Die digitale Welt von Freudenberg vor Angriffen schützen – das ist kurz gesagt die Aufgabe von Julian Nikolai, Cyber Security Architect bei der Freudenberg Gruppe. Da dieses Unternehmen aufgrund seiner Größe über eine sehr umfangreiche IT verfügt, hat HI:TECH CAMPUS it genauer nachgefragt, was seine Tätigkeiten sind und wie sich die Umsetzung von neuen Tools gestaltet.
Herr Nikolai, wer ist Ihrer Meinung nach aktuell „der größte Feind“ der IT-Sicherheit eines Industrieunternehmens?
Wenn man sich Studien anschaut, dann werden sie meistens „Nation state sponsored“ oder „State affiliated“-Akteure genannt. Also staatlich unterstützte oder beauftragte Akteure, häufig mit dem Ziel der E-Spionage. Dies gilt für Industrieunternehmen sowie Handelsketten oder andere Unternehmen. Es handelt sich meistens um organisierte Gruppen von Angreifern und selten um Einzelgänger. Im Arbeitsalltag basieren Zwischenfälle häufig auf Unwissen, Fahrlässigkeit oder fehlender Verantwortung der Mitarbeiter eines Unternehmens. Es kann also alles Mögliche zum „größten Feind“ werden.
Sie sind als Cyber Security Architect bei der Freudenberg Gruppe tätig. Was sind Ihre Tätigkeiten in dieser Position?
In jedem Unternehmen, so auch bei uns, wird eine digitale Infrastruktur aufgebaut und betrieben, damit Geschäftsprozesse möglichst einfach, schnell und fehlerfrei funktionieren. In dieser verarbeitet und speichert das Unternehmen essenzielle Daten. Für die Infrastruktur und Daten hat man häufig drei Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit. Das Ziel der Vertraulichkeit ist, niemand Unbefugtem Einsicht zu gewähren, während sich bei der Integrität alles darum dreht, dass niemand Unbefugtes Änderungen vornehmen kann. Das Ziel der Verfügbarkeit wiederrum ist es, die Infrastruktur und Daten immer dann zur Verfügung zu stellen, wenn sie tatsächlich gebraucht werden. Als Cyber Security Architect ist es meine Aufgabe, unsere Umgebung so aufzubauen, zu ändern beziehungsweise zu erweitern, dass die drei oben genannten Schutzziele erreicht werden. Anders gesagt: Meine Aufgabe besteht darin, die digitale Welt der Freudenberg Gruppe so zu gestalten, dass wir bestmöglich gegen Cyberangriffe geschützt sind. Zum Glück gibt mir Freudenberg die Möglichkeit, so viel Verantwortung zu übernehmen.
Können Sie uns ein typisches Projekt skizzieren?
Wenn ich grob unterteilen müsste, gibt es zwei Funktionen, die ich in Projekten einnehme: die des Beraters oder Projekt-Managers. Ein Beispiel war die Freudenberg- weite Einführung eines komplett neuen HR-Systems. In diesem Projekt war ich als Berater eingebunden, um das eingesetzte System hinsichtlich seiner Sicherheit zu bewerten. Zudem habe ich eine Roadmap erstellt, die genau darlegt, wie das System in unsere Umgebung eingebunden werden muss, damit keine Einfallstore für Angreifer entstehen. Aktuell verantworte ich zudem ein Projekt, das die frühzeitige Erkennung von Angreifern durch präventive Maßnahmen ermöglicht. Das Projekt ist besonders spannend, weil es viele unterschiedliche Aspekte beinhaltet und weit über die reinen technischen Anforderungen hinausgeht.
Wie schafft man es, für ein so großes Unternehmen wie Freudenberg die IT-Sicherheit umfassend bei allen Beteiligten umzusetzen?
Ein wichtiger Baustein ist ein funktionierendes Informationssicherheit Management System (ISMS). Hier werden unter anderem Prozesse definiert, Verantwortlichkeiten geklärt und Personen innerhalb der Gruppe nominiert, die sich explizit mit dem Thema Informationssicherheit beschäftigen. Dabei hilft das sogenannte „Divide and Conquer“-Prinzip, das sowohl eine Aufgabenteilung als auch eine dedizierte Zuordnung ermöglicht. Aber alle organisatorischen oder technischen Maßnahmen helfen nur, wenn Mitarbeitern bewusst ist, dass jeder im Unternehmen Verantwortung für die Informationssicherheit trägt.
Spielen Trends wie die verhaltensbasierte Authentifizierung bei der Freudenberg Gruppe eine Rolle?
