Der Safer Internet Day ist eine Initiative der europäischen Union und findet jedes Jahr am 9. Februar statt. Ziel ist es, für das Thema „Sicheres Internet“ zu sensibilisieren und Menschen aller Altersgruppen dazu zu bewegen, der Sicherheit im Internet mehr Aufmerksamkeit zu schenken. Eine tolle Sache, wie ich finde! Denn genau darum dreht sich auch meine Arbeit als Chief Information Security Officer in der IT Security.

Mein Karriereweg zum Chief Information Security Officer

Mein Karriereweg schien erstmal in eine andere Richtung zu verlaufen. Da ich als Jugendlicher von chemischen Experimenten fasziniert war, begann ich ein entsprechendes Studium und schloss es als Diplom Chemiker ab. Bereits während meiner Uni-Zeit kam ich mit Großrechnern und ersten PCs in Berührung und lernte die Möglichkeiten der IT kennen. Ein faszinierender Bereich. Den endgültigen Ausschlag, in die IT zu gehen, gab das größere Stellenangebot für Informatiker im Vergleich zu Chemikern.

So bewarb ich mich auf ein Stellenangebot in der Zeitung (das können sich viele heute gar nicht mehr vorstellen 😉) und landete 1990 bei TÜV Rheinland in meiner Heimatstadt Köln. Nach meiner Position als Projektleiter wurde ich bald Teamleiter. Zunächst im Data Center (Großrechner), dann in der PC-Abteilung, danach im Bereich IT Innovationen mit der Einführung neuer, serverbasierter Technologien und schließlich in der IT Security.

Das breite Aufgabenspektrum in der IT Security

Mein Tag als Chief Information Security Officer (CISO) besteht aus vielen Mails und Besprechungen. In meiner IT Governance Funktion fragen andere Abteilungen häufig nach Genehmigungen, z.B. für die Nutzung von Cloud-Anwendungen. Auch in neue IT-Projekte muss der CISO oder ein Vertreter so früh wie möglich eingebunden werden. Denn unser Aufgabenspektrum in der IT-Sicherheit ist groß.

Technisch gesehen sind es vor allem Präventivmaßnahmen, die die Cybersicherheit gewährleisten. So installieren wir Systeme, die Angriffe mit Malware oder von Hackern frühzeitig erkennen können. Wir betreiben ein SIEM-System (Security Information und Event Management) und werten die Korrelation von Protokolldaten der Firewalls, des Active Directory, Big Data und Endpunkten aus.

Darüber hinaus habe ich die Leitung des Security Incident Response Teams inne. Mit diesem Aspekt verbinden wohl die meisten IT Security. Unser Team tritt auf den Plan, wenn es einen Sicherheitsvorfall gab. Aber auch organisatorische Aufgaben gehören zu unserem Bereich. Wir erstellen IT-Sicherheitsrichtlinien, beschreiben die Prozesse für unsere ISO27001-Zertifizierung und führen Risikoanalysen durch.

 

INFOS

 

Malware

Software (wie z. B. Viren), die in Computersysteme eindringt und dort Störungen oder Schäden verursachen kann.

SIEM

Security Information und Event Management: Echtzeitanalyse von Sicherheitsalarmen.

Active Directory

Verzeichnisdienst von Microsoft Windows. Mit Hilfe von Active Directory kann ein Administrator Informationen von Objekten (z.B. Benutzer & Gruppen) organisieren, bereitstellen und überwachen.

 

Security Incident Response

Incident Response ist ein organisierter Ansatz zur Bewältigung der Folgen einer Sicherheitsverletzung oder eines Cyberangriffs.

Phishing-Mails

Eine Mischung aus Passwort und fishing (also Passwort-Angeln). Gefälschte E-Mails, die zum Ziel haben, einen Nutzer oder eine Nutzerin zu einer gefährlichen Aktion zu verleiten um z.B. die persönlichen Zugangsdaten zu stehlen.

Das Gute am Homeoffice

Nur im Team sind die vielfältigen Herausforderungen zu bewältigen. Mein Team besteht aus acht Leuten, die sich alle gut verstehen und einander helfen. Corona-bedingt sitzen alle gerade im Homeoffice. Der Übergang hat auf Anhieb gut geklappt. Dienstgeräte wie PCs und Notebooks wurden mit nach Hause genommen und der zentrale VPN-Zugang wurde rechtzeitig bereitgestellt. Private Geräte zu nutzen, wäre ein viel zu großes Sicherheitsrisiko! Klasse, dass bei uns im Unternehmen direkt Homeoffice umgesetzt wurde und das Credo gilt: Wer seine Arbeit genauso gut von Zuhause aus erledigen kann, soll auch die Möglichkeit bekommen, dies zu tun.

