Anzeige

Security Dialog

Das größte Problem innerhalb der Informationssicherheit liegt nicht darin, die Angreifer zu identifizieren, Systeme zu patchen oder Phishing-Angriffe zu stoppen. Diese Phänomene sind zwar alle höchst real und sozusagen das tägliche Brot unseres Joballtags. Das eigentliche Hauptproblem für die IT-Sicherheit liegt aber in der mangelnden Abstimmung innerhalb des Unternehmens.

Dafür gibt es viele Ursachen, denen wir nachgehen werden. Der Schlüssel für eine bessere Abstimmung aber liegt in einem kontinuierlich geführten Risikodialog innerhalb des Unternehmens. Dabei geht es nicht um Berichte zur Anzahl der im letzten Monat gestoppten Viren oder darum, die richtigen KPIs nachzuhalten (was man durchaus tun sollte). Es geht vielmehr um einen Dialog, der wirklich zu Verhaltensänderungen auf beiden Seiten führt, angefangen bei der Sicherheit.

Die meisten Sicherheitsspezialisten haben sich aufgrund ihrer Expertise auf die Führungsebene hochgearbeitet. Und siehe da, kaum haben sie den C-Level erreicht oder sich der Führungsebene auch nur angenähert, stellen sie fest, dass sich hier niemand mit dem Thema Sicherheit zu beschäftigten scheint. Die erste Einführung in die neue Rolle ist ganz entscheidend, denn sie hinterlässt auf der Ebene des Top-Managements meist einen bleibenden Eindruck. Damit die betreffende Person sich wirklich beweisen kann, bekommt sie meist ordentlich Gegenwind und muss jetzt auf eine grundlegend andere Art und Weise demonstrieren, dass sie ihr Metier beherrscht. Auch unter CxOs. 

Für viele frischgebackene CISOs ist das nicht ganz einfach. Das liegt an der verbreiteten Berufskrankheit „Sicherheits-FoMO“ (Fear of Missing Out = Angst, etwas zu verpassen): CISOs lieben IT-Sicherheit, sie wollen auf dem neuesten Stand bleiben, innovativ sein und weiterhin ihre Kompetenz in Sicherheitsfragen unter Beweis stellen. Das ist ein Fehler.

Die eigentliche Aufgabe eines CISO besteht darin, sich in den Dienst des Unternehmens zu stellen und eine wichtige logistische und leitende Funktion für die Sicherheitsdisziplin innerhalb der gesamten Firma auszuüben. Das bedeutet, dass Feinheiten des Personalmanagements, der Budgetierung und die Abstimmung mit anderen Unternehmensprioritäten aktuell die wichtigsten Dinge sind, die ein CISO zu tun hat, von den Soft Skills in den C-Level-Büros bis hin zu Hard Skills in Finanzen und Vertrieb. All das hängt davon ab, dass man auf Unternehmensebene über das Thema Risiko spricht und wirklich versteht, dass viele Mitarbeiter Risikoträger sind, wie z. B. diejenigen, die rechtliche, Markt-, Finanz-, Betriebs- und IT-Risiken managen. Das betrifft die komplette Ebene des Top-Managements. Das sollte ein CISO bedenken, wenn er sich angemessen positionieren will. 

Auf der anderen Seite bestehen für die meisten Unternehmen Risiken erster Ordnung, die nicht unbedingt etwas mit Sicherheit in unserem Sinne zu tun haben: Risiken, die sich nicht intelligent anpassen und die auch nicht zurückschlagen. Das Wetter ist ein gutes Beispiel für ein Risiko erster Ordnung: Wie Sie sich vor einem Sturm schützen, hat keinen Einfluss auf den Kurs des Sturms. Doch wie man es im Verkauf mit Konkurrenten zu tun hat oder bei einem Rechtsstreit mit gegnerischen Anwälten, so beschäftigt sich die Sicherheitsabteilung, mit Risiken zweiter Ordnung und einem intelligenten, motivierten und fähigen Gegner. In der Sicherheit ändert der Sturm definitiv seinen Kurs, je nachdem, was und wie Sie etwas innerhalb des Unternehmens schützen. Viele Führungskräfte, die nicht aus dem Sicherheitsbereich kommen, sind zutiefst frustriert darüber, dass es für Sicherheitsprobleme keine einfache Lösung gibt, die man implementiert und über die man anschließend nicht mehr nachdenken muss.

Das heißt schlicht und ergreifend, es wird immer ein wichtiges Problem beim Thema Sicherheit geben. Wenn Sie zufällig drei Probleme lösen, ergeben sich fast zwangsläufig die nächsten drei. Zudem verändert und verschiebt sich die Reihenfolge der Prioritäten ständig. Für einen COO oder CIO oder Leiter F&E, der an ein einfaches Risikoregister gewöhnt ist und diese Risiken dann mit einem Arsenal von Management-Tools und entsprechenden Budgets auf ein akzeptables Niveau senkt, kann das tatsächlich zutiefst desillusionierend sein. Eine Verfügbarkeit von 99,999 % erreichen zu wollen, wird beispielsweise dann zur Herausforderung, wenn eine Abteilung einen höchst aktiven und bösartig agierenden Geist in einer Maschine als Feind Nummer eins hat, statt sich um Dinge wie die Qualität der Lieferkette oder die Beseitigung von Prozessabfällen zu kümmern.

