Seit fünf Jahren verantwortet Markus Sontheimer die IT des Logistikkonzerns DB Schenker, für den mehr als 65.000 Mitarbeiter an 2.000 Standorten weltweit im Einsatz sind. Seitdem ist IT-Security essenzieller Teil der IT-Strategie, sagt Sontheimer: "Vor drei Jahren haben wir unser Security-Programm gestartet und unter anderem drei IT-Security Operation Center verteilt auf drei Kontinente aufgebaut, die rund um die Uhr arbeiten."
Wie funktioniert eine Pishing-Attacke?
"Eine meiner wichtigsten Aufgaben als CIO ist es, für Sicherheit zu sorgen", sagt Sontheimer, der sich selbst intensiv mit dem Thema beschäftigt, auch weil er dann seine Vorstandskollegen besser über die nötigen Investitionen informieren kann. Awareness für IT-Security müsse jedoch in der gesamten Belegschaft vorhanden sein, darum "haben wir tausende Mitarbeiter online trainiert, ihnen etwa aufgezeigt, wie Phishing-Attacken funktionieren."
Zero-Trust: Die Feinde lauern in der Burg
Da die Logistik nach den Banken die Branche ist, die am häufigsten ins Visier der Cyberkriminellen gerät, setzt Markus Sontheimer auf ein Zero-Trust-Security-Konzept. Das veranschaulicht er anhand der mittelalterlichen Burganlage: "Früher ging man davon aus, dass es ausreicht, das Unternehmen wie eine Burg vor Angriffen von außen zu schützen: Der Burggraben musste tief genug, also das Unternehmensnetzwerk sicher sein.
Im Unterschied dazu geht Zero Trust Security davon aus, dass es keine hundertprozentige Sicherheit mehr gibt und dass wir uns darum auch innerhalb unserer Burg vor Feinden in Acht nehmen müssen. Will heißen, wir müssen die Identitäten von Mitarbeitern, aber auch von Sensoren oder Robotern immer wieder überprüfen und neue Türen hochziehen, die sich nur nach Authentifizierung öffnen."
Informatiker brauchen den Hacker-Blick
Für Security-Experten hat das zur Folge: Statt sich wie früher vor allem mit Governance-Fragen und den richtigen Prozessen zu befassen, müssen sie heute wie Hacker denken. Es gilt, den typischen Ablauf eines Angriffs zu brechen, so Sontheimer weiter: "Wir sprechen hier von der Cyber Kill Chain. Informatiker, die als Security-Experten arbeiten, brauchen zudem einen umfassenden Blick.
Sie müssen mehrere Schichten der IT-Landschaft verstehen, um mitreden zu können." Security-Experten sollten ständig auf der Hut sein und stetig lernbereit, Branchenwissen spielt nach Sontheimers Erfahrungen dagegen eine untergeordnete Rolle, da das erforderliche Security-Know-how nicht von einer Branche abhängt.
- Die Gehälter der IT-Security-Experten
Besonders in Corona-Zeiten werden Security-Experten besonders gesucht. Die folgenden Gehaltszahlen sind Durchschnittsgehälter für Fachkräfte ohne Personalverantwortung. Quelle: Compensation Partner - Allen voran: Bayern
In München kann man mit dem höchsten Gehalt rechnen: Im Jahr 80.617 € in München (2019: 76.062 €). In Nürnberg sind es circa 70.201 € (2019: 64.562 €). - Frankfurt
Als IT-Security Experte verdient man in Frankfurt 81.788 € (2019: 75.690 €) pro Jahr. - Köln
IT-Experten in Köln können um die 71.229 € (2019: 64.946 €) im Jahr verdienen. - Hauptstadt Berlin
Der niedrigste Lohn liegt laut vorliegender Studie in Berlin: hier sind es 62.935 € (2019: 58.021 €) im Jahr für die IT-Experten, dieser Wert liegt unter dem Bundesdurchschnitt. - Die besten Branchen für Security-Experten
Im Bundesdurchschnitt verdienen IT-Security-Experten 66.595 € (2019: 63.000 €) im Jahr. Einige Branchen, allen voran Logistik und Transport, zahlen aber überdurchschnittlich. Quelle: Compensation Partner - Spitzenreiter-Branche
Im Bereich Logistik, Transport und Verkehr verdienen die Experten durchschnittlich 85.458 € (2019: 85.004 €) im Jahr, damit ist diese Branche Spitzenreiter. - Chemie und Verfahrenstechnik
In der Chemie und Verfahrenstechnik verdienen Security-Mitarbeiter 78.926 € (2019: 78.201 €) pro Jahr. - Telekommunikation
Im Bereich der Telekommunikation können Security-Experten mit einem Gehalt von circa 74.242 € (2019: 73.485 €) rechnen. - Software
IT-Security Profis in der Softwareindustrie verdienen um die 70.727 €. - Finanzen und Versicherungen
In der Versicherungsbranche können Security-Experten 71.568 € (2019: 69.343 €) verdienen. Im Finanzdienstleistungswesen sind es circa 72.220 € (2019: 68.108 €) pro Jahr.
DB Schenker lässt sich permanent von Hackern des Ulmer Startups Code White angreifen, die Schlupflöcher aufzeigen, um diese dann gleich schließen zu können. "Daneben setzen wir auch automatisierte Tools ein, die Anomalien im Netz überwachen und zum Beispiel erkennen, wo gerade Daten abgesaugt werden könnten", ergänzt Sontheimer.
Remote Work fordert IT-Security heraus
Spätestens seit Ausbruch der Covid-Pandemie und den Sicherheitsfolgen in Bereichen wie Remote Working und weltweite Zulieferketten ist klar, wie verwundbar digitalisierte Geschäftsabläufe sind. Mit der Einführung von Microsoft Office 365 machte DB Schenker darum den User-Endpoint, also die Stelle, an der mehr als 65.000 Mitarbeiter ins Unternehmensnetz gehen, sicher.
Während des Lockdowns im Frühjahr arbeiteten teilweise 40.000 Beschäftigte remote, so Sontheimer: "Statt auf VPNs setzen wir auf Zscaler Private Access. Dort muss sich der User im Home Office immer wieder authentifizieren. Auch das ist für uns eine wichtige Komponente von Zero Trust Security."
Auch nach der Pandemie wird Security-Profis die Arbeit nicht ausgehen, ist der CIO überzeugt: "Wenn ich jung wäre, würde ich ein Cyber-Security-Startup gründen."