Swiss IT Magazine: Herr Ulmer, wie sind Sie eigentlich CISO geworden? Und warum nicht IT-Leiter oder CIO?
Werner Ulmer: Ich persönlich bin in diese Aufgaben hineingewachsen. Mitte der 90er-Jahre bin ich als Netzwerk-Security-Ingenieur gestartet in einem Unternehmen, das sich ganz explizit nur auf Netzwerk- und Security-Lösungen und nicht auf Applikationen oder sonstige Systeme konzentriert hat. Da habe ich schnell gemerkt, dass die Informationssicherheit, also der Schutz der Daten, Zukunft hat. Begleitend habe ich eine Ausbildung zum Wirtschaftsinformatiker gemacht, schon damals mit dem Fokus, anschliessend Informationssicherheit an der HSLU zu studieren. Seit dem Einstieg sind nun schon über 25 Jahre vergangen. Wenn man einmal Teil der Security ist, dann kommt man da auch nicht mehr raus.
Man kommt nicht mehr raus? Aufgrund des technischen Interesses, des Idealismus rund um den Schutz von Menschen und Gesellschaft oder doch aufgrund des Adrenalins? Nun, die Frage ist einfach zu beantworten: Es ist alles. Es ist von allem ein bisschen und ich glaube, es ist eine Passion, den Schutz und die Sicherheit umzusetzen. Dabei ist es wichtig zu sagen, dass wir ja die Persönlichkeitsrechte der Patienten, der User und der Mitarbeitenden vertreten. Und das bewegt. Das sehe ich auch bei vielen befreundeten CISOs.
Besteht also ein Austausch der Schweizer CISOs, gibt es eine Community?In der Tat existiert eine gewinnbringende Gemeinschaft, welche durch einen hervorragenden Informationsaustausch charakterisiert wird. Dieser wurde jedoch nicht durch kantonale Steuerung oder das Gesundheitsdepartement initiiert, sondern wurde eigenständig von uns CISOs organisiert. Wir waren die Initiatoren dieser Bewegung, zu der im Laufe der Zeit immer mehr CISOs beigetreten sind. Mittlerweile besteht diese Gemeinschaft bereits seit Jahren und zeichnet sich durch eine erfolgreiche Kooperation aus. Unser Zusammentreffen erfolgt mehrmals jährlich, jedoch findet auch ausserhalb dieser Treffen ein reger und konstruktiver Austausch statt.
Ist diese Zusammenarbeit heutzutage notwendig, um beispielsweise Angriffsmuster zu besprechen und somit auch den Cyberkriminellen im Idealfall immer ein bisschen vorauszubleiben?Wir CISO-Kolleginnen und -Kollegen aus den Spitälern der Schweiz haben uns schon vor Jahren zusammengeschlossen, um einen guten und sehr wertvollen Austausch zu lancieren, und das mit Erfolg. In diesem Austausch der CISOs besprechen wir aber nicht speziell die Angriffsmuster oder erarbeiten Massnahmen dagegen, es ist eher ein strategischer Austausch. Es werden Themen wie ISMS, ISO27001 oder BCM besprochen. Zum Thema Cyberangriffe und Cybersicherheit tauschen wir uns aber regelmässig mit dem NCSC (Anm.d.Red.: Nationales Cyber Security Center) und dem NDS (Anm.d.Red.: Nachrichtendienst des Bundes) aus. Dabei geht es dann hauptsächlich um die aktuelle Bedrohungslage sowie um Angriffsvektoren und was man dagegen machen kann.
Sind Sie mit dem Austausch sowohl mit anderen CISOs als auch mit dem Bund zufrieden?Hätten wir dieses Interview vor ein paar Jahren geführt, hätte ich Ihnen gesagt, dass ich mir einen besseren und wertvolleren Austausch wünschen würde. Zum heutigen Zeitpunkt kann ich auf eine sehr wertvolle und konstruktive Zusammenarbeit und einen umso besseren Austausch zurückblicken.
