OTTO-CISO Ralf Kleinfeld
Warum der Begriff der Awareness zu kurz greift
OTTOOTTO steht als größter deutscher Onlineshop bekannter Weise im Wettbewerb mit vielen globalen Marktbegleitern. Dennoch schafft der ehemalige KatalogversenderKatalogversender aus Hamburg es seit vielen Jahren erfolgreich, sich selbst zum Marktplatz zu transformieren und so seinen Footprint zu vergrößern – den im Vergleich zu internationalen eCommerce-Größen komplett unterschiedlichen Rahmenbedingungen zum Trotz. In einem vor allem digital bestrittenen Geschäft kommt dabei auch bei OTTO dem Themenbereich der Cyber- und Informationssicherheit eine ganz entscheidende Rolle zu; und das sowohl mit Blick auf Technologie, als auch mit Blick auf den Menschen. Top-500-Firmenprofil für Otto Group Top-Firmen der Branche Handel
Ralf KleinfeldRalf Kleinfeld, der als CISO bei OTTO für die Cyber- und Informationssicherheit verantwortlich ist, stellt vor allem den Menschen in den Fokus – auch bei seinen beiden Beiträgen zum Programm des Cybersecurity Summit von CIO und CSO am 20. Juni in Frankfurt, wo er unter anderem die Closing Keynote beisteuern wird. Der Titel: "Cybersicherheit – über Technologie, Menschen und Organisation zum Security-Klima". Was es mit dem Begriff des "Security-Klimas" auf sich hat und warum ein ganzheitlicher Blick auf Cybersicherheit für eine nachhaltig erfolgreiche Transformation unerlässlich ist, haben wir kurz vor dem Summit im Gespräch thematisiert. Profil von Ralf Kleinfeld im CIO-Netzwerk
Im hauseigenen Podcast von OTTO haben Sie kürzlich das Thema Einsatz von künstlicher Intelligenz (KI) im Umfeld der Cyber- und Informationssicherheit diskutiert. Ein Aspekt, der generell in diesen Tagen gerne sowohl von Vendorenseite, als auch in der CISO-Community aufgegriffen wird. Wie nähern Sie sich als CISO persönlich dem Thema und wie stellt sich OTTO als Konzern mit Strukturen, Prozessen und Technologie-Scouting auf?
Ralf Kleinfeld: Das Thema KI ist ja grundsätzlich nicht neu, hat aber gerade durch ChatGPT eine neue und sehr breite Aufmerksamkeit bekommen. Daher beobachte ich schon länger die Entwicklung von KI an sich, aber auch im Kontext von Cybersicherheit. Denn zum einen sollten Verantwortliche für Informationssicherheit den Schutzbedarf von Algorithmen vor Angriffen als auch den Schutz von Daten in Algorithmen als ihre Aufgabe ansehen. Aber auch Cyberangriffe werden durch KI optimiert, so dass ich es für unablässig halte, KI auch im Rahmen der Cybersicherheit einzusetzen. Bei der Suche nach Unterstützung und Tools bekommt KI daher eine zunehmende Bedeutung.
Jetzt zum Cybersecurity Summit registrieren
Der OTTO-Konzern operiert neben dem Kerngeschäft des Handels auch in anderen Geschäftsfeldern, etwa rund um Logistik oder Finanzdienstleistungen. Wie haben Sie bei OTTO die Cyber- und Informationssicherheit personell und mit Blick auf das Organisationsdesign aufgebaut?
Ralf Kleinfeld: Ich bin überzeugt, dass die Aufstellung der Cybersicherheits-Organisation zur Gesamtorganisation passen muss. Die grundlegenden Aufgabenbereiche des Cybersicherheits-Managements sollten Basisfunktionen, wie einen übergreifenden Security-Incident-Prozess bereitstellen, durch Policies und Sicherheitsprozeduren den Rahmen setzen und die Organisation befähigen, im jeweils eigenen Verantwortungsbereich die notwendigen Fähigkeiten und Fertigkeiten zu entwickeln. Die Verteilung der Kapazität hängt von der jeweiligen Reife der Organisation ab. Der Fokus sollte dabei auf der Unterstützung der agilen Teams liegen.