Ja, absolut. Der Slogan der Freudenberg Gruppe „Innovating Together“ gilt auch für Themen der Informationssicherheit. Wir sind sehr offen gegenüber neuen Ideen und innovativen Entwicklungen. Wenn wir etwas als relevant identifizieren, folgt meist zeitnah ein Proof-of-Concept. Verhaltensbasierte Authentifizierung ist ein spannendes Thema, das allerdings noch mehr Forschung und Entwicklung erfordert. Wir sehen aktuell, dass die Themen „Zero-Trust“ und „Password-Less“ immer wichtiger werden. Ersteres ist bei uns schon auf dem Weg und teilweise umgesetzt. Obwohl zweiteres in unserer komplexen Umgebung herausfordernd ist, beschäftigen wir uns auch damit.
Benötigen User Ihrer Meinung nach ein neues Cyber-Bewusstsein?
Wir sehen, dass Anwender in modernen (Web-)Applikationen immer mehr Möglichkeiten erhalten, wie zum Beispiel die Integration von weiterer Software oder die Weiterleitung von Daten an Dritte. Mit der Nutzung von Cloud-Diensten hat das enorm zugenommen. Mit jeder neuen Möglichkeit haben Anwender auch automatisch mehr Verantwortung. Das bedeutet, dass zum Beispiel mit einem Klick auf den falschen Knopf Daten schnell öffentlich im Internet verfügbar gemacht oder an den falschen Partner geschickt werden. Hier ist es wichtig, dass die Anwender neue Applikationen und Dienste Schritt für Schritt kennenlernen, wissen, was dahintersteckt und welche Risiken es birgt. Ein komplett „neues“ Cyber-Bewusstsein ist es vielleicht nicht, aber ein geschärftes.
Aus Ihrem Lebenslauf lässt sich quasi herauslesen, dass die IT-Sicherheit Ihr „Steckenpferd“ ist. Was macht diesen Bereich für Sie so interessant?
Die IT-Sicherheit oder Informationssicherheit ist deshalb so spannend, da sie sich stetig verändert. Angreifer schlafen nicht und entdecken immer wieder neue Möglichkeiten, Unternehmen zu attackieren. Das bedeutet, dass man ständig im Wandel ist und vermutlich nie aufhören wird, Neues zu lernen. Für mich ist die größte Herausforderung der Informationssicherheit, mit Änderungen umzugehen und diese nicht zu blockieren. Wir sind noch am Anfang der Digitalisierung oder stecken mittendrin, aber wir sind definitiv noch nicht fertig.
Welche Charaktereigenschaften sollten Absolvent:innen haben, die im Bereich Cyber Security arbeiten und dort beruflich glücklich werden wollen?
Die wichtigsten Eigenschaften sind in meinen Augen Aufgeschlossenheit, Neugier und Spaß an einer analytischen Vorgehensweise. Wenn man das mitbringt, wird man viel Freude an diesem Bereich haben. Auch wenn man vorher nichts mit Cyber Security zu tun hatte, empfehle ich jedem, mal in den Bereich reinzuschnuppern. Aus meiner Sicht gibt es aktuell kein spannenderes Thema im IT-Bereich.
Wie kann man Sie im Vorstellungsgespräch persönlich beeindrucken?
Mit cleveren Rückfragen. Es zeigt mir, dass ein Bewerber wirklich interessiert ist, sich im Vorfeld schon mit der Stelle beziehungsweise dem Unternehmen auseinandergesetzt hat und sich wohl fühlt.
Wie sind Sie persönlich auf Freudenberg als Arbeitgeber aufmerksam geworden?
Ich komme ursprünglich aus der klassischen Beratung und habe dann nach einer Stelle „auf der anderen Seite“ gesucht, in der ich Verantwortung für die Planung und Umsetzung von Cyber-Security-Projekten übernehmen kann. Da ich auch vorher schon in der Automobil Branche tätig war, hat Freudenberg gut zu mir und meinen Erfahrungen gepasst. Überzeugt hat mich Freudenberg als Arbeitgeber dann mit den tagtäglich hier gelebten Unternehmenswerten und den Herausforderungen, die die Stelle als Cyber-Security-Architekt mit sich bringt. Ausschlaggebend waren letztendlich die super sympathischen Menschen, mit denen ich meine Vorstellungsgespräche führen durfte.
Was macht Ihnen an Ihrer Arbeit am meisten Spaß?
Auf der einen Seite, dass ich wirklich etwas bewege und Freudenberg durch meine Arbeit voranbringe. Auf der anderen Seite schätze ich die Zusammenarbeit mit den Menschen: Es ist ein sehr gutes Miteinander und das absolute Gegenteil einer „Ellenbogen-Kultur“.
Julian Nikolai startete schon früh seine IT-Karriere. Gleichzeitig mit dem Abitur begann er eine Ausbildung zum Informationstechnischen Assistenten. Anschließend studierte er an der Technischen Universität Darmstadt Informationssystemtechnik. Bevor er 2018 bei Freudenberg einstieg, war er außerdem als IT Security Consultant beschäftigt.