Interview mit CISO Jens Philipkowski:

Cybersicherheit bei der Mitarbeiterbefragung ist ein ernst zu nehmendes Thema

Vorkehrungen für den richtigen Umgang mit Gesundheitsdaten im Ramen einer PGBU

Im Rahmen eines fesselnden Projekts für ein renommiertes, weltweit führendes Softwareunternehmen hat HealthVision als leidenschaftlicher Dienstleister ein Security Assessment (SCAC) durchgeführt. Das Security Assessment (SCAC) stellt eine wesentliche Voraussetzung für die Zusammenarbeit mit großen Unternehmen dar, um die Sicherheit der eigenen Software zu gewährleisten und nachzuweisen. Dabei spielt unser IT-Experte und CISO eine Schlüsselrolle, und in diesem exklusiven Interview gewährt er tiefere Einblicke in die faszinierende Welt der Cybersicherheit sowie den komplexen Vorgang eines Security Assessments.

Jens Philipkowski

DevOps Engineer und CISO

Was genau versteht man unter einem Security Assessment?

Innerhalb des Security Assessments durchlaufen verschiedene Bereiche der Software intensive Tests hinsichtlich ihrer Sicherheit, darunter der Authentifizierung, der Autorisierung, der Business-Logik, das Session-Management und mehr. Hierbei kommen verschiedene Nutzerkonten mit unterschiedlichen Berechtigungsstufen auf einer nicht-produktiven Stage unserer Plattform zum Einsatz. Doch nicht nur die Software wird geprüft – auch organisationale Bestandteile, wie das Entwicklungsmanagement und die Entwicklungsprozesse unterziehen sich einer genauen Prüfung im Rahmen des Security Assessments. Somit umfasst das SCSAC im Wesentlichen das umfassende Testen des Dienstleisters sowie aller Aspekte seiner Software auf potenzielle Sicherheitsschwachstellen.

Können Sie uns kurz etwas über Ihren beruflichen Hintergrund und Ihre Rolle im Unternehmen erzählen?

Meine berufliche Laufbahn begann als Wirtschaftsinformatiker in einem Softwareunternehmen. Anschließend absolvierte ich mein Studium der Kommunikationsinformatik an der Hochschule Worms und schloss es mit einem Bachelor of Science ab. Anschließend führte mich mein Weg zur Pan Dacom Networking GmbH in Dreieich (bei Frankfurt), dem ältesten Netzwerkdienstleister Deutschlands, wo ich dreieinhalb Jahre lang als Consultant tätig war. Danach sammele ich einige Erfahrungen als Backend-Entwickler bei der TTS GmbH in Heidelberg. Als DevOps Engineer und CISO habe ich meinen Platz bei der HealthVision GmbH gefunden. Im Laufe der Zeit haben sich meine Tätigkeitsfelder auf verschiedene IT-bezogene Bereiche ausgeweitet.

Immer mehr Unternehmen beschäftigten sich mit dem Thema Datensicherheit, v.a. bei externen Dienstleistern. Welche Gründe hat dieser Trend?

Ich bin überzeugt davon, dass die Überprüfung der Datensicherheit in Unternehmen zunimmt, da die gesetzlichen Anforderungen in diesem Bereich gestiegen sind. Dies könnte darauf zurückzuführen sein, dass in einer zunehmend vernetzten Welt auch die Anforderungen an Datenschutz und IT-Sicherheit angepasst werden müssen. Es ist verständlich, dass Kunden nach einem verlässlichen Partner suchen, bei dem die Sicherheit ihrer persönlichen Daten nachgewiesen werden kann.

Lassen Sie uns mit dem Anfang der Kundenanforderung beginnen. Was waren die Herausforderungen oder Ziele, die Sie zu Beginn des Vorhabens angetrieben haben?

Ziel war es, für die Zusammenarbeit mit dem weltbekannten Softwareunternehmen das SCSAC erfolgreich abzuschließen. Die Herausforderung bestand darin, in einer gewissen Zeit die identifizierten Schwachstellen zu lösen. Für dieses Vorhaben wurde ein Remediation-Plan erstellt, der die Lösung von Schwachstellen in einem zeitlich und inhaltlich begrenzten Rahmen wiedergab.

Welche spezifischen Strategien oder Maßnahmen haben Sie ergriffen, um Ihre Ziele zu erreichen?

Behebungsmaßnahmen der Findings, wie das Fixing von Bugs und Errors und zusätzliche Implementierungen von Sicherheitsmaßnahmen haben wir nach dem Remediation-Plan strategisch abgearbeitet.

Jeder Erfolgsweg beinhaltet Herausforderungen. Können Sie uns von einer spezifischen Herausforderung erzählen, Sie damit umgegangen sind und auf welche Meilensteine Sie besonders gerne zurückblicken?