Hat sich denn wiederum der Informationsbedarf mit Blick auf die immer komplexere Bedrohungslage grundsätzlich erhöht? In der gegenwärtigen Zeit ist es unabdingbar, kontinuierlich auf dem neuesten Stand zu bleiben, um ein hohes Sicherheitsniveau zu gewährleisten. Ein markantes Beispiel hierfür ist die zunehmende Konzentration auf Social Engineering. Diese Methode umfasst immer ausgefeiltere Angriffsmuster, welche darauf abzielen, Gefühle wie Vertrauen, Knappheit oder Dringlichkeit bei den Zielobjekten zu erzeugen. Es ist unverkennbar, dass wir unter dem stetigen Druck stehen, uns fortwährend zu adaptieren und eine konstante Wachsamkeit zu bewahren.
Hat sich also auch die strategische Gewichtung verschoben, weg vom Technischen, hin zum Schaffen von Awareness und zur Schulung der Belegschaft?Die Strategie und unsere Aufgaben haben sich im Wesentlichen nicht verändert. Es kommen einfach zunehmend neue Herausforderungen auf uns zu, welchen wir mit angemessenen Massnahmen begegnen müssen. Ein wichtiger Fakt ist, dass durch die Pandemie und die aktuellen Bedrohungen die Gewichtung viel mehr auf den Fokus Mensch gelegt wurde. Cyberkriminelle sehen mit Gesundheitsdaten wie Krankenakten, Sozialversicherungsnummern, Adressen und so weiter eine lukrative Sparte. Doch auch wenn sich der Trend der Phishing-Attacken etwas mehr auf die Datenbeschaffung fokussiert, sind bestehende Ransomware-Attacken für uns als Spital die grösste Bedrohung. Ein erfolgreicherer Cyberangriff würde die komplexe Situation im Spital enorm schwächen.
Zwar steigt die allgemeine Aufmerksamkeit für das Thema, nicht jeder Bereich hat aber tägliche Anknüpfungspunkte zu Cybersecurity und Informationssicherheit. Wie einfach oder schwer ist es, dennoch Sensibilität auf breiter Basis zu schaffen?
Man kann wirklich sagen, dass die Leute eine Sensibilität für solche Datenangriffe und für ihre persönlichen Daten entwickelt haben. Gerade in der Geschäftsführung haben wir eine sehr hohe Aufmerksamkeit für das Thema und ein offenes Ohr für Cybersicherheit. Gleichzeitig ist aber die Grösse des Spitals durchaus eine grosse Herausforderung. Wenn man als CISO ein Awareness-Programm für Tausende Mitarbeitende entwickeln muss, dann gibt es ganz verschiedene Interessengruppen. Ich glaube, die gut abgestimmten Investitionen an den richtigen Stellen, mit dem Fokus, die Sicherheit stets zu erhöhen und doch noch den betrieblichen Aspekt im Auge zu behalten, sind die grösste Herausforderung, der wir uns täglich stellen. Wir sind in den letzten Jahren einen enormen Schritt vorwärtsgekommen und haben die Investitionen in die Sicherheit signifikant erhöht. Jede einzelne Technologie ist in ihrem Sinne wichtig und kaum mehr wegzudenken.
Und wie ist es in der Praxis möglich, alle Bereiche abzuholen?In der Unternehmensführung, Geschäftsleitung und bei den CEOs haben wir eine sehr hohe Sensibilisierung zum Thema Cybersicherheit. Awareness ist aber auch im ganzen Spital ein sehr wichtiges Thema. Unsere Herausforderung in einem immer fordernderen Umfeld mit immer weniger personellen und auch finanziellen Ressourcen ist es, das nötige Verständnis für Cybersicherheit zu erhalten und die Mitarbeitenden nicht zu zwingen oder zu bedrohen. Wir setzten in der Sensibilisierung auf verschiedene Möglichkeiten wie Schulungen oder Web-Lerninhalte, doch unser ganzer Awareness-Fokus liegt auf einem kurzen und doch verständlichen Security-Snack, welchen wir monatlich an alle unsere Mitarbeitenden versenden. Kurz und knackig ist die Devise.
