Gemeinsam sind wir stark: Kollaborativer Ansatz für Cybersicherheit bei Axis

Cyberbedrohungen werden immer komplexer, und damit auch unser Ansatz für deren Bekämpfung. „Sicherheit ist ein integraler Bestandteil von allem, was wir tun, von der Technologieentwicklung bis hin zu unserem täglichen Betrieb“, sagt Jonas Falk, Axis Director of Cybersecurity. Die Axis Software Security Group (SSG), ein zentrales Team aus fünf Sicherheitsingenieuren, die in der F&E-Organisation arbeiten, leitet die Arbeiten im Bereich Cybersicherheit. Sie haben das Axis Security Development Model (ASDM) entwickelt, ein Framework, das den Prozess und die Tools definiert, die wir verwenden, um Software mit integrierter Sicherheit über den gesamten Lebenszyklus hinweg zu entwickeln, von der Einführung bis zur Außerbetriebnahme.

Aber können fünf Personen die Cybersicherheit eines großen Unternehmens wie Axis allein bewältigen? Definitiv nicht, deshalb hat das Team ein einzigartiges Netzwerk von „Satelliten“ implementiert – rund 75 Personen, die als „Fühler“ der SSG im gesamten Unternehmen fungieren. Anstatt die Sicherheitsarbeit von einer zentralen Position aus selbst zu erledigen, coacht und befähigt das SSG-Team die Satelliten-Softwareingenieure, die Führung zu übernehmen und zu verstehen, wie sie die Arbeit selbst erledigen und dann auch ihre Teams coachen. Indem Sie ein Satellit werden, erweitern Sie nicht nur Ihre Kompetenzen und Ihr Wissen, sondern spielen auch eine entscheidende Rolle bei der Entwicklung innovativer Cybersicherheitslösungen.

Um ein bisschen tiefer in die Funktionsweise dieses Systems einzutauchen, haben wir mit drei Mitgliedern des SSG-Teams gesprochen: Eva Haslum ist seit 2012 bei Axis, zunächst als Softwareentwicklerin und Satellit und dann in ihrer aktuellen Position als Softwaresicherheitsingenieurin im Team, wo sie seit 2023 tätig ist. Lisa Eneroth war ebenfalls dreieinhalb Jahre lang Softwareentwicklerin und Satellit, bevor sie 2022 zum SSG-Team kam. Und Tara Hassani, Softwaresicherheitsingenieurin, die 2022 – direkt nach ihrem Master in Informatik – zu Axis und der SSG kam.

Lisa erklärt, wie man ein Satellit werden kann: „Alles beginnt mit der Erkenntnis, dass die F&E-Abteilung einen Satelliten braucht. Dann schlägt der F&E-Leiter einen der Softwareingenieure vor, der seiner Meinung nach gut für die Rolle geeignet wäre.“ Eva fügt hinzu: „Aber wenn Sie sich für Sicherheit interessieren, können Sie sich auch selbst bewerben. Sie müssen kein Sicherheitsexperte sein, wir coachen Sie darin und unterstützen Sie; Sie müssen nur neugierig sein und Spaß an der Zusammenarbeit und dem Unterrichten anderer haben.“ Obwohl das Netzwerk grundsätzlich für alle Softwareingenieurinnen und Softwareingenieure offen ist, ist der zunehmende Anteil von Frauen unter den neuen Mitgliedern bemerkenswert und erfreulich. Eva spekuliert über die möglichen Gründe: „Fast das gesamte SSG-Team ist weiblich, was vielleicht andere Frauen dazu inspiriert, sich uns anzuschließen.“

Sobald Sie die Satellitenrolle übernehmen, teilen Sie Ihre Zeit in der Regel auf und verbringen etwa 80 % mit üblichen Aufgaben und 20 % mit Cybersicherheitsaufgaben. Die SSG führt erste Workshops und Coaching-Sitzungen mit dem Satelliten und seinem Team durch. Mit zunehmender Kompetenz tritt das SSG-Team zunehmend zurück und lässt den Satelliten die Arbeit leiten, während er weiterhin Unterstützung erhält. Das Satellitennetzwerk dient als Unterstützungssystem und als Mittel, um den Wissensaustausch und bewährte Verfahren zu erleichtern. Während die Satelliten dazu beitragen, unsere Produkte sicherer zu machen, betont Lisa einen wichtigen Punkt: „Satelliten sind nicht für die Sicherheit der Endprodukte verantwortlich – der Line Manager in der F&E-Organisation trägt immer die endgültige Verantwortung, wenn etwas passiert.“

Eva erzählt uns, was ihr an der Tätigkeit als Satellit und ihrer aktuellen Rolle gefallen hat: „Es ist eine fantastische Möglichkeit, das gesamte Unternehmen kennenzulernen und mit Menschen aus verschiedenen Abteilungen und Märkten zusammenzuarbeiten. Als Teil der SSG erhalten Sie ein wirklich tiefgreifendes Verständnis des Axis Portfolios – wahrscheinlich mehr als die meisten Mitarbeiter im Unternehmen.“ Lisa erklärt, dass sie sich während ihrer Zeit als Satellit immer auf die Sicherheitsaufgaben gefreut hat, so dass sie sich schließlich entschieden hat, eine Vollzeitstelle in dem Bereich anzunehmen: „Es ist eine sehr erfüllende Arbeit. Man kann in wenigen Momenten vom Lehrer zum Problemlöser werden, und man kann mitverfolgen, wie sich die Produkte weiterentwickeln.“

Die Vorteile eines dezentralisierten, kollaborativen Ansatzes für Cybersicherheit sind vielfältig. „Es führt zu viel hochwertigeren Ergebnissen bei der Sicherheitsarbeit, da sie von Menschen entwickelt und implementiert wird, die die Produkte und die damit verbundenen Risiken wirklich kennen“, sagt Lisa. Lisa, Tara und Eva sind sich auch einig, dass diese Arbeitsweise zur Axis Unternehmenskultur passt, in der wir uns dafür einsetzen, Probleme gemeinsam zu lösen und uns gegenseitig zu befähigen.