Tatsächlich „treffen“ wir uns seit Corona sogar häufiger. Zusätzlich zu unseren zweiwöchigen Teammeetings, kommen wir jede Woche zweimal für eine halbe Stunde am Nachmittag zusammen. Bei unserer virtuellen Kaffeerunde besprechen wir eine bunte Mischung an Themen – die aktuelle Lage, Privates und Fachthemen. Auf meinen Führungsstil hat die Homeoffice-Situation keinen großen Einfluss. Ich habe schon immer einen kooperativen Ansatz verfolgt und meine Mitarbeitenden wissen, dass sie sich jederzeit an mich wenden können. Und ich weiß, dass ich mich auf mein Team verlassen kann.

IT Security Videokonferenz

Phishing-Mails – die große Bedrohung für Unternehmen

IT Security hat für uns alle eine große Bedeutung. Jedoch sind nicht jedem die Sicherheitsrisiken bewusst. So laden manche, ohne sich Gedanken um die Datensicherheit und den Datenschutz zu machen, geschäftliche Dokumente im Internet z.B. in einer Cloud hoch. Hier bei TÜV Rheinland haben die Mitarbeitenden ein überdurchschnittliches Bewusstsein für das Thema. Nichtsdestotrotz muss dieses Sicherheitsbewusstsein am Leben gehalten und Aufklärungsarbeit geleistet werden. Wenn nur ein Mitarbeitender einen Link in einer Phishing-Mail anklickt, kann das ausreichen, um ein ganzes Unternehmen lahmzulegen. Regelmäßige Awarenessmaßnahmen sind daher essentiell.

Wenn nur ein Mitarbeitender einen Link in einer Phishing-Mail anklickt, kann das ausreichen, um ein ganzes Unternehmen lahmzulegen.

Im letzten Jahr haben wir mit großem Erfolg sogenannte Phishing-Tests durchgeführt. Bis zu 5.000 Mitarbeitenden haben eine Pseudo-Phishing-Mail bekommen. Wir haben gemessen, wie viele darauf geklickt, den Link aktiviert und auf der gefälschten Login-Seite Daten angegeben haben. Im Anschluss folgte ein Schulungsprogramm mit E-Learning-Inhalten, wie sich Phishing erkennen und vermeiden lässt.

Denn über Phishing-Mails finden die meisten Angriffe auf Unternehmen statt. In der Anfangszeit waren diese noch recht leicht zu erkennen, da der Text mit Rechtschreibfehlern gespickt war. Mittlerweile sind die Mails oft professionell gemacht und lassen sich nicht immer direkt von Originalmails unterscheiden.

Tipp:

Immer vor dem Klicken auf einen Link in einer E-Mail mit der Maus darüber fahren, um ihn auf eine verdächtige URL zu prüfen.

IT Security: ein Job mit täglich spannenden Herausforderungen

Meine Arbeit als Chief Information Security Officer wird nie langweilig. Ich muss mich täglich schnell auf neue Situationen einstellen – z.B. bei Auftreten eines Security Incidents – und dafür sorgen, dass sich unliebsame Ereignisse nicht wiederholen. Wichtig ist auch, sich Prioritäten zu setzen und aufzupassen, dass nichts Wichtiges liegen bleibt, da „der Tisch nie leer wird“. IT-Themen und -Technologien entwickeln sich ständig weiter und so gehört eine regelmäßige Weiterbildung zum Job dazu. Viel fachliches Know-how, die ständige Bereitschaft dazuzulernen und ein hohes Durchhaltevermögen sind in unserer Arbeit gefragt. Genauso sind Teamfähigkeit, strukturiertes Arbeiten und Genauigkeit wichtige Fähigkeiten. Dank Gleitzeit bei uns in der Abteilung habe ich eine gute Work-Life-Balance.

Ich habe Freude an meiner Arbeit als Chief Information Security Officer in der IT Security und bin stolz, für mehr IT-Sicherheit im Unternehmen zu sorgen.

Autor des Beitrags

Norbert Tesch

Norbert Tesch

Chief Information Security Officer

Norbert Tesch ist Chief Information Security Officer in der IT Security in Siegburg. Der Familienmensch treibt in seiner Freizeit gerne Sport. Laufen ist sein größtes Hobby und für ihn ein guter Ausgleich zur Arbeit.

Mehr Beiträge

Richtig Feedback geben

Richtig Feedback geben im Job – mit der Star-Methode

Feedback geben mit der STAR-Methode: Selbst harte Kritik kann so möglichst konstruktiv vermittelt werden.
Gehalt

Vorbereitung aufs Vorstellungsgespräch

Die Gehaltsangabe in der Bewerbung richtig formulieren. Experten-Tipps von unserem Recruiter-Team.
bewertungsportale

Bewertungsportale – Der moderne Pranger

Unternehmens-Bewertungen: Nutzen für die Candidate Journey, Umgang mit negativen Kommentaren.

Kommentare

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Newsletter

Abonnieren Sie den Newsletter

Erhalten Sie die aktuellsten Blogartikel rund
um das Thema Karriere bei und von TÜV Rheinland per E-Mail. Wöchentlich. Kostenlos. Spannend.