon vor ungefähr 15 Jahren unser Information Security Committee (ISC) eingerichtet, seit 2011 bin ich der Vorsitzende. Vor zwei Jahren bin ich dann aus dieser Rolle heraus zum Group CISO berufen worden. Zwei Mal in der Woche haben wir einen kurzen Stand-up-Call mit allen CISOs, damit wir über die täglichen Themen, zum Beispiel kleinere Incidents oder neue Bedrohungsszenarien und Vorfälle, reden können.

Wie sorgen Sie für eine Harmonisierung der Prozesse in den verschiedenen CISO-Bereichen?

Thornewill von Essen: Das machen wir über unser Information Security Target Model, das haben wir 2013 in der ersten Version zusammengestellt. Damals gab es in den verschiedenen Gesellschaften der Deutschen Post DHL Group noch unterschiedliche Richtlinien für Abläufe und auch für den Einkauf von IT- und IT-Sicherheitsprodukten. Das haben wir über das Information Security Target Model vereinheitlicht und komplett durchstrukturiert - von der Policy über unsere Zielvorgaben bis hin zu konkreten Richtlinien, anhand derer wir diese Ziele erreichen wollen.

Wir aktualisieren das alle sechs Monate. Es geht dann durch verschiedene Gremien und wird von den CISOs, den CIOs und dem Corporate Board abgezeichnet. Alle sechs Monate sind die Veränderungen nicht so groß, aber nach drei, vier Jahren hat man doch einiges erreicht.

In diesem Jahr gab es spektakuläre Angriffe auf die Softwarelieferkette, begünstigt durch Fehler in verbreiteten Enterprise-Softwareprodukten von Kaseya und SolarWinds. Was heißt das für den Softwareeinkauf bei Ihnen im Konzern? Schaltet sich der CISO dort ein?

Thornewill von Essen: Ich arbeite eng mit unserem zentralen Einkauf zusammen. Wir entwickeln gemeinsam unseren Information Security Code of Practice, den jeder Lieferant einhalten muss, ständig weiter. In der Vergangenheit haben wir IT-Lieferanten Spreadsheets geschickt, die sie ein oder zwei Mal im Jahr ausfüllen mussten, inzwischen sind wir dabei, das zu automatisieren, um den Aufwand in Grenzen zu halten.

Wir brauchen so eine Art Schufa, ein Public Rating, damit wir einen Lieferanten besser beurteilen können. Wenn dann etwas vorfällt, lernen wir alle schnell davon und nicht erst sechs Monate später, wenn der Schaden schon angerichtet ist.

Wenn man sich die Trends im Bereich IT-Sicherheit anschaut, dann spielt Zero Trust eine wesentliche Rolle. Wo stehen Sie bei der Umsetzung?

Thornewill von Essen: Wir wollen dort hin, aber bei einem Konzern unserer Größenordnung geht das nicht so schnell. Da sind einige fundamentale Dinge, die wir erledigen müssen, bevor wir so weit sind. In einzelnen Fällen sind wir jetzt schon so weit, aber konzernweit dauert es noch ein bisschen.

Wie hat die Deutsche Post DHL Group unter IT-Sicherheitsaspekten den Corona-bedingten Umzug vieler Mitarbeiter ins Home-Office gemeistert?

Thornewill von Essen: Wir haben das ganz gut gemeistert. Wir sind gerade im Übergang zu Office 365. Als es im März 2020 mit der Pandemie losging, hatten wir noch Skype on Premises im Einsatz, da gab es ein paar Engpässe. Aber das haben wir dann pragmatisch bewältigt, indem wir zeitweilig die Videofunktion deaktiviert und nur auf der Tonspur kommuniziert haben, damit die Netzinfrastruktur mit der Last fertig werden konnte.

Wir haben alle Laptops und Desktops für den Einsatz im Home-Office ausgerüstet mit Verschlüsselung und außerdem einige Richtlinien für die Mitarbeiterinnen und Mitarbeiter im Home-Office erlassen: keine privaten Geräte ans Firmennetz anschließen zum Beispiel. Im Großen und Ganzen ging es relativ gut vonstatten. Natürlich muss man immer wiederholen, wie sich die Beschäftigten zu verhalten haben.

Was, glauben Sie, wird in den nächsten zwei bis drei Jahren die größte Herausforderung in Sachen IT-Sicherheit sein?

Thornewill von Essen: Die Risiken liegen in den vielen verschiedenen Anforderungen, die Kunden an uns stellen, und vor allem in der Lieferkette. Das gilt zum einen für unsere IT-Lieferanten, vor allem aber für all die Zulieferer und Partner, mit denen wir zusammenarbeiten.

Ein weiteres Sicherheitsthema ist die steigende Bereitschaft der Unternehmen, sich und die eigenen Systemwelten zu öffnen. Wenn man eine Schwachstelle hat, verbreitet sich das immer schneller unter den Angreifern. Momentan bemerkt die Gegenseite noch nicht sofort, wenn mal ein Zertifikat ausläuft oder eine SSL-Konfiguration nicht optimal aufgesetzt ist, doch das ändert sich gerade. Man muss lernen, möglichst schnell zu reagieren.

"Cloud-Provider bieten ein sehr hohes Maß an Sicherheit. Da haben es klassische Unternehmen schwer, an das Niveau heranzukommen."
Foto: Deutsche Post DHL Group

Wachsen die Risiken im Cloud-Zeitalter tendenziell oder werden sie kleiner?

Thornewill von Essen: Grundsätzlich ist es so, dass Cloud-Provider ein sehr hohes Maß an Sicherheit bieten. Da haben es klassische Unternehmen schwer, an dieses Niveau heranzukommen. Ich glaube durchaus, dass durch das Prinzip der Cloud die Security eher gestärkt wird.

So gelingt es mit Information Protection zusehends, einen hohen Schutz auf der Ebene der einzelnen Dateien zu erreichen. Früher war es durchaus üblich, eine PowerPoint mit dem Vermerk vertraulich zu verschicken. Aber jetzt lässt es sich technisch durchsetzen, dass durch ein entsprechendes Berechtigungsmanagement nur ganz bestimmte Leute auf eine Datei zugreifen - und das auch nur für eine begrenzte Zeit. Das ist eine Steigerung der Sicherheitsmöglichkeiten.