Navigieren durch die Cybersicherheit: Einblicke und Tipps von Niel Harper, dem CISO von Doodle

Da unser Leben immer stärker mit der digitalen Welt verwoben ist, war der Bedarf an robuster Cybersicherheit noch nie so groß wie heute. Ob es um den Schutz sensibler Unternehmensdaten oder um den Schutz unserer persönlichen Daten geht - noch nie stand mehr auf dem Spiel.

Wir sprachen mit Niel Harper dem Chief Information Security Officer und Datenschutzbeauftragten von Doodle, um ein besseres Verständnis dieser sich ständig weiterentwickelnden Landschaft zu erhalten. Er hat kürzlich den einen Senior Professional Award von ISC2 ausgezeichnet, einer führenden gemeinnützigen Organisation, die sich auf Schulungen und Zertifizierungen im Bereich der Cybersicherheit spezialisiert hat. Zu Beginn dieses Jahres wurde er in einer Anzeige der New York Times von Lacework als herausragende Führungskraft im Bereich Cybersicherheit.

In diesem Interview sprechen wir über seinen Hintergrund und seine Rolle bei Doodle, über Trends in der Cybersicherheit, über den Schutz von Kundendaten und darüber, wie sich kleine und mittlere Unternehmen (KMU) in dieser sich ständig weiterentwickelnden Landschaft schützen können.

Treffen Sie Niel Harper, CISO bei Doodle

Erzählen Sie uns etwas über sich selbst und was Sie dazu inspiriert hat, eine Karriere in der Cybersicherheit anzustreben.

Meine Inspiration, eine Karriere im Bereich der Cybersicherheit anzustreben, ergab sich aus meinem Interesse am Aufbau stabiler Netzwerke und IT-Systeme.

Meine Karriere begann vor etwa 20 Jahren, als ich meinen Hochschulabschluss in Informationssystemen mit Spezialisierung auf Telekommunikation erwarb. Dort wurde ich in die Branche eingeführt und erhielt eine praktische Ausbildung in der Bereitstellung von kommerziellen ISDN-Diensten (Integrated Services Digital Network).

Mein erster richtiger Job war bei Cable & Wireless, wo ich als Telekommunikationstechniker in das Tagesgeschäft eines Internetdienstanbieters auf Barbados eingebunden war. Zuletzt war ich als Network Operations Manager für AT&T Wireless tätig, wo ich ein Team leitete, das für den Betrieb und die Wartung eines GSM-Mobilfunknetzes zuständig war.

Im Jahr 2002 erwarb ich meine erste Zertifizierung im Bereich Cybersicherheit - Certified Information Systems Auditor (CISA) - und wechselte im darauf folgenden Jahr als Manager of Internal & ICT Audit für einen Telekommunikationsdienstleister auf den Niederländischen Antillen in den Bereich Cybersicherheit.

Im Jahr 2022 wechselte ich zu Doodle und leite seitdem die Teams für IT-Betrieb, Sicherheit und Compliance.

Niel Harper, CISO bei Doodle, vorgestellt in der New York Times. Quelle: Lacework.

Die dringendsten Bedrohungen für die Cybersicherheit

Was sind Ihrer Meinung nach die dringendsten Bedrohungen für die Cybersicherheit, denen Unternehmen heute ausgesetzt sind?

Ransomware - eine Art von Schadsoftware, die die Daten eines Opfers sperrt oder verschlüsselt und für die Wiederherstellung des Zugriffs eine Lösegeldzahlung verlangt - stellt nach wie vor eine große Bedrohung dar. Sie ist sogar noch weiter verbreitet, da die Bedrohungsakteure ihre Aufmerksamkeit auf Cyber-Erpressung richten.

Das derzeitige geopolitische Klima trägt ebenfalls dazu bei, dass Unternehmen zunehmend ins Visier erfahrener und gut organisierter staatlich geförderter Angreifer geraten.

Darüber hinaus sind viele Unternehmen nach wie vor nicht auf die Risiken vorbereitet, denen sie von Dritten ausgesetzt sind (z. B. Angriffe auf die Lieferkette).

Schließlich ist die Nutzung generativer KI durch Mitarbeiter und externe Bedrohungsakteure sowohl eine Chance als auch eine Bedrohung, aber viele Unternehmen verstehen die Auswirkungen noch nicht vollständig.

Gewährleistung der Datensicherheit unserer Kunden

Wie gewährleistet Doodle die Sicherheit der Daten seiner Kunden, insbesondere bei seinen Produkten?