Gleichzeitig gibt es gezieltes Spear Phising, die Unterstützung von KI-Technologien, sprich: die Kriminellen gehen immer professioneller vor. Lässt sich so ein Phishing-Versuch selbst mit Training überhaupt noch erkennen?Ein hohes Sicherheitsniveau erreicht man nur dann, wenn man Informationssicherheit ganzheitlich anschaut. Deshalb haben wir uns schon vor drei Jahren nach ISO 27001 zertifizieren lassen und stellen damit auch sicher, dass wir kontinuierlich und risikobasiert das Sicherheitsniveau erhöhen. Künstliche Intelligenz ist mittlerweile ein alltäglicher Begleiter. Doch auch Cyberkriminelle haben längst erkannt, dass sie diese Technologien für Social Engineering nutzen können. In den letzten Jahren spielen die Angreifer immer gekonnter mit menschlichen Verhaltensmustern, indem sie ein Gefühl von Vertrauen, Autorität, Knappheit oder Dringlichkeit bei ihren Opfern hervorrufen. Solche Angriffe verleiten die Benutzer, die immer mehr unter Druck stehen und weniger aufmerksam sind, dazu, auf schädliche Inhalte zu klicken und/oder sensible Daten preiszugeben. So ist es umso wichtiger, dass die verschiedenen Zielgruppen, wie Finanzabteilungen, klinisches Personal oder Führungskräfte, ihre Rollen beim Schutz der Daten kennen. Und das geht nur über eine gute Sensibilisierung.
Würden Sie grundsätzlich sagen, dass sich die Bedrohungslage in den letzten Jahren verschärft hat?Auf jeden Fall, die Bedrohungslage hat sich in den letzten Jahren durchaus verändert und verschärft. Gerade aktuelle Themen wie ein nahegelegenerer Krieg und ein Friedensgespräch in der Schweiz rücken uns schnell ins Zielfeld von Cyberangriffen.
Lange Zeit waren bestimmte Einrichtungen und Bereiche aber selbst für die kriminellen Gruppen tabu. Beispielsweise Spitäler. Wurde diese Grenze mittlerweile überschritten?Über die Ethik eines Hackers zu sprechen bedeutet, über die Frage zu sprechen, wie dringend er Geld braucht. Ich glaube, der Fokus liegt nicht darin, ein Krankenhaus lahmzulegen und Menschenleben zu gefährden. Es geht nach wie vor um das Datenabgreifen und das Geldverdienen. Das nimmt uns ein kleines bisschen aus der Schusslinie, jedenfalls würde ich mir das so wünschen. Aber wenn eine Ransomware-Mail rausgeht, dann kann es am Ende jeden erwischen, egal, in welcher Sparte.
Wie bewerten Sie die Datenschutz- und Datensicherheitsanforderungen im Gesundheitssektor im Vergleich zu anderen Bereichen?Durch die Gesundheits- und Patientendaten arbeiten wir mit besonders schützenswerten Daten und hier sind die gesetzlichen Anforderungen enorm hoch. Wir unterliegen auch dem Ärztegeheimnis. Daher ist es nicht nur das Datenschutzgesetz, sondern auch das Strafgesetzbuch, das eine grosse Rolle spielt. Es ist uns eines der grössten Anliegen, dass wir die Daten der Patienten, welche sie uns anvertrauen, auch gesetzeskonform schützen. Die Herausforderungen werden für uns jedoch immer grösser, da viele Ideen und Innovationen heute nur noch über Apps und cloudbasiert einsetzbar sind.
Wäre bei Gesundheitsdaten aus Ihrer Sicht eine grundsätzliche gesellschaftsweite Sensibilisierung wünschenswert? Vor allem im digitalen Zeitalter. Sehen Sie: Jeder Zweite oder Dritte trägt heute eine Smartwatch, welche seine Bewegungs- und Gesundheitsdaten, um nur die wesentlichen zu nennen, fast in Echtzeit in die Cloud-Welt hinausschickt. Diese Daten könnten ganz gut irgendwann einmal gegen einen selber verwendet werden, in einem Szenario, in dem eine Krankenkasse die persönliche Risikoeinschätzung erhöht, weil sie irgendwo her die Herzfrequenzdaten bekommen hat. Ich glaube somit schon, dass teils mehr Sensibilisierung notwendig wäre.
