Dylan Johnston Gründer und CEO der MOD1 AG, bespricht den Stand der Cybersicherheit, die globalen Herausforderungen für den Datenschutz und die Qualifikationslücke im Bereich Cybersicherheit.

Ich habe die Universität mit einem Bachelor of Science in Wirtschaftsinformatik abgeschlossen. Meine erste Stelle war die eines Analysten für Network Operations, der Fehler in Frame Relay-, ATM- und IP-Netzwerken für einen globalen Telekommunikationsanbieter beheben sollte.

Danach hatte ich verschiedene Positionen als Netzwerkingenieur im Finanzdienstleistungssektor inne, wo ich mich mit dem Planen, Implementieren und Betreiben von Session-Filtering-Firewalls (Cisco ASA, CheckPoint), Application Load Balancern (Nortel, F5) und Web Application Firewalls beschäftigte. Nachdem ich mich als Netzwerksicherheitsingenieur etabliert hatte, begann ich, andere Sicherheitsbereiche zu erkunden, indem ich las, Schulungen besuchte und Zertifizierungsprüfungen von Organisationen wie ISC2 und ISACA ablegte.

Heute konzentrieren wir uns bei unserer Arbeit auf die Einrichtung, Implementierung und kontinuierliche Verbesserung von Programmen für Information Governance, Risikomanagement, Datenschutz und Compliance für Unternehmen im Bereich der digitalen Biowissenschaften.

Vorschriftsmäßigkeit (Compliance) ist nicht unbedingt gleichbedeutend mit Sicherheit. Ich höre oft, dass die Begriffe synonym verwendet werden, aber es ist wichtig, den Unterschied zu verstehen. Hier ein Beispiel: Eine Organisation initiiert ein Projekt zur Zertifizierung nach ISO 27001. Das Projektteam plant, initiiert und führt eine Risikobewertung durch und implementiert dann Kontrollen, um die ermittelten Risiken auf ein akzeptables Niveau zu reduzieren. Anschließend legt es einem unabhängigen Prüfer den Nachweis seiner Arbeit vor, der sich das Projekt ansieht, Empfehlungen ausspricht und die Zertifizierung erteilt. Das ist Compliance.

Sicherheit ist alles, was zwischen den Überprüfungen für die Zertifizierungen passiert. Hier ein zweites Beispiel: ISO27001 verlangt von einer Organisation, dass sie einen Managementprozess für Informationssicherheitsvorfälle einführt und dokumentiert. Der dokumentierte Prozess selbst nützt wenig, wenn er nur auf einem geteilten Laufwerk herumliegt, bis er bei der nächsten Prüfung durch Dritte wieder hervorgeholt wird. Ein effektives Notfallmanagement erfordert kontinuierliche Anstrengungen, um das Notfallteam für seine Aufgaben und Verantwortlichkeiten zu sensibilisieren und regelmäßige Übungen durchzuführen, bei denen die Verantwortlichen lernen, schnell und effizient zu reagieren.

Es mag paradox klingen, aber man muss sich für seine Aufgabe als Sicherheits- und Datenschutzbeauftragter begeistern und gleichzeitig Taktgefühl, Geduld und diplomatisches Fingerspitzengefühl beweisen können. Das richtige Gleichgewicht zwischen diesen Eigenschaften zu finden, ist eine Herausforderung, die mir gelegentlich schwer fiel. Es ist eine Fähigkeit, die ich mir hart erarbeiten musste

Fachwissen ist wichtig, um komplexe Konzepte und Szenarien einem breiten Publikum zu vermitteln – von Führungskräften bis hin zu Datenwissenschaftlern, Softwareingenieuren oder Personalleitern. Kommunikationsfähigkeiten, natürlich. Offenheit und Ehrlichkeit haben sich bei mir immer bewährt.

Fundiertes technisches Wissen ist zwar von Vorteil, aber in den meisten Fällen reicht ein solides Verständnis der grundlegenden Konzepte aus. Mein Hintergrund in Netzwerksicherheitstechnik hat mir zum Beispiel bei der Durchführung von Risikobewertungen für Cloud-Infrastrukturen und Cloud-Anwendungen viele Vorteile gebracht. Mein Wissen über Kryptografie hat mir geholfen, Datenschutzexperten mit juristischem Hintergrund zu erklären, wie Verschlüsselungs- und Schlüsselmanagementkonzepte bei der Pseudonymisierung sensibler personenbezogener Daten angewendet werden. Weitere Faktoren, die bei der Bestimmung des Umfangs, in dem tiefgreifende technische Kenntnisse erforderlich sind, berücksichtigt werden müssen, sind die Grösse, der Reifegrad und das Niveau der Fachkenntnisse innerhalb der internen Organisation des Kunden / der Kundin, die Komplexität seiner/ihrer Systemarchitektur und die Eigenschaften der zu schützenden Datenbestände.

