Wie Systemdenken für mehr Sicherheit sorgt

5 Min.
Ein Mann mit Kopfhörern sitzt an einem Schreibtisch, schaut auf einen Laptop und tippt. Links von ihm befindet sich ein großer Monitor. Im Hintergrund sieht man einen weiteren Mann, der an diesem Schreibtisch sitzt.

Der Begriff „Systemdenken“ wirkt für viele ein wenig nichtssagend. Das ist schade. Es ist nämlich ein ziemlich kluger und prägnanter Ausdruck. Er beschreibt, was die Menschen seit Jahrtausenden zu tun versuchen: Der Welt einen Sinn geben, indem sie ihre einzelnen Teile und Beziehungen zueinander betrachten, und beobachten, wie die Dinge miteinander verbunden sind. Das wichtigste Ergebnis davon ist die Optimierung von Abläufen und Funktionen. Wir machen das oft, ohne uns dessen bewusst zu sein. Wenn wir es aber ganz bewusst und überlegt tun, ist es äußerst wirkungsvoll.

Schauen wir uns als Beispiel einmal die Welt von Dinesh Dilip Panjwani an. Er ist unser Vulnerability Lead beim Product Security Incident Response Team von Canon EMEA (PSIRT). Wie die Bezeichnung „Security“ (Sicherheit) schon sagt, spielt er eine Schlüsselrolle bei der Gewährleistung der Sicherheit unserer Produkte. „Alle Probleme werden uns gemeldet. Wir untersuchen sie und beurteilen dann, ob es sich um echte Sicherheitslücken handelt. Wenn das der Fall ist, beheben wir das Problem, geben Patches oder Firmware-Updates heraus, informieren unsere Kund:innen und erstellen eine CVE-Veröffentlichung (Common Vulnerabilities and Exposures – bekannte Schwachstellen und Gefährdungen)“, erklärt er. Auf den ersten Blick mag es so aussehen, als ob Dinesh Dilip Panjwani bei Canon in einem abgeschlossenen Umfeld arbeitet. Er scheint in einem sehr speziellen Nischenbereich des Unternehmens beschäftigt zu sein. Aber das könnte nicht weiter von der Wahrheit entfernt sein. Er und seine Kolleg:innen sind Teil eines viel größeren Systems. Sie befinden sich innerhalb einer Teamdynamik, die in anderen Unternehmen oft gar nicht vorkommt. Dabei gilt sie in der Welt der Informationssicherheit als überaus erstrebenswert.

Viele glauben sogar, dass die Welten der Produkt- und Unternehmenssicherheit gar nicht zusammenpassen. Die eine ist nach außen gerichtet (Arbeit mit und Unterstützung von Produkten, die von Kund:innen gekauft werden), die andere ist nach innen gerichtet (Gewährleistung der Sicherheit der Systeme, die ein Unternehmen für seine tägliche Arbeit verwendet). Aber unser Ansatz und das Team, in dem Dinesh Dilip Panjwani arbeitet, sehen diese beiden Welten als zwei Seiten derselben Medaille. Wir sind überzeugt, dass die Gesellschaft insgesamt sicherer wäre, wenn die Produktsicherheit immer mit der Unternehmenssicherheit Hand in Hand ginge. Hier kommt das Systemdenken ins Spiel. Warum? Eine Schwäche in einem der Bereiche macht ein Unternehmen – wie auch seine Partner:innen, Lieferant:innen und Kund:innen – überall angreifbar.

Ein Mann und eine Frau sitzen an einem Schreibtisch und schauen auf einen Computerbildschirm. Die Frau zeigt beim Gespräch mit dem Mann auf den Bildschirm.

„Unser CSIRT (Corporate Security Incident Response Team – Unternehmensweites Team für die Reaktion auf Sicherheitsvorfälle) kümmert sich um die Behebung von Sicherheitsproblemen im Zusammenhang mit den Systemen, mit denen wir unsere Kund:innen bedienen“, erklärt Dinesh Dilip Panjwani. „Wie so viele andere Unternehmen ist Canon sowohl Anbieter als auch Kunde. Wir arbeiten für die allgemeine Sicherheit unseres Unternehmens und damit auch für die Sicherheit einer Vielzahl anderer Unternehmen. Darum sollten Unternehmens- und Produktsicherheit eine gemeinsame Sprache sprechen. Unsere Ziele sind ein und dieselben.“ Das bedeutet auch, dass sie Ressourcen gemeinsam nutzen, sich gegenseitig informieren und unterstützen und sogar die Feedbackschleifen schaffen können, die das Markenzeichen effektiver Teams sind.

