Vom Krisenmanager zum Business Enabler
Kein Job für Einzelkämpfer – Die neue Rolle des CISO
Angesichts der steigenden Komplexität der IT über alle Unternehmensbereiche und ihrer inhärenten Abhängigkeit und Vernetzung über zahlreiche Cloud-basierte Lieferketten wird die Forderung einer strengen „Zero trust“ – Strategie in den Führungsetagen immer lauter. CISO´s und Sicherheitsverantwortliche stehen unter wachsendem Druck, nachzuweisen, dass sie Maßnahmen ergreifen, um das Unternehmen vor Cyberangriffen zu schützen und die Gefährdung unerlaubter Zugriffe auf sensible Daten zu verhindern. Es gilt die Binsenwahrheit „Vertrauen ist gut, Kontrolle ist besser“, egal, woher die Anfrage stammt und auf welche Ressource zugegriffen wird. Doch hält ein Konzept des „Zero Trust“ im konkreten Anwendungsfall auch wirklich, was es verspricht?
Was ist eigentlich neu daran?
Grundsätzlich ist die Vorgabe eines Mindestmaßes an Privilegien so alt wie die bewährte Praxis der Cybersicherheit. Die Fragen und Herausforderungen für Netzwerk- und Sicherheitsexperten erreichen aufgrund der jüngsten Entwicklungen aber eine neue Dimension an Brisanz und Komplexität. So haben sich Arbeitslasten in die Cloud verlagert. Vielfach nicht verwaltete, mobile Geräte sind eher die Norm als die Ausnahme. Mitarbeiter verlassen oder wechseln ihren Arbeitsplatz und nicht immer geschieht dies in guter Absicht. Sicherheitskonzepte müssen in der Folge fast täglich neue Anwendungen und Dienste integrieren und überwachen, damit nur bekannter, erlaubter Datenverkehr und Anwendungen Zugriff auf die zu schützenden Ressourcen haben.
Gleichzeitig werden auch Cyberkriminelle immer geschickter bei der Umgehung von Sicherheitsmaßnahmen. Eine harte Linie wird auch von der obersten Führungsebene stärker gefordert, angespornt durch immer dramatischere Hacker-Berichte bei namhaften Unternehmen, medienwirksam inszeniert und. Für den Chief Information Security Officer steigert sich das in eine Erwartungshaltung und Aufgabenstellung, die nichts für schwache Nerven ist: Er ist oberster Sicherheitsstratege und Schutzpatron, täglicher Brandlöscher und Brückenbauer zwischen den Abteilungen. Er ist Allrounder für alle sicherheitsrelevanten Belange, der es mit jedem Hacker aufnehmen kann und den ganzheitlichen Blick auf Sicherheit, Datenschutz, Compliance und Business auf Abruf parat hat.
Brandlöscher und strategischer Arm der Unternehmenführung: CISO´s stehen vor immer größeren Herausforderungen
Deus ex machina
Die Realität sieht aber oftmals anders aus und viele CISOs kämpfen gegen ganz alltägliche Schwierigkeiten in ihrem operativen Geschäft. Sie überzeugen HR-Abteilungen, ihre Rolle bei Ein- und Austrittsprozessen ernster zu nehmen. Sie schulen Systemadministratoren, die immer noch nicht in der Lage sind, Patches zu verteilen oder eine einheitliche CMDB für ihren gesamten Bestand aufzubauen. Sie haben mit Rechtsabteilungen zu tun, die die Einhaltung des Datenschutzes immer noch als eine Frage des regulatorischen Risikos und reine IT-Agenda behandeln.
Was also tun, um die operative Dringlichkeit mit dem Anspruch eines Kulturwandels im gesamten Unternehmen in Einklang zu bringen und gleichzeitig die „Zero-Trust“-Flagge beim Vorstandmeeting hochzuhalten? Der größte Fehler, den viele Sicherheitsverantwortliche machen, um rasch Handlungsnachweise vorweisen zu können, ist es, die Technologie in den Vordergrund zu stellen.
Vielmehr ist der Fokus auf einen prozessualen Ansatz entscheidend. Dies erfordert eine gemeinsame Anstrengung und eine Änderung der Verantwortungshierarchie von oben nach unten, unter der Voraussetzung von klaren Spielregeln und einem gemeinsamen Verständnis, das Sie als CISO festlegen sollten:
1) Sie sind nicht für alles verantwortlich: Cybersicherheit liegt nicht nur in der Verantwortung des Sicherheitsteams. Die wichtigsten Interessengruppen müssen in allen Geschäftsbereichen identifiziert und für die angemessene Behandlung von Cybersicherheitsfragen auf ihrer Ebene verantwortlich gemacht werden.