Wo soll ich anfangen? Wir haben es in mehrfacher Hinsicht nicht leicht. Vor allem die digitale Transformation und die Verbreitung datenbasierter Unternehmen stellen uns vor die Herausforderung, immer größere Mengen an sensiblen Daten schützen zu müssen. Die Geschwindigkeit der technologischen Entwicklung und die komplexe Architektur von Cloud-Anwendungen stellen ein erhöhtes Sicherheitsrisiko dar. Da fällt es Praktikern schwer, mit der sich ständig verändernden Bedrohungslandschaft Schritt zu halten.

Auch wenn es noch immer ein erhebliches Maß an Verwirrung, Widersprüchlichkeit und Fragmentierung bei der Anwendung der DSGVO gibt, war es doch eines ihrer Hauptziele, das Datenschutzrecht zwischen den EU-Mitgliedstaaten zu harmonisieren. Die oben genannten Probleme werden durch den Mangel an qualifizierten Fachkräften in den Bereichen Cybersicherheit, Datenschutzrisikomanagement und Compliance noch verschärft. Positiv zu vermerken ist, dass unsere Arbeitsplätze auf absehbare Zeit sicher sind.

Das ist eine interessante Frage und auch hier hängt es vom jeweiligen Fall ab. Dass es wichtig ist, dass die Unternehmensleitung mitzieht, mag ein wenig klischeehaft klingen, aber es gibt einen Grund dafür, dass das Thema in fast jedem jemals veröffentlichten Buch über Informationssicherheitsmanagement vorkommt. Bevor das Datenschutzbewusstsein den Rest der Organisation durchdringen kann, muss es auf Vorstands- und Führungsebene ein Bewusstsein für Datenschutzrisiken geben. Die Verankerung des Datenschutzbewusstseins in der Unternehmenskultur erfordert viel Zeit, Mühe und Ressourcen, die ohne einen Top-down-Ansatz nur schwer zu beschaffen sind.

Whilst plugging gaps with professional services is the prudent short-term solution, I truly believe that the industry as a whole has a role to play in addressing the issue on a larger scale. We need to provide more internships, training and employment opportunities for graduates and be more open to taking on experienced candidates with transferable skills.

Auch wenn es noch immer ein erhebliches Maß an Verwirrung, Widersprüchlichkeit und Fragmentierung bei der Anwendung der DSGVO gibt, war es doch eines ihrer Hauptziele, das Datenschutzrecht zwischen den EU-Mitgliedstaaten zu harmonisieren. Die oben genannten Probleme werden durch den Mangel an qualifizierten Fachkräften in den Bereichen Cybersicherheit, Datenschutzrisikomanagement und Compliance noch verschärft. Positiv zu vermerken ist, dass unsere Arbeitsplätze auf absehbare Zeit sicher sind.

Auf jeden Fall. Ich habe die MOD1 AG gegründet, um das Problem durch die Bereitstellung von Beratungsdienstleistungen in den Bereichen Cybersicherheit, Datenschutz, Risiko und Compliance für Unternehmen im digitalen Gesundheitswesen und in den Biowissenschaften zu lindern.

Unser Ziel ist es, unseren Kunden dabei zu helfen, den Aufwand für die Sicherung sensibler Daten zu verringern, während wir uns mit komplexen Technologiepaketen und einer fragmentierten Regulierungslandschaft auseinandersetzen. Unsere Dienstleistungen schützen vor Datenschutzverletzungen, Umsatzeinbußen, Imageschäden, Betriebsausfällen und rechtlicher Haftung dank eines risikobasierten Ansatzes, der optimale Ergebnisse liefert, die Kapitalrendite maximiert und es unseren Kunden ermöglicht, sich auf ihr Kerngeschäft zu konzentrieren: Die Entwicklung wirksamer Geräte und Therapien.

Obwohl es kurzfristig sinnvoll ist, Defizite mit professionellen Dienstleistungen zu beheben, bin ich der festen Überzeugung, dass die Branche als Ganzes eine Rolle dabei spielen muss, das Problem auf breiterer Front anzugehen. Wir müssen mehr Praktika, Ausbildungs- und Beschäftigungsmöglichkeiten für Hochschulabsolventen anbieten und offener dafür sein, erfahrene Kandidaten mit übertragbaren Fähigkeiten einzustellen.

Since a CSP would certainly have the “technical ability” to access unencrypted personal data, it is difficult to make the case that hosting personal data with a US CSP (AWS, Microsoft Azure, Google) could ever constitute an “adequate level of protection” under GDPR.

Mein Ratschlag richtet sich an jeden Begeisterten unabhängig vom Alter: Zahlreiche sehr erfahrene Personen haben übertragbare Fähigkeiten und die Bereitschaft, eine zweite Karriere im Bereich Cybersicherheit zu beginnen, haben aber Schwierigkeiten, einen Einstieg zu finden. Sei beharrlich und beweise dein Engagement für kontinuierliches Lernen und persönliche Entwicklung. Meiner Erfahrung nach ist der erste Schritt in der Regel der schwierigste – tu also alles in deiner Macht Stehende, um einen Fuß in die Tür zu bekommen, und der Rest wird sich von selbst erledigen.

Das originale Interview vom Swiss Cyber Institut finden Sie hier.