Diese Erklärung wird der Rolle dieses integrierten Sicherheitsteams jedoch nicht ganz gerecht. Vor allem nicht, wenn man es aus der weiteren Perspektive des Systemdenkens betrachtet. Dinesh Dilip Panjwani und seine Kolleg:innen sind in vielerlei Hinsicht mit dem Unternehmen verbunden – was man vielleicht auf den ersten Blick nicht erkennt. In einem Unternehmen, das so nah an seinen Kund:innen ist wie wir, gibt es viele Bereiche, in denen Sicherheitsexpertise nicht nur erforderlich, sondern unerlässlich ist.

Das Team ist aktiv an Ausschreibungen und Verträgen beteiligt – von der Bereitstellung von Cybersicherheitsrahmen und -garantien bis hin zu professionellen Einschätzungen zum Datenschutz, gesetzlichen Bestimmungen und Compliance. Es spielt bei der Geschäftsentwicklung eine wichtige Rolle, ist häufig beim Kontakt mit Kund:innen dabei, ist in unseren Ausstellungsräumen präsent und trägt, kurz gesagt, auch zu den Verkaufszahlen bei. Dinesh Dilip Panjwanis Kollege bei CSIRT, Wouter van Gils, unterhält enge Beziehungen zu unseren Tochterunternehmen. Er unterstützt sie bei Audits und Anträgen wie z. B. bei ISO-Zertifizierungen. Auch hier wird Einheitlichkeit und Kontinuität bei Canon geschaffen.

Dinesh Dilip Panjwani Vulnerability Lead Product Security (PSIRT), EMEA Information Security Division

Unternehmens- und Produktsicherheit sollten eine gemeinsame Sprache sprechen.“

Aber es gibt auch einen starken Schwerpunkt bei der Bildung. In der Tat ist dies einer der wichtigsten Schlüsselbereiche der digitalen Sicherheit bei Canon. „Wir haben sogenannte ‚Education Leads‘, die für die Sensibilisierung für die Produkt- und Anwendungssicherheit zuständig sind“, erklärt Dinesh Dilip Panjwani. Diese Arbeit steht gleichberechtigt neben den Aufgaben des Sicherheitsteams. Damit schaffen wir erfolgreich eine starke Kultur der digitalen Sicherheit in der gesamten EMEA-Organisation, was unseren Ruf für hervorragende Leistungen und den Wert des vernetzten Denkens weiter stärkt.

Das passt so gar nicht zu dem Vorurteil, das Fachleute für Informationssicherheit introvertiert sind und immer nur am Computer sitzen. Dinesh Dilip Panjwani und seine Kolleg:innen sind so weit von diesem Klischee entfernt, wie es nur möglich ist. Sie nehmen regelmäßig an Branchenveranstaltungen teil. Außerdem gehört Dinesh Dilip Panjwani zu einem wertvollen Netzwerk von Sicherheitsforscher:innen und ethischen Hacker:innen – einer Gemeinschaft, die Wissen und Ressourcen großzügig austauscht und so zur digitalen Sicherheit in allen Bereichen beiträgt.

All dies zusammen beweist, wie wichtig es ist, einen Schritt zurückzutreten und das große Ganze zu betrachten. Zwei unabhängig voneinander arbeitende Teams wären viel einfacher zu organisieren. Aber wären sie dann auch so effektiv? Die Antwort unseres Senior Director of Information Security, Product Security and Global Response, Quentyn Taylor, lautet ganz einfach: „Nein. Bei separaten Teams würden wir ja jeweils nur eine Hälfte des Bildes sehen. Durch die Integration können die Teams auch die andere Seite der Medaille betrachten und erhalten damit einen viel besseren Einblick in das Schwachstellenmanagement.”

Wo wir heute stehen, ist also das Ergebnis jahrelanger Beobachtung – und dem damit einher gehenden Verständnis, wie etwas reibungslos funktioniert. Und damit lernen wir natürlich auch, wo es mal hakt. Es geht darum, ein Team zusammen zu stellen, das die Arbeitsweise der Organisation als Ganzes betrachtet und weiß, wie es den größten Mehrwert schaffen kann. Aus diesem Grund ist Systemdenken wirklich klug und keineswegs langweilig. Es kann vielmehr zu der Art von durchdachten Umgestaltungen und überraschenden neuen Arbeitsweisen führen, die nicht nur den Chief Information Security Officer ruhig schlafen lassen, sondern uns alle.

Erfahren Sie mehr über das Arbeiten bei Canon.

Weitere Geschichten