IT-Security und Datensicherheit sind heute wichtiger denn je. Um Ihnen unser Verständnis von Datensicherheit und die Aufgaben unseres Chief Information Security Officers und näher zu bringen, haben wir ihn interviewt.
Florian Haid, Chief Information Security Officer bei Consor
Viele finden IT-Security ein lästiges und mühsames Thema. Was bedeutet für dich persönlich IT-Security? Was fasziniert dich an diesem Thema?
Ich finde es sogar ein sehr spannendes Thema, weil es sich konstant weiterentwickelt und in Bewegung ist. Allgemein hat IT-Security in der EU und auch in der Schweiz in letzter Zeit an Bedeutung zugelegt. Das sieht man u. a. daran, dass Sicherheits-Zertifizierungen auch für mittelständische Unternehmen einen höheren Stellenwert bekommen. Auch kleine Firmen realisieren, dass Sie sich um IT-Security kümmern müssen und stellen sich den Herausforderungen. Wir als Firma sind zwar nicht auf Security-Themen spezialisiert, aber sind trotzdem davon betroffen. Uns hilft es sehr, Strukturen aufzubauen, die uns hierbei bestmöglich unterstützen und mir macht diese herausfordernde Aufgabe grossen Spass.
Du bist seit 2023 Chief Information Security Officer in der Consor. Was kann man sich unter dieser Rolle vorstellen? Wie wird das in der Consor gelebt?
Prinzipiell bin ich für alle Security Themen verantwortlich und muss dafür Sorge tragen, dass es im täglichen Betrieb entsprechend gelebt wird. Security ist keine einmalige Aktion, sondern muss in der Firmenkultur verankert werden, was ein konstanter Prozess ist. Meine Funktion hat damit nicht nur in der Softwareentwicklung Einfluss, sondern greift in alle Firmenbereiche ein. Das ist ein hoch interessanter Punkt an meiner Aufgabe als CISO: Es ist sehr vielfältig – von Softwarekomponenten, über Management, bis HR hat man überallhin Kontakt und Einblicke.
Da wir schon vor unserer ISO-27001 Zertifizierung als Firma sehr gut aufgestellt waren, waren die Umstellungen für die Mitarbeitenden gering. Das Ziel war, die tägliche Arbeit in der Firma nicht zu erschweren und gleichzeitig die nötigen Regelungen und Normen durchzusetzen. Hier einen guten Weg zu finden, war eine Herausforderung.
Welchen Stellenwert hat der Datenschutz und die Informationssicherheit in der Consor?
Diese Themen haben bei uns einen sehr hohen Stellenwert, was man schon daran sieht, wie viel wir schon umgesetzt haben. Unsere Geschäftsleitung steht komplett hinter meiner Mission und ist selbst daran interessiert, Consor beim Thema IT-Security konstant zu verbessern und weiterzuentwickeln. Wir haben hier wortwörtlich keine Kosten und Mühen gescheut, um uns bestmöglich aufzustellen.
Consor ist seit 2023 ISO 27001 zertifiziert. Wie ist es dazu gekommen? Wie liefen dieses Projekt und die Zertifizierung ab? Wer sind eure Partner in dem Bereich?
Da wir Universal as a Service anbieten und damit Software-Betreiber werden, sind wir für die Daten unserer Kunden verantwortlich. Heutzutage gilt die ISO 27001 Norm als Goldstandard für die IT-Datensicherheit, auch bei KMUs. Auch wird das Thema von unseren Kunden immer mehr und öfter angefragt, da es auch bei ihnen an Bedeutung gewinnt. Wir waren bereits vor der Zertifizierung sehr gut aufgestellt, so dass einem offiziellen Zertifizierungsprozess nichts im Wege stand.
Das Projekt startete im März 2023. Wir haben schnell erkannt, dass wir die umfangreiche Zertifizierung nicht alleine stemmen können und haben uns daher einen professionellen Partner auf Augenhöhe für die Unterstützung gesucht. Secfix ist ein Startup, dass zum Ziel hat, den Zertifizierungsprozess so schlank und automatisiert wie möglich zu gestalten. Dies deckte sich sehr gut mit unserer Art zu arbeiten und unseren Werten, so dass wir uns für diesen Partner entschieden haben. Der Rahmen und Projektplan zur Zertifizierung wurde von Secfix sehr gut definiert und hat uns so viel Zeit und Arbeit erspart. So konnten wir innerhalb von sechs Monaten die Zertifizierung abschliessen. Die effektive Zertifizierungsstelle am Ende war Certivation. Auch mit ihnen war die Zusammenarbeit sehr konstruktiv und effizient.
Consor Universal wird auch im Software as a Service Modell angeboten. Ist das ein grosser Schritt für die Consor? Welchen Einfluss hat das auf die Sicherheit und die Prozesse?
Das war ein sehr grosser Schritt für Consor – nicht unbedingt technologisch, sondern aufgrund der Tatsache, dass wir Betreiber von Software werden und damit Verantwortung für die Daten und Systeme übernehmen. Unsere interne Infrastruktur ist bereits seit Jahren in der Cloud. Unsere Kunden haben Consor Universal aber traditionell „on premises“ oder selbst in einer Cloud betrieben – auch aufgrund ihres erhöhten Sicherheitsbedürfnisses, wenn es um Daten geht. Der gesamte betriebliche Aspekt und auch Zugriffe auf die Daten (Stichwort Berechtigungskonzepte) wurde aus der Sicherheitsperspektive überarbeitet und neu konzipiert.
Generell bedeutet die Umstellung auf Software as a Service einheitlichere Prozesse und höhere Sicherheit. Die Zertifizierung und die ISO Norm 27001 schärfen das Bewusstsein innerhalb der Firma für den Betrieb einer solchen Plattform. Wir sind uns jetzt noch bewusster als zuvor, in welchen Bereichen wir besonders aufpassen müssen.
Welche Vorteile haben eure Kunden davon?
Wir können gegenüber unseren Kunden nachweisen, dass wir das Thema IT-Security professionell, korrekt und ganzheitlich umsetzen. Gerade grosse Versicherungsgesellschaften haben einen hohen Sicherheitsbedarf und können so ihren Compliance-Pflichten einfacher und schneller nachkommen. Ausserdem haben die Kunden nun einen dedizierten Ansprechpartner bei Consor zum Thema Security.
Mit Security ist man nie „fertig“. Was sind die nächsten anstehenden und geplanten Schritte und Verbesserungen? Wohin geht die Reise in Zukunft?
Das ist völlig korrekt – man ist nie fertig. Unsere Roadmap hat noch viele Punkte, die wir angehen möchten. Aktuell sind wir an der Umsetzung eines Single-Sign-On Berechtigungskonzeptes für interne Applikationen. Die hier gesammelten Erfahrungen kommen dann wieder unseren Kunden zugute. Im Bereich Softwareentwicklung haben wir erst vor wenigen Wochen einen sog. Renovate Bot aktiviert, der automatisch Bibliotheken (Libraries) von Drittparteien aktualisiert und auch hier bereits sehr gute Erfahrungen gemacht. Unsere regelmässigen automatisierten Schwachstellenscans konnten wir deutlich verbessern und ausweiten.
Insgesamt kann man sagen, dass wir beim Thema IT-Security nicht mehr reaktiv, sondern proaktiv handeln können. Wir erkennen Probleme frühzeitig und können aktiv dagegen vorgehen. Die Zertifizierung ist keine einmalige Aktion, sondern ein konstanter Verbesserungsprozess, der in der Firma gelebt wird.
Das Interview führte Barbara Jonietz.