Nutzen Sie eigentlich Social Media?Natürlich nutze ich soziale Medien. Viele Leute denken immer, dass ein CISO sicherlich nicht mal Internet hat. Aber im Gegenteil. Wir wollen ja immer wissen, was da passiert und welche Daten verarbeitet werden. Würden wir uns nicht in sozialen Medien bewegen oder wissen, was vor sich geht, dann glaube ich, wären wir nicht in der Lage, eine gute Einschätzung oder Beurteilung zu aktuellen Themen abzugeben.
Aber ich kann mir vorstellen, dass Sie keine privaten Urlaubsbilder teilen.
Nein, da bin ich tatsächlich etwas vorsichtiger. Beim Posten privater Bilder ist es entscheidend, sich der potenziellen Risiken bewusst zu sein. Einmal im Internet veröffentlicht, ist es nahezu unmöglich, die Verbreitung und Verfügbarkeit dieser Bilder zu kontrollieren. Daher empfehle ich, sorgfältig abzuwägen, welche Inhalte geteilt werden. Es ist wichtig, sich der Tatsache bewusst zu sein, dass digitale Inhalte dauerhafte Spuren hinterlassen können. Besondere Vorsicht ist beim Teilen von Bildern geboten, die andere Personen oder Gruppen zeigen. Diese können unabsichtlich sensible Informationen preisgeben, die von Dritten für unerwünschte Zwecke genutzt werden könnten.
Sehen Sie den strikten Datenschutz in der Schweiz und Europa – vor allem im Vergleich zu den USA – denn als Hürde oder eher als Enabler für die Digitalisierung?
Das Datenschutzgesetz ist trotz aller Innovation massgebend und das finde ich auch gut. Natürlich könnten wir hier so einige Dinge auf die politische Wunschliste setzen, wie eine einheitliche Datenschutzvorgabe, welche nicht dem Kantönligeist unterliegt, aber das ist es schliesslich ja auch, was die Schweiz ausmacht. Was ich mir aber schon wünschen würde, ist, dass die gesetzlichen Anforderungen der Zeit gerecht werden und den innovativen und fortschrittlichen Lösungen und Forschungen eines Spitals nicht im Wege stehen.
Nutzen Sie denn Cloud-Services der Hyperscaler im Kantonsspital?
Viele Lösungen können heute nur noch über Services bezogen oder eingesetzt werden, da kommen wir im Kantonsspital auch nicht umher. Denken wir nur schon an Microsoft. Bei zukünftigen Services aus der Cloud ist es von daher umso wichtiger, die Datenklassifizierung und -trennung klar zu definieren. Zu definieren, was kann in der Cloud bearbeitet werden und was muss On-Premises bleiben.
Was macht die Cloud zur Notwendigkeit? Leistungs- und Kostengründe?
Wenn heute eine Computertomographie- oder ein Herzschrittmacher-Service nur noch über die Cloud aktualisiert werden kann, dann haben wir nur die Möglichkeit, diesen Service über die Cloud zu beziehen, oder es sein zu lassen.
Datensegmentierung ist vor diesem Hintergrund also ein gangbarer Weg?
Das ist im Kantonsspital immer ein grosses Thema, Daten zu klassifizieren, sie zu segmentieren. Wir setzen beispielsweise eine Mikrozonensegmentierung um. Es ist eine grosse Herausforderung, auch in Zukunft, zu wissen, welche Daten wo liegen und wer Zugriff hat.
Was ist denn als CISO aktuell wiederum Ihre grösste Sorge? Ein Data Breach?