Die Antwort, wenn nicht die Lösung, liegt im Setzen von Erwartungen. Unabhängig davon, ob der CISO gerade seine Position angetreten hat oder schon ein alter Hase in seinem Geschäft ist, er muss eine Erwartungshaltung vorgeben, die von einer sich verändernden Risikolandschaft ausgeht und einen kontinuierlichen Dialog innerhalb des Unternehmens etablieren. KPIs sind wichtig, Abfallbeseitigung ist wichtig, Automatisierung ist wichtig. Aber sie sind zweitrangig, wenn es darum geht, anpassungsfähig und flexibel zu agieren und sich auf momentan mögliche Verbesserungen zu konzentrieren. 

All das macht es erforderlich, dass ein CISO tatsächlich nicht auf sämtliche der auftauchenden Sicherheitsprobleme anspringt. Es ist weiterhin erforderlich, dass ein CISO sicherheitsrelevanten Problemen und Risiken nicht seine besondere Aufmerksamkeit widmet. Der CISO sollte vielmehr die Beteiligung und den Beitrag anderer zur Sicherheit fördern und sich als Führungskraft zunächst nicht bei sicherheitsrelevanten Problemen einschalten. Letztendlich muss der CISO ein Insider des Unternehmens sein, zusätzlich zu seiner de facto Rolle als Stimme und Anwalt der Sicherheitsrisiken unter allen anderen Geschäftsrisiken auf C-Ebene. Wenn ein Unternehmen auf dieser Ebene richtig agiert, lassen sich selbst schwerwiegende Risiken auf ein akzeptables Maß drücken und das Unternehmen kann sich auf sein Kerngeschäft und seine Marktposition fokussieren. Im Umkehrschluss gilt, wer hier gravierende Fehler macht, der schadet dem Unternehmen, und ein CISO wird weiterhin an seiner wichtigsten Aufgabe, Sicherheit mit dem Kern der geschäftlichen Tätigkeit in Einklang zu bringen, scheitern. 

Sam Curry, Chief Security Officer
Sam Curry
Chief Security Officer, Cybereason

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Phishing
Jul 10, 2020

Unternehmen sind beliebtes Ziel für Phishing-Angriffe

Deutsche Unternehmen sind besonders häufig im Visier krimineller Phishing-Angriffe.…
KI-Service
Jun 19, 2020

Personalmanagement in der Corona-Krise – Wie Künstliche Intelligenz unterstützen kann

In der Corona-Krise fällt Personalverantwortlichen eine wichtige Rolle zu. Oberste…

Weitere Artikel

Cybercrime

Effizienter Schutz vor Credential Stuffing

Die globale Coronavirus-Pandemie hat das Problem von Credential Stuffing noch verschärft. Bei dieser Angriffsmethode probiert ein Cyberkrimineller eine große Anzahl gestohlener Anmeldedaten bei mehreren Websites aus. Damit möchte er sich unbefugten Zugang zu…
Weihnachten Kalender

Der Adventskalender für mehr IT-Sicherheit

Die Weihnachtszeit naht und für Viele ist das Öffnen von 24 Adventskalender-Türchen eines der am meisten geschätzten Dezember-Rituale. Passend dazu startet zum zweiten Mal die Aktion “Sicher im Advent”
Business Continuity Management

Business Continuity Management: Überlebenswichtig in Corona-Zeiten

Die Corona-Pandemie stellt zahlreiche Unternehmen auf eine harte Probe. In dieser unsicheren Wirtschaftslage können Systemausfälle oder Ähnliches nicht nur Zeit, Geld und die Reputation kosten, sondern auch die Existenz.
E-Mails

E-Mail-Kommunikation mittels Blockchain: totemomail Verified

Die E-Mail ist gerade im Geschäftsleben nach wie vor das universelle Kommunikationsmittel, obwohl ihren Vorteilen auch Nachteile wie Phishing-Risiken oder die fehlende Revisionssicherheit gegenüberstehen.
Netzwerk-Sicherheit

Das Netzwerk sichern wie den Firmen-Komplex

Ransomware-Angriffe nehmen mehr und mehr zu, nicht zuletzt begünstigt durch die fortschreitende Digitalisierung, Cloudmigration und breit angelegte Tele-Arbeit. Nun gilt es, die Strategie für Netzwerksicherheit ebenfalls zu adaptieren. Mehr Homeoffice. Mehr…
Endpoint Security Baum

Welche Strategie schützt den Endpunkt?

In einer perfekten Welt wäre Software vollkommen sicher und Angriffe wären unmöglich. Sie ist jedoch zu komplex, um perfekt entworfen oder programmiert werden zu können, jedenfalls, wenn Menschen im Spiel sind. Selbst die sichersten Anwendungen haben Fehler.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!