Executive Search

Sicherheit wird an den Daten verankert – Prof. Igor Podebrad im Interview

Prof. Dr. Igor Podebrad ist Bereichsvorstandsmitglied der Commerzbank AG, Honorarprofessor für IT-Forensik und Cyber-Kriminalität und Industry Representative in der Cyber Expert Group bei der G7.

Im Interview mit Cyforwards spricht Prof. Podebrad über aktuelle Cyber-Bedrohungen und wie diesen entgegen getreten werden kann.


Herr Podebrad, wo sehen Sie das Zusammenspiel von IT-Sicherheit und Cyberrisiken?

Spätestens der Aufbruch in den digitalen Raum hat ein Umdenken in den Unternehmen erforderlich gemacht. Während die technik-zentrierte Sicht des IT-Sicherheitsbegriffes auf der mittlerweile recht fraglichen Annahme beruht, dass eine Absicherung insbesondere der technischen Infrastruktur das Problem hinreichend löst, geht die aktuelle daten-zentrierte Sicht des Cyberrisikobegriffes erheblich darüber hinaus.

Sicherheit wird an den Daten verankert. Konkret bedeutet dies die Notwendigkeit sauberer Strukturierung und Attribuierung der Daten, eine Sicherstellung der Datenqualität und eine durchgängige Historisierung der Daten.

Eine technologie-agnostische Datenarchitektur stellt eine der wesentlichen Voraussetzungen für die erfolgreiche Nutzung von Cloud-Diensten und in der direkten Konsequenz den wirtschaftlichen Erfolg des Unternehmens dar.

Wie schätzen Sie die oftmals genannte Divergenz zwischen öffentlicher und privater Hand in Hinblick auf IT-Fähigkeiten und entsprechende Ausstattung ein?

Öffentliche Hand und Privatwirtschaft haben im Grundsatz unterschiedliche Aufgaben und sind deshalb auch unterschiedlich aufgestellt. Es ist meines Erachtens nicht zulässig, aus diesen existierenden Unterschieden pauschal eine abschließende Wertung der Fähigkeiten vorzunehmen.

Die Souveränität über die eigenen Daten ist für Unternehmen das grundlegende notwendige Erfordernis, unabhängig von dem Grad der Regulierung ihrer Branche.

Prof. Igor Podebrad

Ungeachtet dessen bleibt jedoch auch festzuhalten, dass es bei der Zusammenarbeit in einigen Bereichen noch Optimierungspotentiale gibt. Hierbei fällt auf, dass die Zeitspanne zwischen der politischen Willensbildung in den Ministerien und der entsprechenden Umsetzung in den nachgeordneten Behörden sehr sorgfältig und maximal ausgenutzt wird, obgleich Unternehmen und Bürger dringenden Unterstützungsbedarf haben.

Ein anderes Beispiel in diesem Zusammenhang sind Meldefristen für Cyber-Vorfälle, die durch Unternehmen zeitnah zu erbringen sind und erbracht werden. Umgekehrt werden konkrete Cyber-Lagebilder mit erheblicher Verzögerung und oftmals nur partiell zur Verfügung gestellt. Diese Friktionen müssen dringend behoben werden, denn Cyber- Sicherheit ist definitiv Teamarbeit!

Was sind aus Ihrer Sicht aktuell die drei größten Bedrohungen?

Derzeit rangieren folgende Angriffsvektoren auf den vorderen Rängen:

  • Angriffe auf die Verfügbarkeit von Unternehmensressourcen, sogenannte Distributed-Denial- of-Service Angriffe (DDoS)
  • Angriffe mittels Schadprogrammen, welche in Erpressungsszenarien münden, sogenannte Ransomware und
  • Angriffe auf Mitarbeiter des Unternehmens, sogenanntes Social Engineering.


Bedurfte es früher entsprechender detaillierter Kenntnisse, Angriffe im Digitalen Raum durchführen zu können, hat sich dieses Gebiet ebenfalls zu Gunsten einer breiteren Auftraggeberschaft weiterentwickelt.

Insbesondere für die ersten beiden Ausprägungen findet sich eine erhebliche Menge von Ready-to-Use-Lösungen, die hochgradig illegal, aber dennoch im Darknet verfügbar sind. Man spricht in diesem Zusammenhang von Cybercrime-as-a-Service. Dies erhöht die Zahl von Angreifern signifikant.

Ein besonderes Momentum erfahren diese Bedrohungen durch die veränderte Nutzung von Cyber-Ressourcen im Zusammenhang mit der Covid-Pandemie.

Datensouveränität und die Nutzung von Clouddiensten, die von einem Oligopol von Hyperscalern angeboten werden, wie geht das zusammen?

Die Souveränität über die eigenen Daten ist für Unternehmen das grundlegende notwendige Erfordernis, unabhängig von dem Grad der Regulierung ihrer Branche.

Einwandfreie Daten sind die modernen Produktionsfaktoren von erfolgreichen Unternehmen im Digitalen Raum. Sie bilden überhaupt erst die Grundlage für die Einführung und Anwendung von neuen Methoden wie z.B. Big Data, Machine Learning und Artificial Intelligence.