Die grösste Sorge ist, dass wir aus irgendwelchen Gründen den Dienst am Patienten nicht mehr sicherstellen können. Natürlich ist ein Datenabfluss auch eine grosse Sorge, weil der Datenschutz extrem wichtig ist. Nur glaube ich, die Auswirkungen eines Datenabflusses wären nicht so weitreichend wie die Auswirkungen, wenn wir nicht mehr operieren und nicht mehr behandeln könnten.
Gab es denn entsprechend kritische Situationen in den letzten Jahren?
Nein, zum guten Glück nicht. Das haben wir bisher nicht erlebt und hoffen, dass das auch so bleibt.
Können Sie als CISO überhaupt ruhig schlafen? Immerhin ist es ein 24/7-Job.
Das werde ich häufig gefragt. Ja, könnte oder würde ich das nicht, könnte ich meinen Job nicht machen. Nein, per se kann ich sehr gut schlafen. Wir haben ein sehr gutes Sicherheitsniveau erreicht und das erreicht man nur dann, wenn man Informationssicherheit ganzheitlich anschaut. Deshalb haben wir uns schon vor drei Jahre nach ISO 27001 zertifizieren lassen. Somit stellen wir damit auch sicher, dass wir kontinuierlich und risikobasiert das Sicherheitsniveau erhöhen.
Dennoch ist der Druck in den letzten Jahren sicher gestiegen. Nicht nur auf Sie, sondern auf Ihr gesamtes Team.
Der Druck steigt ständig. Gerade durch Cloud-Dienste und die voranschreitende Digitalisierung ist unser Team gefordert, zu bewerten, zu beobachten, Input zu geben, Vorgaben zu machen und uns stetig mit neuen Technologien auseinanderzusetzen. Leider steigen die Personalressourcen nicht im gleichen Ausmass.
Wie gross ist denn Ihr Team aktuell?
Wir sind zu zweit.
Das ist überschaubar für die Grösse des Spitals.
Ja, es ist wirklich überschaubar. Wir haben aber auch verschiedene Ressourcen aus technischen Teams, auf die wir zugreifen können, beispielsweise Security-Ansprechpartner.
Würden Sie sich dennoch mehr Ressourcen wünschen?
Heute ist es schwierig, auf grüner Heide Personal zu haben. Der finanzielle Druck im Spital beziehungsweise in Spitälern ist gestiegen, Personalressourcen zu bekommen ist schwierig und es wird auch morgen schwierig sein. Sicherlich würde sich aber fast jeder mehr Ressourcen wünschen. Auch ist es aber zunehmend schwieriger, die nötigen und guten Fachkräfte dann auch zu finden.
Apropos Know-how-Aufbau: Wie bleiben Sie persönlich am Ball? Bewegen Sie sich im Darknet, um zu prüfen, was die Gegenseite so treibt?
Man muss zuhören, miteinander sprechen, Informationen bekommen. Aber sich heute über alles allein zu informieren, das ist schwierig. Von daher ist der Austausch mit anderen Profis ein wertvoller Know-how-Austausch. Beim Darknet-Thema verlasse mich da gerne auf die Expertise und den Austausch mit Profis, die sich auch auskennen. So ist auch der Austausch mit dem NCSC, mit dem Bund und mit dem Nachrichtendienst ein sehr, sehr wertvoller Teil.
Wie kann man sich den Tag eines CISOs darüber hinaus vorstellen? Was sind Ihre wichtigsten Aufgaben?
Die Beurteilung, Einschätzung und Besprechung von Sicherheitsstrategien, von neuen Sicherheitstechnologien und Prozessen in den verschiedensten Teams ist eine zentrale Aufgabe. Hinzu kommen die Bearbeitung, die Überwachung und die Anpassung von Sicherheitsmassnahmen basierend auf neuen Entwicklungen oder Ereignissen. Wir müssen viele, viele Anfragen beantworten. Wir sind also sehr kommunikativ unterwegs. Der Austausch ist dabei das Wichtigste und wir müssen in den verschiedenen Bereichen präsent sein, quasi den Finger immer am Puls haben.
