Der ideale CISO: Erfolg und Führung in der IT-Sicherheit von Unternehmen

25 Okt 2018

Wie arbeiten Chief Information Security Officer (CISO) und was halten die Verantwortlichen der Informationssicherheit eines Unternehmens vom Thema Cybersicherheit im Allgemeinen? Mit welchen Problemen werden sie konfrontiert? Um Antworten auf all diese Fragen zu erhalten, befragte Kaspersky Lab 250 Sicherheitsbeauftragte aus der ganzen Welt. Obwohl ihre Meinungen wirklich sehr interessant sind, muss ich zugeben, dass ich nicht allen meinen Kollegen zu 100 % zustimmen kann.

Lassen Sie uns zunächst auf die Einschätzung der wichtigsten Leistungsindikatoren eines CISOs eingehen. Es ist kaum überraschend, dass eine Vielzahl der Befragten sagte, dass ihr wichtigstes Jobkriterium die Qualität und Geschwindigkeit des Incident-Response-Handlings ist. In modernen Unternehmen werden Cyber-Vorfälle mittlerweile nicht mehr als Versagen der Sicherheit betrachtet. Es ist schön zu sehen, dass die meisten Spezialisten zu verstehen beginnen, dass Vorfälle unvermeidlich, und in den meisten Fällen sogar normal sind. Beim Thema Cybersicherheit geht es heutzutage vor allem um das Überleben des Unternehmens.

Mit „Überleben“ meine ich in diesem Fall ein gewisses Schutzniveau, das garantieren kann, dass sich Unternehmen, im Falle eines APT-Angriffs, eines Datenlecks oder eines massiven DDoS-Angriffs, ohne ernsthafte Folgeschäden selbst wiederherstellen können, oder nicht mehr als ein bereits vordefiniertes Verlustminimum erfahren müssen. Mit anderen Worten: die heutigen CISOs konzentrieren sich hauptsächlich auf die Incident Response (Vorfallsreaktion).

Einerseits sind das wirklich großartige Neuigkeiten. Denn noch vor ein paar Jahren herrschte im Bereich der Cybersicherheit eine „Zero-Incident“-Einstellung und Unternehmen waren der Meinung, dass CISOs in der Lage sein sollten, die Infrastruktur einer Firma hundertprozentig vor jeglichen Vorfällen schützen zu können. Andererseits ist auch die momentane Einstellung, sich ausschließlich auf reaktive Technologien zu konzentrieren, nicht ideal. Aus meiner Sicht müssen CISOs ein ausgewogenes Gleichgewicht finden, denn alle Elemente der adaptiven Sicherheitsarchitektur sind wichtig: Prävention, Erkennung, Reaktion und Prognose.

Mögliche Risiken

Die meisten CISOs sind sich einig, dass der Reputationsverlust, nach einem Datenleck, das größte Risiko für ein Unternehmen darstellt. In diesem Punkt stimme auch ich mit meinen Kollegen überein. Reputationsschäden sind die Grundlage aller anderen Vorfallsfolgen – fehlendes Kundenvertrauen, ausbleibende Verkäufe, fallende Aktien, usw.

Der mögliche Reputationsverlust einer Organisation ist der wahre Grund, weshalb wir oftmals nichts von vielen Sicherheitsvorfällen mitbekommen. Wenn ein Unternehmen einen Cyber-Vorfall verbergen kann, tut es das – obwohl es in einigen Ländern Gesetze gibt, die Unternehmen dazu verpflichten, ihre Aktionäre oder Kunden über Sicherheitsprobleme zu informieren.

Offenbar gibt es für CISOs gewisse Unterschiede zwischen den Motiven von Cyberkriminellen, staatlich geförderten Angriffen und profitorientierten Straftaten. Meiner Meinung nach sollten Letztere an erster Stelle stehen. Wenn es um Verluste jeglicher Art geht, stellen diese eindeutig die größte Gefahr dar – und die Erfahrung hat gezeigt, dass ein unehrlicher Mitarbeiter potenziell mehr Schaden anrichten kann als ein externer Übeltäter.

Einfluss auf Unternehmensentscheidungen

Es war besonders interessant zu sehen, wie Sicherheitsdirektoren an geschäftlichen Entscheidungen beteiligt sind und ich war überrascht zu erfahren, dass sich nicht alle für ausreichend involviert hielten. Aber was genau bedeutet „ausreichend“ für sie?

Im Wesentlichen gibt es zwei Strategien. Die Sicherheitsbeauftragten können jeden Schritt des Unternehmens kontrollieren und genehmigen oder alternativ als Berater dienen, wobei das Unternehmen die Grundlagen legt.

Auf den ersten Blick scheint die totale Kontrolle effektiver zu sein – und das wäre es auch, wenn die Cybersicherheit ein alleiniges Ziel für sich wäre. In Wirklichkeit erfordert dieser Ansatz aber deutlich mehr Personal und verlangsamt die Geschäftsentwicklung. Das kann besonders für innovative Unternehmen eine Herausforderung sein, die Geschäftsprozesse nutzen, die noch nicht über Best Practices zum Unternehmensschutz verfügen.

Rechtfertigung des Budgets

Die Antworten auf die Frage „Wie rechtfertigen Sie Ihr Budget ohne einen klar strukturierten ROI?“ haben mich ehrlich gesagt verärgert. Es scheint, dass Panikmache als gängigste Rechtfertigungsmethode gilt – Berichte über Sicherheitsverstöße und Schadenseinschätzungen, die das Unternehmen durch frühere Angriffe erfahren hat. Ja, das funktioniert – ein Mal, oder vielleicht auch ein zweites Mal. Aber beim dritten Mal wird die Antwort dann eher „Wie wird das Ganze von anderen gehandhabt?“ lauten.

Für Unternehmen ist es wichtiger, mehr über die Erfahrungen anderer Firmen zu erfahren. Leider rangierten „Benchmarks und Best Practices der Branche“ lediglich auf Platz sieben der Argumentenliste, obwohl derartige Informationen kinderleicht zu finden sind. Unser IT-Security-Calculator ist beispielsweise ein sehr nützliches Tool.

Wie Sie sehen, liefert unsere Studie jede Menge Denkanstöße; den vollständigen Bericht finden Sie unter diesem Link.