Merck Group
Die Merck Gruppe beschäftigt weltweit rund 63.000 Mitarbeiter. Wie behalten Sie den Überblick in Sachen Cybersicherheit?
Buß: Zum Glück haben wir ein sehr engagiertes Crew, das in alle Richtungen den Überblick behält. Unser Safety Operations Heart bildet dabei das Herzstück. Die Kolleginnen und Kollegen sind 24/7 für alle Belange der Cybersicherheit die ersten Ansprechpartner. Darüber hinaus erstellen sie Lageberichte, werten die sich ständig ändernden Angriffsvektoren aus und betreiben ein aktives Vulnerability Administration. All das hilft uns im besten Fall „vor die Lage“ zu kommen.
Wie lassen sich die Risiken in so einem großen Unternehmen kontrollieren und wie sorgen Sie für Cyberresilienz?
Buß: Ein Restrisiko besteht immer, wir sind nicht in der Lage alle Risiken vollumfänglich zu kontrollieren. Deshalb haben wir einen Danger-Administration-Prozess installiert, der uns hilft, die Risiken rechtzeitig zu erkennen und einzuordnen. Dabei wird die Vulnerabilität unserer Systeme und die Bedrohungslandschaft fortlaufend überwacht.
Ein weiterer wichtiger Bestandteil ist aber auch der Bereich, der es uns ermöglicht, den Normalbetrieb nach einem Schadensereignis schnellstmöglich wieder aufzunehmen. Diesen sollte man, ebenso wie die Abwehrmechanismen, stets updated halten. Unterstützt wird das Ganze durch ein umfangreiches Trainings- und Consciousness-Programm, das alle Mitarbeitenden sensibilisiert und Werkzeuge an die Hand gibt, um Risiken zu erkennen und diese zu minimieren.
Wie unterscheidet sich das Consciousness-Programm der Merck Gruppe im Vergleich zu anderen Unternehmen?
Buß: Unsere Love-Safety-Kampagne ist von der Aufmachung her völlig gegensätzlich zu dem, was sonst so gemacht wird. Das Programm geht dabei über die üblichen Trainings wie Anti-Phishing-Kampagnen hinaus – was wir zwar auch anbieten, aber unsere Love-Safety-Initiative läuft nicht über die technische Ebene, sondern über die emotionale. Wir haben zum Beispiel alle Visualisierungen mit rosafarbenen Herzen versehen, um das Thema Safety positiv darzustellen. So gab es unter anderem Poster-Aktionen und Giveaways, die damit gestaltet wurden. Unser Ziel ist es, jeden einzelnen Mitarbeitenden abzuholen und zu überzeugen, dass er seinen Beitrag zur Sicherheit leisten kann.
Haben Sie schon einmal einen Cybervorfall erlebt? Wenn ja, wie sind Sie damit umgegangen und was haben Sie daraus gelernt?
Buß: Ja, leider musste ich die Erfahrung machen. Nicht in meiner Rolle bei Merck, aber an anderer Stelle. Ich denke, das Wichtigste, was ich daraus gelernt habe und wie ich mit der State of affairs umgegangen bin, battle Ruhe zu bewahren, den Expertinnen und Experten sowie Kollegen und Kolleginnen zu vertrauen und ihnen die Sicherheit zu geben, dass alles, was sie machen, meine Rückendeckung hat.
Lesetipp: 6 wichtige Punkte für Ihren Incident Response Plan
Was würden Sie anderen CISOs in so einem Fall raten?
Buß: Was aus meiner Sicht am wichtigsten ist: Nicht vorschnell agieren und von außen unter Druck setzen lassen. Stattdessen sollte man klare und schnelle Entscheidungen treffen, die auf einer objektiven Situationsbeurteilung beruhen. Spekulationen und „Könnte – würde – sollte-Fragen“ sind meiner Ansicht nach nicht hilfreich in so einer Krisensituation. Zudem ist es entscheidend, die richtigen Experten an seiner Seite zu haben.
Allerdings kann man sich nicht auf jede State of affairs vorbereiten oder alles vorhersehen. Damit sollte man sich abfinden.
Welche Safety-Projekte haben Sie für die Zukunft geplant?
Buß: Ein aktuell großes Projekt befasst sich mit den Fragestellungen und Konsequenzen, die sich aus NIS 2 für uns als Unternehmen ergeben. Zusätzlich beschäftigen wir uns mit der Frage, welche Chancen und auch Risiken wir in den Entwicklungen im Bereich AI sehen. Das heißt, wir setzen uns damit auseinander, wie wir künstliche Intelligenz im Safety-Bereich sinnvoll verwenden können – zum Beispiel, um Prozesse zu automatisieren und für die Detektion. Auf der anderen Seite versuchen wir auch zu verstehen, inwieweit KI künftig von Angreifern genutzt werden kann. Dabei bekommt das Thema Social Engineering auch noch einmal eine neue Dimension. Durch den Missbrauch von AI ist nicht mehr feststellbar, ob eine Individual tatsächlich mit Ihnen hier im Groups-Name sitzt, oder das Ganze ein Faux ist.
Lesetipp: Sie interessieren sich für die Meinung von CISOs? Dann lesen Sie auch:
Payback-CISO: „Vorbereitung ist das A und O“
Körber-CISO im Interview – Angreifer-KI vs. Schutz-KI: “Wir dürfen den Kampf nicht verlieren”
