Illustration einer Hand, die ein Handy mit einem IT Security Schloss darauf hält.

Das Haus mit Hintertür – IT Security – Baloise Jobcast #17

Fabienne Zeller

Fabienne Zeller, IT Security Operations Managerin, Baloise

Wie schützt man ein Unternehmen vor Hackern, Viren und Phishing-Attacken? In Folge 17 des Baloise Jobcast unterhalten wir uns mit Fabienne Zeller, IT Security Operations Managerin bei Baloise Group IT. Sie erzählt von ihren Aufgaben im IT-Sicherheitsbereich und gibt euch Tipps für sicheres Verhalten im Netz.

 

Shownotes

Kim’s Karrieretipp

[spp-timestamp time=”01:19″] Kim: Bleibe up to date! Haltet eure Dokumente für die Bewerbung immer auf aktuellem Stand. Sobald du eine Weiterbildung gemacht oder einen Jobwechsel hattest, trage es in deinen Lebenslauf ein. Denn du weisst nie, wann du eine Ausschreibung für deinen Traumjob siehst und dann schnell parat sein musst.

Fabienne’s Weg zur Baloise

[spp-timestamp time=”02:35″] Kim: Fabienne, was wolltest du werden als du klein warst?

[spp-timestamp time=”02:40″] Fabienne: Ursprünglich etwas mit Sport, allerdings habe ich mich gegen ein Sportstudium entschieden, da man ein zweites Fach wählen muss. Daraufhin habe ich eine Schnupperwoche in der IT der Basler gemacht, die ich mit einem Praktikum ergänzen konnte. Nach dem Praktikum wurde mir dann eine Lehrstelle bei der Baloise angeboten.

[spp-timestamp time=”03:13″] Kim: Dann stimmt es nur fast, dass du seit 2014 bei der Baloise bist?

[spp-timestamp time=”03:18″] Fabienne: Genau. Ich bin eigentlich schon 5 Jahre vorher da gewesen. Habe mir dann einen Einblick in andere Firmen gegönnt aber gemerkt, dass ich wieder zur Baloise zurück möchte. Für mich ist die Baloise eine gute Arbeitgeberin, ich habe hier ein grosses Netzwerk und viele Kollegen. Ich habe mich dann auf eine IT Ausschreibung beworben und es hat geklappt.

[spp-timestamp time=”03:51″] Timm: Was gefällt dir bei der Baloise?

[spp-timestamp time=”03:59″] Fabienne: Ich hab mir mein Netzwerk bei der Baloise aufgebaut und habe auch viele Leute kennengelernt, mit denen ich auch ausserhalb der Arbeit verkehre, wie z.B. Kim, mit denen man dann auch mal ausgeht. Die Arbeitsbedingungen sind super und die Mitarbeiter werden geschätzt. Man ist also keine Nummer oder eine von vielen.

[spp-timestamp time=”04:35″] Timm: Du hast eine Informatik Lehre gemacht und arbeitest jetzt in der IT Security. Hast du dazwischen Weiterbildungen oder andere Ausbildungen macht?

[spp-timestamp time=”04:44″] Fabienne: Ja, ich habe mich nach der Lehre im It Support auf das Thema Security spezialisiert. An der Fachhochschule habe ich dann einen Master in Information Security absolviert und aktuell mache ich immer wieder kürzere Diplome, immer auf ein bestimmtes Gebiet in der IT Security bezogen. Die IT Security ist breit gefächert und ich finde es wichtig, dass man immer am Ball bleibt und weiter an sich und seinem Wissen arbeitet.

Die vielfältige Welt der IT

[spp-timestamp time=”05:35″] Timm: Gibt es konkrete Themen auf die du dich spezialisiert hast innerhalb der IT Security?

[spp-timestamp time=”05:42″] Fabienne: Von meinen Ausbildungen her habe ich es eher allgemein gehalten und alles mal gemacht, auch Managementtechnik und Recht vor allem. Dann hab ich gestartet mit dem Thema Sicherheit bei den sogenannten Endpoints oder Clients also Laptops und mobile Geräte. Aktuell habe ich ein neues Projekt übernommen mit dem Namen “Security Operations”, was ein Helpdesk nur für Sicherheitsfragen werden wird.

[spp-timestamp time=”06:15″] Timm: Lustig, gestern habe ich eine gefälschte E-Mail von unserem CEO bekommen und habe sie dann an den Helpdesk weitergeleitet. Dort ist sie dann wahrscheinlich an dich weitergeleitet worden, oder?

[spp-timestamp time=”06:40″] Fabienne: Genau. Es wurde ein Ticket eröffnet und das habe ich dann auch übernommen und habe Auswertungen gemacht, wen dies alles betrifft. Durch die offensichtlich falsche E-Mail Absenderadresse konnte wir das Problem dann aber schnell beheben.

[spp-timestamp time=”07:03″] Kim: Du hast ja schon viele Positionen innerhalb der IT inne gehabt. Wie wichtig findest du es in der IT alles mal gemacht zu haben?

[spp-timestamp time=”07:21″] Fabienne: Das finde ich sehr wichtig. Man lernt überall etwas anderes aber man lernt auch vernetzt zu denken. Die Zusammenarbeit ist so viel einfacher. Man sollte auf jeden Fall die vielfältigen Weiterbildungsmöglichkeiten, die die IT heute bietet nutzen.

Fabienne’s Arbeitsalltag

[spp-timestamp time=”08:28″] Timm: Beschreib doch mal wie dein Arbeitsalltag aussieht.

