Sandra Heger ist eine CISO – Chief Information Security Officer. Im neuen Netzwerk Informationssicherheit der Hochschulen Nordrhein-Westfalens hilft sie, landesweit Daten und IT der Wissenschaftsbetriebe zu schützen. Zuvor verantwortlich an der Hochschule Ruhr West hat sie erfahren, wie wichtig das ist: Anfang 2023 konnten sie und ihr Team einen schweren Hackerangriff abwehren.
Als ich einen Interviewtermin mit Sandra Heger vereinbaren möchte, bekomme ich sehr schnell einen Eindruck von dem speziellen Mindset einer CISO: Obwohl ich mit meiner Mailadresse von brandeins anfrage und wir einen Tag später auch per Mobilnummer telefonieren, ruft sie noch einmal im Verlag in Hamburg an. Ob ein Beitrag über sie geplant sei und meine Anfrage tatsächlich von der Redaktion stamme? „Vertrauen ist gut, Kontrolle ist besser“, sagt eine Redensart. Sie wird meist dem russischen Revolutionär Lenin zugeschrieben. Nach dem ersten Kontakt mit Sandra Heger bin ich mir ziemlich sicher, dass Lenin den Satz während der Oktoberrevolution von seinem Chief Information Security Officer aufgeschnappt hat. „Es mag überskeptisch oder sogar leicht paranoid wirken, dass ich noch einmal nachgefragt habe“, sagt Sandra Heger, 34, mit einem vergnügten Lächeln, als wir uns ein paar Wochen später auf dem Campus der Hochschule Ruhr West in Mülheim treffen. „Aber wenn jemand hier persönlich vorbeikommen und mich ausfragen möchte, könnte das theoretisch auch dazu dienen, eventuelle Schwachstellen auszuspähen.“ Mail-Absender lassen sich tatsächlich fälschen, und ein paar Informationen über einen legitim klingenden Rechercheauftrag wären von jemandem, der Böses will, auch schnell zusammengegoogelt. So gesehen also keine Paranoia, sondern eine sinnvolle zusätzliche Sicherheitsstufe. Die man vielleicht viel öfter einziehen sollte. „Viele Phishing- oder Scam-Versuche ließen sich mit einem einzigen Anruf verhindern“, sagt Heger. „Einfach bei der Bank anrufen, die angeblich kurz davor ist, das Girokonto zu sperren. Natürlich nicht unter der Nummer, die in der Mail steht, sondern unter der von der Webseite der Bank.“
Einen offenen Campus effektiv einhegen
Das Berufsbild des Chief Information Security Officers ist vergleichsweise neu. Erst in den vergangenen zwei bis drei Jahrzehnten hat sich der Job zu einer zentralen Führungsaufgabe entwickelt, die weit über rein technische Aspekte hinausgeht. Meist denkt man an die Entwicklung und Implementierung von IT-Sicherheitsvorkehrungen, wenn von CISOs die Rede ist. An Schulungen, Firewalls (siehe Glossar) und nervende Erinnerungen, sein Passwort bitte nicht auf einem Post-it an den Büro- Monitor zu kleben. Aber den CISOs obliegt auch der Schutz physischer Dokumente und die generelle Frage, wie Räumlichkeiten abzusichern sind, in denen sich Dokumente befinden – ganz egal ob auf Papier oder auf Festplatten. Sandra Heger muss sich als CISO für Hochschulen beispielsweise auch um Klausuren Gedanken machen, die auf Papier geschrieben und aufbewahrt werden. Oder um den Zugang zu Hörsälen, Labors oder Archiven. „Eine Hochschule mit Studierenden, die kommen und gehen, ist ein sehr offenes Umfeld“, sagt sie. „Zumindest verglichen mit Firmen, die häufig gleich am Eingang eine Rezeption haben, die niemanden ohne Hausausweis oder bestätigten Termin reinlässt.“ Gleichzeitig gibt es aber auch Bereiche, in denen das Kommen und Gehen sehr streng geregelt werden muss: Labors beispielsweise, in denen hochsensible Forschung stattfindet oder ein leistungsstarker Laser herumsteht. Die CISO einer Hochschule ist also nicht nur dafür zuständig, nach welchem Standard die digitalen Backups verschlüsselt werden – sondern auch ganz banal dafür, wer welchen Schlüssel für welche Türen bekommt. Wenn sie Kindern erklären will, was sie beruflich macht, fragt sie die stets, ob sie Geheimnisse hätten. „Und Kinder haben natürlich alle Geheimnisse“, weiß Heger. „Ich erkläre ihnen dann, dass es mein Beruf ist, diese Geheimnisse von Menschen zu schützen und zu bewahren. Auch wenn das nur ein Teilbereich meiner Arbeit ist.“