2) Stellen Sie sich auf einen Langstreckenlauf ein: Entwickeln Sie eine Roadmap, die eine schrittweise Implementierung vorsieht und den Reifegrad mit der Zeit erhöht. Der Schlüssel zur erfolgreichen Umsetzung eines phasengestützten Ansatzes ist die Auswahl von Lösungen, die eine einfache Integration mit dem, was Ihr Unternehmen bereits hat, unterstützt.
3) Sie müssen nicht alles auf einmal schaffen: Echte und dauerhafte Veränderungen brauchen Zeit und entschlossenen Einsatz, und viele große Organisationen tun sich schwer mit einer langfristigen Ausrichtung, insbesondere bei komplexen und bereichsübergreifenden Themen wie der Cybersicherheit.
4) Werben Sie für Ihre Themen: Schaffen Sie immer und immer wieder „Awareness“ für das Thema in der Führungsebene. Cybersicherheit ist keine Spielwiese für Nerds und das Dark Web ist nicht mehr nur ein Haufen von Randgruppen in Kapuzenpullis, die in einer dunklen Ecke sitzen und versuchen, in Ihre Systeme einzudringen.
5) Holen Sie vertrauenswürdige Partner ins Boot: Das Outsourcing von Prozessen kann Ihre IT-Sicherheit zusätzlich vorantreiben, indem es im eigenen Team Kapazitäten freisetzt, die etwa in die Neustrukturierung veralteter Systemlandschaften fließen können. Überlassen Sie dies Aufgaben einem vertrauenswürdigen Partner und informieren Sie sich über Managed Service-Angebote von SOC-Modellen, die Ihren Bedürfnissen passgenau entsprechen und Ihr Budget nicht überstrapazieren.
6) Setzen Sie Prioritäten: Identifizieren Sie Ihre „Kronjuwelen“ und kritischsten Bereiche, die vor Cyberangriffen geschützt werden müssen. Es wäre schön, alles zu schützen, aber irgendwann muss man sich entscheiden, wo man sofort, am besten noch heute Hand anlegen muss.
7) Sie sind nicht (immer) Schuld. Es kann nicht sein, dass Sie als CISO jedes Mal, wenn irgendwo etwas passiert, zum Vorstand zitiert werden – außer dass die Fenster offenstanden und der Schlüssel unter der Fußmatte lag. In den meisten Fällen sind die Gründe aber in systemverschuldeten Sicherheitslücken zu sehen, da der Reifegrad der Cybersicherheit in den letzten Jahrzehnten trotz aller Investitionen in diesem Bereich niedrig geblieben ist. Oder anders gesagt: Es war auch so, dass die Fenster offenstanden und der Schlüssel unter der Fußmatte lag.
Fazit:
Die Implementierung einer restriktiven Sicherheitsstrategie ist ein komplexes Unterfangen und wer sich nur auf die technische Dimension konzentriert, wird bald erkennen, dass sie nicht in ihrer vollendeten Form praktikabel ist: Je detaillierter man sie gestaltet, desto komplexer und kostspieliger wird der Betrieb und seine Wartung. Eine Sicherheitsstrategie ist auch kein Produkt, das man kaufen und einfach in die bestehende Architektur einbauen kann. Kein einziger Anbieter wird jemals alles anbieten können, was für ein sicheres Netzwerk und einen laufend erweiterbare Architektur benötigt wird.
Um wirklich erfolgreich zu sein, müssen Sie zu einem Teil der Unternehmenskultur werden. Nur dadurch kann sie auf der Grundlage einer klaren und akzeptierten Definition von Verantwortlichkeiten und Zuständigkeiten für alle Beteiligten funktionieren. CISO´s können Veränderungen bewirken und Silos aufbrechen. Dabei geht es darum, wirtschaftliche Ziele und Sicherheit in Einklang zu bringen und pragmatisch, aber auch politisch zu handeln.
Um Ihre Ziele zu erreichen und gleichzeitig die Sicherheit kontinuierlich zu verbessern, müssen Sie auch den richtigen Partner für Cybersicherheit finden. Auch hier – die besten Berater für Informations- und Cybersicherheit sehen die Sicherheit als Prozess und nicht nur als Produkt, das sie verkaufen, einsetzen und die Richtlinie dafür festlegen. Sie kennen sich mit vergangenen, aktuellen und potenziellen künftigen Angriffstrends aus und wissen, dass Sicherheit ein Status ist, der kontinuierlich aufrechterhalten werden muss. Er sollte auch Ihr Unterstützer sein, um Ihre Vorgaben mit fachkundiger Beratung auf Führungsebene argumentieren zu können. Er wird Ihnen auch helfen darauf hinzuarbeiten, dass jeder in Ihrem Unternehmen das Gefühl hat, Teil einer Cybersicherheitslösung zu sein – und nicht das Problem. Er wird deutlich machen, dass es sein Ziel ist, Ihr Unternehmen zu verbessern – nicht nur Ihre Sicherheitslage.
