Daniel Schmitz hat einen Titel, der spannend klingt: „Security Architect“ im Team Fresenius Digital Technology IT Security . Welche vielfältigen Aufgaben sich dahinter verbergen, verrät er im Interview.
Daniel Schmitz: Wir als IT Security setzen die gruppenweite Security-Strategie um, sichern also für alle Dienste und Plattformen in unserer Verantwortung die Verfügbarkeit, Vertraulichkeit und den Schutz bzw. die Integrität von Daten und Informationen. Wir schaffen eine Sicherheitsarchitektur, die das für den gesamten Konzern gewährleistet. In meiner Verantwortung innerhalb der IT Security liegt die Endpoint Security – das bedeutet, dass wir entsprechende Prozesse und Maßnahmen einsetzen, um jeden einzelnen Arbeitsplatzrechner vor Gefahren zu schützen.
Daniel Schmitz: Wenn wir uns innerhalb unserer Cyber Community auf Vorgaben zum Virenschutz einigen, ist es z. B. unsere Aufgabe, diese in die Praxis umzusetzen. Wir formulieren dann eine entsprechende praktische Policy und sorgen gleichzeitig dafür, dass auf jedem Rechner eine entsprechende Lösung installiert ist und aktuell gehalten wird. Wir stellen sicher, dass die gesamte IT-Infrastruktur überwacht wird und wir auf Vorfälle schnell reagieren können. Dazu kooperieren wir eng mit den jeweiligen Stakeholdern innerhalb der Gruppe, wie auch mit externen Dienstleistenden. Außerdem setzen wir Tools und Supportprozesse auf, damit wir alle Mitarbeitenden gut vor Sicherheitsangriffen schützen können.
Daniel Schmitz: Unsere ständige Herausforderung ist es, potenzielle Gefahren zu antizipieren und möglichen Angreifern einen Schritt voraus zu sein. Dazu müssen wir zum einen das Geschehen im Blick behalten und sicherstellen, dass wir Angriffe mit der vorhandenen Technik und etablierten Schutzmaßnahmen abwehren können. Zum anderen sehe ich mich ständig nach neuen Tools um, die uns eben diesen genannten Vorsprung sichern können. Und die Maßnahmen müssen wir laufend anpassen, damit sie zu einer möglicherweise veränderten Situation passen. Eine weitere Gefahr ist auch immer der Faktor Mensch, beispielsweise bei Phishing-Attacken, die immer ausgefeilter werden. Da gilt es, die Mitarbeitenden zu sensibilisieren und zu schulen, damit sie sich der Gefahren bewusst sind und nicht auf Phishing hereinfallen.
Unsere Arbeit ist immer ein Spagat zwischen Sicherheit und Nutzbarkeit. Denn ein hochsicheres System nützt nichts, wenn es für Nutzende zu kompliziert ist – etwa durch umständliche Log-in-Prozesse oder wenn eine Firewall zu viel abschirmt, sodass ich normale Web-Anwendungen nicht mehr uneingeschränkt benutzen kann. Umgekehrt kann es zwar bequemer sein, wenn ich als Nutzer nur sehr wenige Vorgaben einhalten muss - aber das kann dann wiederum dazu führen, dass es Einfallstore für Angriffe gibt. Hier die richtige Balance zu finden, das ist unser Anspruch.
Daniel Schmitz: Ich habe über 10 Jahre lang in der Beratung und IT Security gearbeitet – in ganz verschiedenen Rollen. Beispielsweise habe ich ein Rund-um-die-Uhr-Supportteam geleitet und war Produktmanager für Sicherheitsanwendungen. Ich habe Unternehmen in Sachen IT Security beraten und war als Speaker und Referent auf Konferenzen zum Thema unterwegs. Seit 2019 bin ich bei Fresenius. Mich reizte die Perspektive, einen übergreifenden Security-Ansatz in einem großen Unternehmen mitzuentwickeln.
Daniel Schmitz: Natürlich sollten sie einen entsprechend technischen Background und ein Faible für Security-Architektur haben. Kommunikationsfähigkeit ist auch ein wichtiger Skill, da wir mit vielen Abteilungen im Konzern, aber auch mit externen Dienstleistenden eng zusammenarbeiten. Stressresistenz ist auch von Vorteil, denn Cyberattacken halten sich nicht an Bürozeiten – da kann es schonmal hektisch werden. Dafür ist es aber auch nie langweilig bei uns! Ständige Lernbereitschaft ist eine Grundvoraussetzung, ohne die geht es nicht. Wir sind ja eine relativ neu geschaffene zentrale Funktion, die sehr viele Gestaltungsmöglichkeiten bietet. Das sollte man also mögen und nicht auf fertige Strukturen hoffen. Andererseits bringen wir viele Themen in die Breite des gesamten, globalen Konzerns – da gilt es dann, „groß“ zu denken und Spaß daran zu haben, Standards zu definieren und umzusetzen.