In unserem Vorgespräch zu Ihrem Vortrag auf unserem Summit sprachen wir über die Handlungsfelder eines CISOs und blieben bei einem der absoluten Buzzwords hängen, der "Awareness". Ein Begriff, den Sie als nicht sonderlich treffend bewertet haben, weil er zu kurz greife. Warum reicht Ihnen die "Awareness" als Begriff nicht aus, um die kulturelle Begleitung einer Cyber- und Informationssicherheits-Strategie zu beschreiben?
Ralf Kleinfeld: Der Begriff Awareness ist schon treffend, aber wie Sie sagen, greift er meines Erachtens zu kurz. Bei Awareness-Maßnahmen wird das Sicherheitsbewusstsein adressiert. Dabei geht es darum, Fähigkeiten und Fertigkeiten zu entwickeln, also das "richtige" Sicherheitsverhalten zu bewirken. Darüber hinaus sprechen Awareness-Maßnahmen die Haltung des Einzelnen an. Und ich bin überzeugt, dass es noch mehr um SecuritySecurity als gemeinsames Thema einer Organisation geht, also über die genannten Aspekte der Awareness hinaus geht. Alles zu Security auf CIO.de
Statt der "Awareness" schlagen Sie den Begriff des "Security-Klimas" vor und integrieren diesen auch gleich in die Überschrift Ihres Vortrags auf unserem Cybersecurity Summit am 20. Juni 2023 in Frankfurt. Was hat es mit dem "Security-Klima" als Kernelement einer ganzheitlichen Vorgehensweise auf sich?
Ralf Kleinfeld: Dabei schaue ich mehr auf die Organisation als Ganzes. Welchen Stellenwert hat Security und wie geht die Organisation damit um. Wie ist das Top-Management dazu aufgestellt, wie sind die Verantwortlichkeiten geregelt und wie werden sie wahrgenommen. Unternehmen haben in der Regel Werte und Mitarbeiter identifizieren sich mit diesen. Daraus erwachsen Gemeinsamkeit, Zusammenhalt und die Bereitschaft, sich für den Erfolg des Unternehmens zu engagieren. Vielleicht ein entscheidender Vorteil gegenüber externen Bedrohungen. Es geht am Ende darum, eine Sicherheitskultur kontinuierlich weiterzuentwickeln, verankert an der Unternehmenskultur.
Jetzt zum Cybersecurity Summit registrieren
Was ist aus Ihrer Sicht die größte Herausforderung für Verantwortliche im Umfeld der Cyber- und Informationssicherheit, wenn es – jenseits von technologischen Herausforderungen und deren Lösung – darum geht, Cybersecurity zu leben? Wie gehen Sie das konkret bei OTTO an?
Ralf Kleinfeld: Das Security-Klima muss kultiviert werden. Maßnahmen, die darauf abzielen wirken nicht sofort und möglicherweise eher unsichtbar oder schwer messbar. Daher veranstalten wir beispielsweise aktuell die OTTO Security Days. Damit wollen wir das Thema Informationssicherheit durch verschiedene Online- und Präsenzformate sichtbar und erlebbar machen.
Wir wollen alle Mitarbeitenden in ihrer jeweiligen Aufgabe ansprechen und bei ihnen das Bewusstsein für ihre Rolle in unserer Sicherheitskultur stärken. Beschäftigte sind ein wichtiger Baustein im Aufbau einer robusten Sicherheitskultur und die Security Days fördern den Wissens- und Erfahrungsaustausch. Sie sollen die Teilnehmerinnen und Teilnehmer sowohl sensibilisieren als auch dazu ermutigen, als Teil der Sicherheitskultur zu agieren.
Vielen Dank für das Gespräch!
Lesetipp: IT-Sicherheit bei Otto