Schlüssel und Verschlüsselung
Da der digitale Anteil unserer Geheimnisse ständig größer wird, haben die meisten CISOs einen IT-Hintergrund. Auch Sandra Heger hat Informatik studiert – und war damals in vielen Vorlesungen und Seminaren die einzige Frau. „Frauen sind in der Informatik immer noch eine große Ausnahme“, sagt sie. „Bei mir war ein Informatiklehrer in der Schule entscheidend. Er nahm mein Interesse an dem Fach ernst und ermutigte mich, es zu studieren.“ Sie startete ihre Karriere an der Hochschule Ruhr West zunächst im Campus-Management, „aber immer schon an den Schnittstellen von IT zu anderen Themen“. Informationssicherheit war damals – wie in vielen Organisationen – noch eine von mehreren Unteraufgaben der regulären IT-Administration. Als 2022 feststand, dass die Menge der Arbeit eine dezidierte CISO-Stelle rechtfertigt, fiel die Wahl auf Heger. „Als CISO hat man vor allem strategische Aufgaben“, sagt sie. „Wie setzen wir welche Sicherheitsstandards um, wie priorisieren und steuern wir einzelne Themen?“ Um die klassische Phishing-Mail oder die Rechner im PC-Pool der Hochschule kümmert sich nach wie vor die IT-Abteilung. Ihr Beruf erfordere vor allem gute Kommunikationsfähigkeiten und Fingerspitzengefühl: „An einer Hochschule, aber auch in Unternehmen hat man es als CISO mit extrem unterschiedlichen Gruppen zu tun, die teilweise ganz unterschiedliches Hintergrundwissen mitbringen.“ Alle gilt es mitzunehmen. Man muss von der Notwendigkeit von Schulungen also ebenso überzeugen können wie von wichtigen, aber häufig als umständlich wahrgenommenen Vorkehrungen wie der Zwei-Faktor-Authentifizierung. „Natürlich sind grundlegende IT-Kenntnisse wichtig“, sagt Heger, und das Informatik-Studium schade sicher nicht – es sei aber nicht zwingend Voraussetzung für die Position. „Gerade wenn es darum geht, Sicherheitsstandards umzusetzen, wie sie etwa vom Bundesamt für Sicherheit in der Informationstechnik (BSI) oder anderen Stellen kommen, hat die Position auch schnell etwas von klassischem Projektmanagement.“ Denn eines ist klar: Die Angriffe werden häufiger und ausgebuffter. Und sie sind längst nicht mehr hoch spezialisierten Hackern vorbehalten. Im Darknet kann man sich sofort einsatzfähige Ransomware-Sets bestellen, mit denen sich fremde Daten verschlüsseln lassen, wenn sie nicht gut genug abgesichert sind. Entschlüsselung dann nur gegen entsprechendes Lösegeld, gern in Bitcoin, beehren Sie uns bald wieder! Mit generativer KI lassen sich Phishing-Mails in einem Bruchteil der Zeit verfassen, und das ohne die üblichen verräterischen Fehler. Eine der neuesten Angriffsarten: Mithilfe von KI-Werkzeugen lässt sich die Stimme des CEOs oder eines Kollegen schon mit relativ wenig Ausgangsmaterial klonen. Dann folgt ein Anruf bei der Buchhaltung, bitte diesen oder jenen Betrag schnell anzuweisen. Oder die IT wird instruiert, die Firewall oder die Zwei-Faktor-Identifizierung für ein bestimmtes Gerät kurzzeitig zu deaktivieren, es gebe da ein kleines technisches Problem. Vertraute Stimme, künstlicher Zeitdruck – wer denkt, er würde darauf unter gar keinen Umständen hereinfallen, sollte sich besser nicht zu sicher sein. 2023 lagen die direkt durch Cyberangriffe verursachten gesamtwirtschaftlichen Schäden laut Erhebung des Branchenverbandes Bitkom bei 148 Milliarden Euro. 58 Prozent der deutschen Unternehmen gaben 2023 an, in den vorangegangenen zwölf Monaten Ziel eines Angriffs gewesen zu sein. Und: Mittlerweile ist bereits jede Hochschule in Nordrhein-Westfalen Opfer einer Cyberattacke geworden. Zwar ist nicht jeder Angriff erfolgreich, aber Hoffnung allein reicht als Verteidigungsmaßnahme ebenso wenig aus wie der Glaube, man sei als kleine Organisation doch gar nicht interessant genug für kriminelle Hacker.
Weiterlesen auf brandeins.de …
Text: Christoph Koch
Foto: David Rangel auf Unsplash
