Die Arbonia schützt sich
Im Alleingang würden sich die Themen und Projekte in einem Konzern mit so vielen Gesellschaften und Standorten nicht realisieren lassen – ein gut funktionierendes Team, welches sich gegenseitig unterstützt, ist unabdingbar.
Interview mit Thomas Zehnder, seit dem 1. Februar 2019 ICT Security Officer (ICT = Information and Communication Technology) bei der Arbonia.
Was ist Ihre Aufgabe als ICT Security Officer bei der Arbonia?
Mein Aufgabengebiet ist extrem vielfältig. Ich bin zuständig für die Erarbeitung und Weiterentwicklung der ICT-Informationssicherheitsstrategie, für die Identifikation und Bewertung von Risiken, Sicherheitsbedrohungen und Schwachstellen sowie die Definition von entsprechenden Sicherheitsmassnahmen zur Sicherstellung und kontinuierlichen Verbesserung der Cyberresilienz der Arbonia. Darüber hinaus liegen auch das Planen, Umsetzen und Messen der ICT-Security-Qualitätsmassnahmen sowie von Sicherheitsrichtlinien, Prozessen und Standards in meiner Verantwortung. Ich stehe den Mitarbeitenden aber auch bei allen Fragen rund um Informationssicherheit zur Seite.
Welche Fähigkeiten muss man mitbringen, um diesen Aufgaben gerecht zu werden?
Die Funktion setzt voraus, dass man sowohl die technische Seite als auch Prozesse und Abläufe versteht. Durch meinen Bachelor in Informatik und mein Masterstudium in Wirtschaftsinformatik mit Schwerpunkten in der technischen Security sowie Security Management decke ich beide Aspekte ab. Ständig aktuelle Kenntnisse und einschlägige Weiterbildungen im Bereich Informationssicherheit und Risikomanagement sind für die Arbeit ebenso essenziell wie analytische Fähigkeiten, vernetztes Denken sowie Erfahrungen im Umgang mit hoher Komplexität. Darüber hinaus sind Kompetenzen im Bereich Kommunikation und Selbstmanagement von Vorteil.
Wie ist die Arbonia bei der ICT Security aufgestellt?
Im Wesentlichen liegt die Zuständigkeit für die ICT Security der gesamten Arbonia Gruppe bei mir und dem IT Board, welches sich aus dem Group CIO, dem Group CFO sowie IT-Vertretern beider Divisionen und des Konzerns zusammensetzt. Die relevanten Themen werden stets mit den Divisionsverantwortlichen und der Konzernleitung abgestimmt und dargelegt. Bei der Umsetzung sämtlicher Themen unterstützen mich die lokalen IT-Teams und ICT Security Officer sowie weitere ICT-Security-Spezialisten, die meine Schnittstelle zu den Standorten und Gesellschaften darstellen. Im Alleingang würden sich die Themen und Projekte in einem Konzern mit so vielen Gesellschaften und Standorten nicht realisieren lassen – ein gut funktionierendes Team, welches sich gegenseitig unterstützt, ist unabdingbar.
Welches waren die grössten Herausforderungen im vergangenen Jahr 2021?
Wir haben ein detailliertes Securityprogramm mit vielen Projekten und kontinuierlichen Verbesserungsprozessen ausgearbeitet, welches wir gruppenweit umsetzen – der limitierende Faktor sind insbesondere die personellen Ressourcen auf Konzernstufe, aber auch bei den Gesellschaften, die uns bei der Umsetzung unterstützen müssen. Hinzu kommen teilweise Maturitätsunterschiede zwischen den Gesellschaften, die wir ausgleichen müssen, sowie die Integration von neu akquirierten Gesellschaften. Wir sind als Konzern mit vernetzten Systemen darauf angewiesen, dass alle den definierten Sicherheitsstandard erfüllen, ganz im Sinne von «think globally, act locally».
Welche Schwerpunkte legte die Arbonia im Geschäftsjahr 2021 im Bereich Cyber Security?
Unter anderem haben wir mittels eines laufenden Phishing- und Awarenessprogramms das Bewusstsein für Cyberrisiken bei den Mitarbeitenden zu erhöhen versucht. Darüber hinaus haben wir eine Informationssicherheitsstrategie mit unterschiedlichen Stossrichtungen und daraus resultierendem mehrjährigen Securityprogramm erarbeitet und verabschiedet. Ziel war, eine stabile Cyberresilienz mit gezielten kleineren Massnahmen über alle Gesellschaften hinweg zu erreichen. Zusätzlich haben wir mehrere grosse und gruppenweite Projekte umgesetzt, wie beispielsweise die Einführung von SIEM / SOC, einer zentralen Sammlung und Auswertung von relevanten Sicherheitslogs verbunden mit einer externen 7 × 24 h-Überwachung – oder auch die Etablierung neuer gruppenweit gültiger Richtlinien, beispielsweise für die Anbindung von Dritten an die Systeme der Arbonia.
Inwiefern hat sich der Blickwinkel innerhalb der Arbonia auf das Thema Cyber Security verändert, seit Sie diese Funktion innehaben?
Früher hat sich jede Tochtergesellschaft mehrheitlich selbst um das Thema Cyber Security gekümmert. Einen übergreifenden Ansatz gab es nicht. In den vergangenen drei Jahren ist insbesondere das Bewusstsein für die Notwendigkeit für Massnahmen in diesem Bereich deutlich gestiegen – sowohl bei den Mitarbeitenden, aber insbesondere auch beim Management. Dies hat dazu geführt, dass auch das Commitment und die Bereitschaft, aktiv zu werden, zugenommen hat. Mittlerweile haben fast alle erkannt, dass Cyber Security auch Business Enabler ist.
Weshalb ist aus Ihrer Sicht das Thema Cyber Security auch für die Nachhaltigkeit relevant?
Digitalisierung im Allgemeinen ist ein zentrales Thema im Bereich der Nachhaltigkeit. Smarte Prozesse und Systeme, die die Verwendung von Ressourcen gezielt steuern und optimieren und somit Umweltbelastungen weitestgehend reduzieren, sind ausschlaggebend. Durch ihre Vernetzung sind solche Systeme aber auch ein Ziel von Angreifern, weshalb die Cyber Security für die Aufrechterhaltung so zentral ist. Die Anzahl der Cyberangriffe hat in den letzten Jahren und Monaten stark zugenommen und die Bedrohungslage hat sich drastisch erhöht. Letztlich ist Cyber Security der Business Enabler – wenn die Systeme lahmgelegt sind, kann ein Unternehmen in den meisten Fällen per se nicht mehr wirtschaften. Nicht wirtschaften heisst, nicht nachhaltig existieren zu können, und der Arbonia ist es ein grosses Anliegen, vor allem den Mitarbeitenden eine nachhaltige Arbeitssicherheit zu gewährleisten.