Mit Robert Kallwies hat Wire einen erfahrenen Experten als Mitarbeiter gewonnen, das seit kurzem das IT-Sicherheitsmanagement der Organisation verantwortet. Er verfügt über langjährige Expertise im Risiko- und Krisenmanagement in komplexen IT-Umgebungen. Im Gespräch verrät er, was sichere Kommunikation für ihn bedeutet, welche Konflikte IT-Sicherheit in Organisationen auslösen kann und welche Schwerpunkte er in seiner Arbeit setzen will.
Robert, was bedeutet das Thema sichere Kommunikation für dich?
Sichere Kommunikation ergibt einfach Sinn. Durch die Vernetzung und Digitalisierung haben wir zwar viele Möglichkeiten gewonnen und können uns fast grenzenlos austauschen, gleichzeitig wird aber die Privatsphäre, die wir haben, immer kleiner. Hier kann jede und jeder Einzelne gegensteuern, durch die Verwendung sicherer Kommunikationsmittel.
Darüber hinaus gibt es aber natürlich spezielle Anwendungsfälle, wie etwa das Notfallmanagement. Damit habe ich mich in meiner Laufbahn schon ausführlich beschäftigt und meine Erfahrung zeigt mir, dass es insbesondere in kritischen Momenten wichtig ist, sich auf eine Kommunikationslösung verlassen zu können – und sicher zu sein, dass keine vertraulichen Informationen an unberechtigte Dritte abfließen.
Das sieht seit kurzem auch der Gesetzgeber so. Unternehmen, die von der Neufassung der Netzwerk- und Informationssicherheits-Richtlinie (NIS-2) erfasst sind, müssen sichere Kommunikation und insbesondere Krisenkommunikation verbindlich in ihr Sicherheitskonzept mit aufnehmen, sonst drohen Strafzahlungen
Wie bist du zur Security gekommen?
Ich beschäftige mich seit über 30 Jahren mit dem Thema IT. Angefangen hat es mit einer Faszination für IT und Computertechnik. Als ich meinen ersten Rechner selber zusammengebaut und installiert habe, fing es an, in den Fingern zu kribbeln. Über die Jahre habe ich mir dann viel Wissen angeeignet und schließlich Informatik studiert. Die ersten großen Themen, mit denen ich mich beschäftigt habe, waren Netzwerksicherheit, insbesondere im Sinne der Verfügbarkeit und dann das Thema Y2K. Y2K war der Jahreswechsel von 1999 zu 2000, wo viele Unternehmen dachten, ihre gesamte IT würde nicht mehr funktionieren - quasi ein “Weltuntergangsszenario”… Wer mehr darüber wissen will, kann im Internet eine Menge Informationen dazu finden. Ich denke, das war das erste große Notfallszenario, dass viele Unternehmen betroffen hätte.
Mein Zugang zur Security ist stark von organisatorischen und governance-orientierten Fragen getrieben. Also Fragen, welche Schutzmaßnahmen für ein Unternehmen angemessen sind, wie Business Risiken, die aus der Nutzung von IT entstehen zu managen sind, die Planung von Reaktion auf Notfälle oder Prozesse für sichere Softwareentwicklung. Deswegen kenne ich mich mit den Regelwerken wie ISO 27001, dem NIST Framework und ähnlichen Vorgaben auch sehr gut aus.
In den 20 Jahren, die ich nach meinem Studium im Security-Bereich gearbeitet habe, habe ich eine Menge gesehen. 15 Jahre war ich als externer Berater unterwegs, danach habe ich mehrere Jahre für die Deutsche Bahn gearbeitet. Dort habe ich auch das IT Notfallmanagement neu strukturiert. Ich bin außerdem einer der Mitautoren des BSI -Standards 100-4 Notfallmanagement.
Was für Schwerpunkte möchtest du im Sicherheitsmanagement bei Wire setzen?
Für mich ist es wichtig, eine ausgewogene Sicht auf das Thema zu etablieren. In meiner Erfahrung sind die technischen Abteilungen in einem Unternehmen häufig negativ gegenüber Compliance eingestellt. Und die business-orientierten Mitarbeiter in der Firma sagen oft, dass die IT keine Ahnung habe, womit eigentlich das Geld verdient werde. Mein Ansatz war es immer, ein gemeinsames Verständnis von IT-Security in der Organisation zu etablieren. Das werde ich auch bei Wire so handhaben.Trotzdem sind einige Sicherheitsthemen natürlich nicht verhandelbar, beispielsweise Verschlüsselung von Notebooks, Security-Patch-Management oder regelmäßige Penetrationtests der Wire-Messenger-Komponenten.
Zielführende IT-Sicherheit gelingt am besten, indem alle Beteiligten IT-Sicherheit als Prozess begreifen, der klare Rahmenbedingungen setzt und die Organisation gleichzeitig nicht überfordert. Außerdem sollten alle Mitarbeiter rechtzeitig in die relevanten Themen oder Veränderungen mit eingebunden werden. Unsere klare Priorität liegt natürlich bei der Absicherung unseres Messengers und vertraulicher Projektdaten. Das erwarten unsere Kunden zurecht von uns.
Welche Entwicklungen findest du im Bereich sichere Kommunikation gerade am spannendsten?
Ganz klar die Einführung von Messaging Layer Security (MLS). Wir arbeiten gerade mit Hochdruck daran, unseren Kunden die Nutzung von MLS in Wire zu ermöglichen. Das macht sichere Kommunikation noch einfacher, ermöglicht größere Gruppen und verbessert die Performance. Und in den kommenden Jahren könnte MLS entscheidende Beiträge dazu leisten, dass messenger-übergreifend verschlüsselte Kommunikation endlich Wirklichkeit wird.