Bei Doodle verlassen wir uns nicht auf Sicherheitstools als Ersatz für robuste Sicherheitskontrollen. Wir konzentrieren uns in erster Linie auf die Grundlagen der Cybersicherheit - Identitäts- und Zugriffsmanagement (IAM), Konfigurationsmanagement, Asset Management, Schwachstellenmanagement, Penetrationstests und Risikomanagement für Drittanbieter, um nur einige zu nennen. Darüber hinaus werden Tools zur Unterstützung von Orchestrierung, Automatisierung und Defense-in-Depth eingesetzt.

Es gibt einen risikofokussierten Ton von oben", wobei Cyber-Risiken ein ständiges Thema in Vorstands- und Geschäftsführersitzungen und ein Schlüsselelement im Rahmen des Enterprise Risk Management (ERM) sind. Doodle unterzieht sich außerdem jährlichen SOC 2 Typ II-, Cyber Verify- und GDPR-Audits.

Schaffung einer Kultur des Sicherheitsbewusstseins

Was ist der Schlüssel zur Schaffung einer Kultur des Sicherheitsbewusstseins unter den Mitarbeitern?

Der wichtigste Aspekt bei der Schaffung einer Kultur des Sicherheitsbewusstseins ist ein starker "Ton von oben". Das Sicherheitsbewusstsein sollte bei den Führungskräften beginnen, die die Unternehmenskultur beeinflussen und die Handlungen ihrer Teams leiten.

Bei Doodle zum Beispiel sind der Vorstand und die Geschäftsleitung sensibel für die potenziellen Auswirkungen von Cyber-Risiken in verschiedenen Unternehmensbereichen. Ihre Unterstützung in Form von Risikoverantwortung, effektiver Kommunikation, angemessener Finanzierung und Vorbildfunktion ist für die Einführung der richtigen Sicherheitspraktiken bei den Mitarbeitern unerlässlich.

Darüber hinaus bieten wir ein dynamisches Schulungsprogramm für das Sicherheitsbewusstsein an, das Online-Schulungen, regelmäßige Tipps und Tricks, Phishing-Simulationen, Tabletop-Übungen und rollenspezifische Schulungen umfasst.

Neue Trends in der Cybersicherheit

Welche neuen Trends oder Technologien im Bereich der Cybersicherheit bereiten Ihnen am meisten Freude oder Sorgen?

Ich freue mich besonders über die große Aufmerksamkeit, die dem Aufbau von Cyberkapazitäten gewidmet wird. Wir beobachten, dass erhebliche Ressourcen in den Aufbau von Kapazitäten innerhalb der Nationalstaaten fließen, um sich besser vor Online-Bedrohungen zu schützen.

Ich muss wichtige Akteure wie das Global Forum for Cyber Expertise (GFCE), die Weltbank, die Europäische Union, das Weltwirtschaftsforum, die Organisation Amerikanischer Staaten (OAS), das Cyber Peace Institute und andere für ihre Arbeit in diesem Bereich loben.

Zu den Bedrohungen, die mir am meisten Sorgen bereiten, gehören die Risiken von großen Sprachmodellen (LLM) und künstlicher Intelligenz, das Internet der Dinge (z. B. intelligente Geräte, vernetzte Autos, intelligente Städte usw.), quantensichere Kryptografie sowie staatlich geförderte Cyberkriegsführung und Cyberspionage.

Einblicke und Ratschläge für Unternehmen

Welche Ratschläge würden Sie Unternehmen, insbesondere KMUs, geben, um ihre Daten besser zu schützen und das Vertrauen ihrer Kunden zu erhalten?

Kleine und mittelständische Unternehmen brauchen jemanden auf der Führungs- und Betriebsebene, der das Cyberrisiko als strategisches Geschäftsrisiko versteht und anerkennt. Damit meine ich, dass die Verantwortung für die Cybersicherheit nicht an einen IT-Manager oder Systemadministrator delegiert werden sollte, da es sich um weit mehr als ein technisches Risiko handelt.

Eine qualifizierte und erfahrene Person sollte an der Entwicklung und Umsetzung der Cybersicherheitsstrategie des Unternehmens arbeiten. Wenn diese Fähigkeiten im Unternehmen nicht vorhanden sind, sollten sie die Einstellung eines virtuellen oder teilweisen Chief Information Security Officer (CISO) in Betracht ziehen, der das Cyber-Risikomanagement beaufsichtigt.

Wie bereits in einem früheren Kommentar erwähnt, dürfen Unternehmen ausgefallene Tools nicht als Allheilmittel oder Ersatz für eine effektive Cybersicherheit betrachten. Sie müssen ein Inventar ihrer kritischen Systeme und Daten ("Kronjuwelen") erstellen und starke Kontrollen einführen, die auf der Bedeutung dieser Systeme und Informationswerte für das Unternehmen basieren.

Vielen Dank, Niel, dass Sie Ihre Erkenntnisse und Ihr Fachwissen mit uns teilen!