Noch eine strukturelle Frage: Wie wichtig ist es Ihrer Meinung nach, in Unternehmen einer gewissen Grösse die Rollen des IT-Leiters beziehungsweise des CIOs und die des CISOs zu trennen?
Das ist eine wirklich sehr gute Frage. Ich finde es wichtig, dass in diesen Positionen kein Interessenkonflikt besteht. Die Informationssicherheit umfasst ja nicht nur technologische Aspekte, sondern auch organisatorische, physische und menschliche Faktoren. Sicherheitsrichtlinien und Praktiken betreffen ja das ganze Unternehmen und alle Bereiche und gehen somit auch über den rein technischen Fokus der IT hinaus. Ein CIO strebt eher eine Investition in Technologien oder in Projekte an, welche die Innovation oder die betriebliche Effizienz im Unternehmen fördern, während ein CISO die Sicherheitsaspekte priorisiert. Gerade in einem grösseren Unternehmen kann es somit sinnvoller sein den CISO vom CIO zu trennen, da die Sicherheitsanforderungen und gesetzlichen Vorschriften die Bedeutung der Informationssicherheit innerhalb des Unternehmens so besser hervorgehoben werden können. Gleichzeitig hat man als CISO aber natürlich eine sehr enge Verbindung zur IT und braucht einen wichtigen Austausch.
Wie ist es bei Ihnen strukturiert?
Wir sind da auch noch mit alten Gegebenheiten unterwegs. Ich bin als CISO der IT unterstellt und in einem Teilbereich angesiedelt. Die ganzheitliche Informationssicherheit ist aber Thema der IT-Führung und wird auch dort im Gremium behandelt.
Und wie wäre es besser?
Es wäre gut, wenn der CISO und die Informationssicherheit in einem regulatorischen Bereich zusammen mit dem Datenschutz abgebildet würde. Dieser Bereich sollte dann aber vom der IT getrennt sein.
Haben Sie dennoch das Gefühl, dass Sie in aktueller Konstellation genügend Gehör im Spital finden?
In der IT auf jeden Fall. Grundsätzlich habe ich überall das Gehör und bekomme mit meinen Anliegen auch den nötigen Raum, kleine Konflikte gibt es aber natürlich immer mal. Doch leider sehe ich auch, dass die Informationssicherheit immer als Teil der IT angesehen und vielfach auch so behandelt wird.
Herr Ulmer, abschliessend noch eine Frage in Hinblick auf die steigenden Cyberrisiken: Schauen Sie als CISO eigentlich positiv gestimmt in die Zukunft oder mit Sorge – auch mit Blick auf die geopolitische Lage?
Würde ich mir keine Sorgen machen, wäre ich nicht an der richtigen Position. Einfach gesagt: meine Passion ist es, mir immer irgendwie Sorgen zu machen. Die geopolitische Lage, der Krieg in der Ukraine, so etwas besorgt mich in Anbetracht der ständig steigenden Cyberrisiken schon. Ich sehe aber gleichzeitig, was wir machen, welche Massnahmen wir umsetzen und wie wir uns neuen Herausforderungen stellen und die Investitionen zur Informationssicherheit stets erhöhen. Das lässt mich dann im Ganzen wieder gut schlafen.
Werner Ulmer
Werner Ulmer ist als Chief Information Security Officer (CISO) im Kantonsspital St. Gallen seit Ende 2018 nicht nur für den Datenschutz und die Informationssicherheit Tausender Mitarbeitender verantwortlich, sondern vor allem auch für die sensiblen Gesundheitsdaten der Patientinnen und Patienten. Diese zunehmend komplexer werdende Aufgabe bewältigt er als Teil eines zweiköpfigen Teams.
Zum Unternehmen
Das Kantonsspital St. Gallen beschäftigt aktuell rund 6000 Mitarbeitende. Als eines der grössten Spitäler der Schweiz übernimmt es neben Grundversorgungsaufgaben für die Bevölkerung der Stadt St. Gallen und die angrenzenden Regionen auch Zentrumsfunktionen für den ganzen Kanton sowie einige benachbarte Kantone.