[spp-timestamp time=”08:38″] Fabienne: Momentan arbeite ich mit Viren und z.B. solchen Fällen wie den CEO phishing Attacken. Hierbei ist es wichtig abzuwägen, was genau man dagegen machen kann. Wenn wir zu machen, sprich keinen E-Mail Verkehr mehr zulassen, funktioniert auch unser Geschäft nicht mehr. Wir sind eben eine Versicherung und kein IT Unternehmen. Der normale Betrieb muss weiterlaufen. Das ist für uns als Team manchmal eine Herausforderung. Mein Tag ist auf jeden Fall sehr dynamisch. Ich bearbeite das Ticketsystem, die Gruppenmailbox und was sonst noch anfällt, sowie die Projekte, die oft etwas länger dauern. Sehr abwechslungsreich.

[spp-timestamp time=”09:58″] Timm: Wie gross ist denn dein Team?

[spp-timestamp time=”10:00″] Fabienne: Wir sind im Moment fünf Personen. Wir haben aber in jedem Konzernbereich bzw. in jeden Land einen Security Verantwortlichen aber wir sind die zentrale Anlaufstelle für alle. Meistens haben die Vorfälle auch Auswirkungen auf die ganze Baloise.

Sicherheit und Datenschutz – Fluch oder Segen?

[spp-timestamp time=”10:50″] Kim: IT Security, Datenschutz und Co. sind ja in aller Munde. Auch gerade wegen den vielen Möglichkeiten im Internet. Ist das für dich eher ein Hype oder wird das immer ein Thema bleiben? Und welche konkreten Gefahren gibt es?

[spp-timestamp time=”11:18″] Fabienne: Ich denke das Thema wird immer grösser und wichtiger. Eine der grössten Gefahren sind eigentlich die Social Media Kanäle. Es ist sicher ein neuer Kanal über den man sich gut austauschen kann, man sich aber immer vorab überlegen, was man über sich veröffentlichen möchte. Als Unternehmen ist wichtig die Mitarbeitenden zu schulen und sie auf die Gefahren hinzuweisen.

[spp-timestamp time=”12:17″] Timm: Eigentlich ist es gemein. Sicherheit ist etwas worüber man sich beschwert, wenn man sie nicht hat aber nicht bedankt, wenn man sie hat. Ich könne mir vorstellen, dass das in deinem Beruf auch ein Thema ist.

[spp-timestamp time=”12:30″] Fabienne: Ja, sehr oft. Nicht jedes Mal wenn wir etwas für die Sicherheit unternehmen, hat das Auswirkungen für den Endanwender. Wir machen das auch nicht publik, da man sonst den Eindruck gewinnen könnte, dass man aufgrund unserer Intervention etwas nicht machen kann bzw. eingeschränkt ist. Die Balance zwischen Sicherheit und Business ist etwas, woran wir immer arbeiten, weil es uns wichtig ist kein Disabler zu sein sonder ein Enabler.

[spp-timestamp time=”13:27″] Timm: Wie gehst du damit um, dass ihr manchmal den Polizisten im Bereich IT Security spielen müsst?

[spp-timestamp time=”13:29″] Fabienne: Ich habe das in meiner Zeit der Ausbildung gelernt. Einerseits will man das Unternehmen schützen, das ist mein Beruf, andererseits liegt die Priorität manchmal nicht auf diesen Themen.

[spp-timestamp time=”14:05″] Kim: Worauf sollte man als Mitarbeitende/r besonders achten?

Fabienne’s Tipp und Kontakt

[spp-timestamp time=”14:26″] Fabienne: Es gibt verschiedene Themenpunkte. Man sollte z.B. bei E-Mail Attacken genauer hinschauen, vor allem auch auf den Absender und sich fragen, ob man eine E-Mail von diesem Absender erwartet. Oft hilft es auch schon viel, die Mitarbeitenden zu schulen und ihnen verständliche Information zu den Risiken zu geben. Dann ist sicher noch wichtig, sich zu fragen, welche Daten man veröffentlichen möchte. Wenn man z.B. in den Urlaub fährt, sollte man das vielleicht nicht überall direkt posten, da dies ein nützlicher Hinweis für Einbrecher sein kann. Beim Umgang mit Passwörtern ist vor allem wichtig, dass man nicht überall das gleiche Passwort benutzt und sich etwas kreativeres ausdenkt als 123456. Für Unternehmen ist es wichtig, dass man sich bestmöglich schützt gegen externe sowie interne Gefahren. Gerade in einem Kündigungsfall, indem man evtl. wütend ist, kann schnell etwas passieren, ohne nachzudenken, was eigentlich illegal ist. Aber gerade Kundendaten müssen absolut sicher beim Unternehmen sein. Mitarbeiter verzeihen dem Unternehmen evtl. noch etwas aber als Kunde ist das etwas anderes.

Man kann die Möglichkeiten für IT Security gut anhand eines Hauses erklären: Entweder man hat viele Wertsachen im Haus und muss die Türen, also auch alle Hintertüren abschliessen oder man lässt alle Türen und Fenster offen, hat aber keine Wertsachen im Haus.

[spp-timestamp time=”19:32″] Timm: Gibt es eine Zusammenfassung von guten Tipps, die du empfehlen kannst?

[spp-timestamp time=”19:37″] Fabienne: Ja, es gibt das BSI für Bürger (Bundesamt für Sicherheit in der Informatik) dort sind gute Tipps z.B. zu Passwörtern und Verhalten im Social Media Bereich. Hier kann man auch praktische Beispiele nachlesen, das hilft oft.

[spp-timestamp time=”20:39″] Kim: Wo kann man denn Kontakt zu dir aufnehmen, wenn man mehr über deinen Beruf wissen möchte?

[spp-timestamp time=”20:45″] Fabienne: Man findet mich auf Xing und dort kann man mich gerne kontaktieren.