Wie sieht dein Alltag als CISO beim Migros-Genossenschafts-Bund aus?
Mein Alltag ist sehr vielseitig. In der Regel besteht er aus verschiedenen, themenbezogenen Abstimmungen, Design-Entscheiden und oftmals auch der Koordination von Vorhaben.
Wo setzt die Migros ihre Schwerpunkte bei der Organisation der Cybersecurity?
Wir gehen risikoorientiert vor und überlegen uns sehr gut, welchen Nutzen eine Schwerpunktsetzung bringt. Damit ermöglichen wir eine zielgerichtete Organisation der Informationssicherheit.
«Aus einer dezentralen Struktur wie beim Migros-Genossenschafts-Bund ergeben sich Herausforderungen wie ein erhöhter Abstimmungsbedarf, die wir durch klare Prozess-Ownership adressieren.»– Lukas Ruf
Die Migros als Genossenschaftsbund ist von der Grundstruktur her sehr dezentral organisiert. Wie wirkt sich das auf die Organisation der Cybersecurity aus? Welches sind die speziellen Herausforderungen?
Die Organisation der Cybersecurity muss diesem Umstand Rechnung tragen. Unsere Prozesse tragen deshalb immer den föderalen Ansatz als Grundgedanken in sich und zielen auf die Skalierbarkeit der Aktivitäten ab. Wie bei jedem verteilten System ergeben sich aus einer dezentralen Struktur die üblichen Herausforderungen wie ein erhöhter Abstimmungsbedarf, die wir durch klare Prozess-Ownership adressieren.
Moderne Cloud-Architekturen sind einerseits sehr mächtig und flexibel, andererseits bestehen die Applikationen aus komplexen Netzwerken von verschiedenen Komponenten und Services, über deren Lifecycle man den Überblick behalten muss. Welche Strategien verfolgt die Migros dort?
Im Bereich der Informationssicherheit ist die Wahrung der Übersicht eine der Herausforderungen, die es durch den Einsatz von modernen Cloud-Architekturen zu meistern gilt. In Abhängigkeit des jeweiligen Cloud-Modells gestaltet sich diese Aufgabe zum Teil schwieriger als früher. Insbesondere bei SaaS-Applikationen, die von Dritten bereitgestellt werden, sind wir auf die Transparenz der Anbieter angewiesen.
«Bei der Sensibilisierung der Mitarbeitenden zu Cyber-Risiken ist es wirkungsvoller, kontinuierlich kleinere Schulungen zu machen als grosse Schulungsblöcke. Ebenso wichtig ist der regelmässige Austausch in unserer Security & Risk Community.»– Lukas Ruf
Informationssicherheit fängt bekanntlich bei den Mitarbeitenden an. Wie sensibilisiert die Migros ihre Mitarbeitenden für die Risiken, welche Massnahmen haben sich als besonders effektiv oder auch als wirkungslos erwiesen?
Unsere Mitarbeitenden sind für die Informationssicherheit das höchste Gut. Wir haben zur Sensibilisierung dafür das ‹Migros Security Culture›-Programm ins Leben gerufen, das die Mitarbeitenden in der Gemeinschaft zielgruppenspezifisch sensibilisiert. Neben der zielgruppenspezifischen Adressierung hat sich bei uns herausgestellt, dass regelmässig durchgeführte, kleinere Häppchen wirkungsvoller sind als selten absolvierte grosse Schulungsblöcke. Ebenso wichtig ist ein regelmässiger Austausch in unserer Security & Risk Community. Wir gestalten diesen hybrid: Zweimal pro Jahr treffen wir uns physisch, einmal virtuell zu einem Community Event. Zusätzlich haben wir zweimal pro Monat einen Security & Risk Talk, in welchem wir uns zu Weiterentwicklungen austauschen.
Neue Technologien erfordern neue Sicherheitsmassnahmen. Wie adressieren Sie neue Risiken z.B. durch den Einsatz von KI oder durch das Aufkommen von Quantencomputing?
Wir verfolgen die technologischen Entwicklungen genau und adressieren neue Risiken jeweils sehr strukturiert, indem wir uns überlegen, was diese Risiken für uns wirklich bedeuten und wie wir als Migros darauf reagieren können. In Abhängigkeit davon setzen wir ein Team auf die spezifischen Themen an, welches mir die Entscheidungsgrundlagen aufbereitet. So sind wir zum Beispiel beim Thema Quanten-Safety vorgegangen und haben uns eine Roadmap erarbeitet, wie wir uns auf den Q-Day vorbereiten. Die Roadmap hilft uns, dass wir frühzeitig und im Rahmen des Lifecyclings die notwendigen Massnahmen in den Produkten zum Schutz des Verschlüsselungswertes adressieren, damit wir diese nicht kurz vor diesem Q-Day in einer Mammut-Übung nachrüsten müssen.
«Um für den Q-Day gerüstet zu sein, haben wir eine Roadmap erarbeitet. So können wir frühzeitig und im Rahmen des Lifecyclings die notwendigen Massnahmen zum Schutz der Verschlüsselung treffen.»– Lukas Ruf
Massnahmen zur Informationssicherheit werden oft noch als ‹notwendiges Übel› oder sogar als ‹Innovationsbremse› wahrgenommen. Wie würden Sie selber den Stellenwert im Unternehmen einordnen und wie schaffen Sie es, den genannten Wahrnehmungen zu begegnen?
Meine Haltung ist dieser Aussage diametral entgegengesetzt: Ohne Sicherheit gibt es in einer digitalen Welt kein Business, da die Geschäftsprozesse wie auch die kundenseitigen Interaktionen ohne Sicherheit zu stark leiden würden. Den genannten Wahrnehmungen kann man nur begegnen, indem man oft auf den durch Cybersecurity geschaffenen Mehrwert hinweist und mit Risikobetrachtungen unterlegt.