Allerdings bedürfen die Daten schon aufgrund ihrer Wertigkeit geeigneter und wirksamer Sicherheitsmaßnahmen. Stichworte in diesem Zusammenhang sind Security-by-Design, Shift-Security-Left, robuste kryptographische Lösungen und transparente Change Verfahren sowie entsprechende Betriebsmodelle.

Es ist durchaus möglich, ein individuelles Sicherheitsniveau auf Cloudplattformen zu etablieren und zu garantieren.

Prof. Igor Podebrad

Wenn man dies umfänglich berücksichtigt und nachhaltig implementiert, dann ist es durchaus möglich das individuell gewählte Sicherheitsniveau auf entsprechenden Cloudplattformen zu etablieren und zu garantieren.

Third Party Risiken in Verbindung mit Cyber Risiken als das heiße Thema der nächsten Jahre. Was bedeutet das konkret?

Third Party Risiken sind potenzielle Risiken, die sich für Institutionen ergeben, indem sie sich sich auf externe Einrichtungen verlassen, welche Dienstleistungen und Aktivitäten in ihrem Namen durchführen. Outsourcing als logische Folge einer arbeitsteiligen Gesellschaft eröffnet große funktionale und wirtschaftliche Chancen, birgt aber eben auch einige Herausforderungen.

Im Vordergrund stehen hier Risiken der Liefer- und Wertschöpfungskette sowie Reputationsrisiken. Die Nutzung des Digitalen Raums, die diesen Trend zwangsläufig beschleunigt, eröffnet mit den Cyberrisiken eine zusätzliche Dimension zu den vorhandenen Themenkomplexen.

Ein wesentliches Problem stellt die Transparenz über die zu erbringenden Leistungen inklusive der notwendigen Cyber Hygiene über die gesamte Lieferkette dar. Ein weiteres, direkt damit verbundenes Problem ist die Einflussnahme auf die Kette der Gewerknehmer, die im Falle eines negativen Ereignisses von grundlegender Bedeutung ist, um wirkungsvoll den Schaden vom eigenen Unternehmen abhalten zu können.

Ein Weg, dieses Dilemma tatsächlich lösen zu können, bietet der Ansatz der Operational Resilience. Hierbei geht es im Kern darum:

  • Kerngeschäftsprozesse end-to-end definiert und verstanden zu haben,
  • Transparenz über die Auswirkungen eines Vorfalls zu haben sowie die Fähigkeit, diesen aushalten zu können,
  • Mitarbeiter entsprechend zu schulen sowie Bedrohungsszenarien unter realen Bedingungen zu testen und
  • lessons learned sowie eine moderne Fehlerkultur im Unternehmen verankert zu haben.

Eine begrüßenswerte Initiative stellt in diesem Zusammenhang der „Digital Operational Resilience Act“ (DORA) dar. Obgleich er primär für Finanzdienstleister konzipiert wurde, ist er wegweisend und wird zweifelsohne ein branchenübergreifender Quasi-Standard werden.

Wesentliche Inhalte betreffen die Regeln für die Prüfung der digitalen Belastbarkeit, das Reporting und die Klassifizierung von Cyber-Vorfällen sowie Regeln für das entsprechende Risikomanagement und den relevanten Informationsaustausch.

Weiterhin wird die zentrale Beaufsichtigung von Drittanbietern geregelt, die kritische IT-Dienstleistungen erbringen. Diese erfolgt sogar direkt, sobald es sich um die Erbringung von kritischen IT-Dienstleistungen für Finanzunternehmen handelt.

Herr Prof. Podebrad, vielen Dank für das Interview.


Über den Interviewpartner:

Prof. Dr. Igor Podebrad ist Bereichsvorstand „Cyber Risk & Information Security“ sowie Group Chief Information Security Officer bei der Commerzbank AG und zeichnet global und konzernweit für alle spezifischen Themen der Cybersicherheit verantwortlich. Er ist Honorarprofessor für IT-Forensik und Cyber-Kriminalität an der Hochschule Brandenburg. Darüber hinaus ist er der deutsche Industriy Representative in der Cyber Expert Group bei der G7.


Weitere Experteninterviews:


Über Cyforwards:
Die Cyforwards GmbH bietet eine integrierte Beratung in den Themenschwerpunkten Executive Search und People & Organizational Development. Sie besetzt Führungs- und Fachpositionen überwiegend in der IT-Managementberatung. Der Fokus liegt auf den Branchen Public Sector & Government, Transportation & Mobility sowie Healthcare. Als Transformationsberater und -begleiter unterstützt Cyforwards Individuen und Organisationen, ihre Ziele zu erreichen und Potenziale zu entfalten. Benjamin Wittekind gründete das Unternehmen 2018 in München.  

Sie haben Interesse mehr über Jobs in diesem Sektor zu erfahren? Spechen Sie uns gerne an.

Bild: Igor Podebrad