Jeder Punkt auf dem Plan musste nach der Umsetzung einzeln bewiesen werden. Das bedeutet die einzelnen Findings mussten zunächst von mir „Retested“ werden, wozu das Nachbilden von Vorgängen des SCSAC nötig waren. Das war für mich neu. Besonders positiv ist mir in Erinnerung geblieben, dass selbst Herausforderungen, die anfangs als sehr kritisch und umfangreich erschienen, letztendlich einfacher als erwartet gelöst werden konnten. Ich hatte die Gelegenheit, mein vorhandenes Wissen anzuwenden und darüber hinaus neue Erkenntnisse zu gewinnen. Insbesondere das genannte „Retesting“ war für mich eine komplett neue Herausforderung, die ich zuvor noch nie in dieser Form durchgeführt hatte.

Wie hat die Zusammenarbeit im Team zu Ihrem Erfolg beigetragen? Gab es besondere Dynamiken oder Praktiken, die effektiv waren? Welche Rolle spielte Teamarbeit in Ihrer Erfolgsgeschichte?

Die Zusammenarbeit mit dem Entwicklerteam war in diesem Projekt von großer Bedeutung. Jeder von uns hat sein eigenes „Steckenpferd“ und individuelles Wissen, das für den Erfolg der Durchführung unabdingbar war. Die Zeitplanung, strategische Aufgabenverteilung und das regelmäßige Updaten von Arbeitsprozessen und Problemen waren fester Bestandteil unserer Arbeitspraktik. Teamarbeit war für dieses Projekt besonders wichtig, da der Umfang nur als Einheit, die sich gegenseitig ergänzt gefasst werden konnte.

Welche wichtigen Lektionen haben Sie durch das SA gelernt? Gab es bestimmte Erfahrungen, die Ihr Verständnis für Erfolg und Führung geprägt haben?

Durch das Security Assessment (SA) habe ich erneut erkannt, dass transparente und offene Kommunikation innerhalb des Teams, als auch mit dem Auftraggeber, den Schlüssel zur zügigen Problemlösung darstellt. Es hat sich gezeigt, dass das Gespräch mit anderen Menschen in Situationen, in denen man nicht weiterkommt, von entscheidender Bedeutung ist.

Wie hat Ihr Erfolg die Unternehmenskultur beeinflusst? Gab es positive Veränderungen oder Entwicklungen, die sich auf das gesamte Team ausgewirkt haben?

Die Tatsache, dass wir mit einem führenden Unternehmen der Softwareindustrie kooperieren, hat natürlich innerhalb unseres Unternehmens für Aufsehen gesorgt. In unseren wöchentlichen Meetings habe ich regelmäßig Updates zum aktuellen Stand präsentiert. Diese Zusammenarbeit hat nicht nur ein gemeinsames Gefühl des Erfolgs hervorgerufen, sondern auch gezeigt, dass unsere Software für diverse Tests und Unternehmensgrößen bestens gerüstet ist. Die positive Kooperation hat nicht nur unsere eigene Applikation verbessert, sondern zudem zweifellos das gesamte Team motiviert.

Welche Sicherheitsvorkehrungen trifft HV, wenn mobile private Geräte für berufliche Zwecke – in diesem Fall die Befragung-verwenden werden?

In vielen Fällen ist es eine Kundenanforderung gegenüber dem eigenen Mitarbeiter, nicht das private mobile Gerät für die Befragung zu nutzen. Es ist allerdings möglich, da HealthVision für die risikofreie Verwendung der Software ausreichend

Werden Gesundheitsdaten während der Übertragung oder Speicherung verschlüsselt? Welche Sicherheitstechnologien werden eingesetzt, um die Integrität und Vertraulichkeit der Gesundheitsdaten zu gewährleisten?

Die Gesundheitsdaten werden bei der Übertragung mit den neuesten Sicherheitstechnologien (bspw. Signature algorithm – SHA256 + RSA (Excellent), TLS 1.3, HTTPS Tunnel: RSA 2048 bits) verschlüsselt.

Mitarbeiterbefragung und Datenschutz: Das gibt es zu beachten

Was würden Sie Unternehmen hinsichtlich Datensicherheit bei Mitarbeiterbefragungen raten und worauf sollte man als Softwaredienstleister achten?

Vereinfacht zusammengefasst muss auf Sicherheit während der Speicherung und dem Transport der Daten geachtet werden. Es ist außerdem von großer Bedeutung sicherzustellen, dass keine Rückschlüsse auf die TeilnehmerInnen möglich sind – die Verbindung zwischen Gesundheits- und Personendaten muss also „gekappt“ werden. Neben der Einhaltung von aktuellen Security Standards ist es wichtig, dass die Applikationslogik einen Missbrauch von Daten grundsätzlich ausschließt.

Welche Fragen kann man Unternehmen, die Software verkaufen als Dienstleister stellen, um die Relevanz von Datensicherheit zu erfragen?

Das ist nicht so einfach in einem Satz zu beantworten. In einem Security Assessment wird genau diese Datensicherheit geprüft. Dieser beinhaltet viele spezifische Tests, die die gesamte Applikation durchleuchten. Eine Gewährleistung, dass die Datensicherheit höchste Priorität hat, wird im Datenschutzkonzept und den Technisch Organisatorischen Maßnahmen (TOM) gegeben.