{"id":21606,"date":"2019-11-28T16:39:00","date_gmt":"2019-11-28T14:39:00","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=21606"},"modified":"2019-11-28T18:05:04","modified_gmt":"2019-11-28T16:05:04","slug":"ciso-2019","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/ciso-2019\/21606\/","title":{"rendered":"Risikomanagement als unerl\u00e4ssliche F\u00e4higkeit eines CISOs"},"content":{"rendered":"

Letztes Jahr hatte ich gemischte Gef\u00fchle, als ich das Feedback meiner Kollegen<\/a> zu den Themen und Schwerpunkten der Branche las. Ein Jahr sp\u00e4ter stellt sich heraus, dass die Ergebnisse unserer neuen Umfrage (siehe unten) noch interessanter sind.<\/p>\n

Der erste Eindruck, den Sie erhalten, wenn Sie sich die Ergebnisse dieser beiden Studien ansehen, ist folgender: Informationssicherheit im Allgemeinen und die Rolle des CISO im Besonderen werden f\u00fcr die Wirtschaft immer wichtiger \u2013 zumindest f\u00fcr ungef\u00e4hr 300 meiner Befragten Informationssicherheitskollegen. Definitiv ein gutes Zeichen. Dies gilt auch f\u00fcr die Tatsache, dass immer mehr Befragte das \u201eRisikomanagement\u201c und andere Gesch\u00e4ftsf\u00e4higkeiten zu den f\u00fcr ihre Rolle wesentlichen Skills z\u00e4hlen.<\/p>\n

In einem Punkt kann ich jedoch vielen meiner Kollegen nicht zustimmen. Einige sind noch immer der Meinung, dass technische Kompetenzen und fundierte Kenntnisse der firmeninternen IT-Systeme die Schl\u00fcsselkompetenzen sowohl f\u00fcr ihre Arbeit als auch f\u00fcr ihre Weiterentwicklung sind. Ich glaube eher, dass, obwohl technisches Wissen die Grundvoraussetzung f\u00fcr einen CISO ist, die Branche dennoch erkennen muss, dass moderne IT-Systeme mittlerweile viel zu komplex geworden sind, als dass, rein technisch gesehen, ein CISO den Gesamt\u00fcberblick behalten k\u00f6nnte.<\/p>\n

Dar\u00fcber hinaus werden Informationssysteme zunehmend ausgefeilter (was auch der Erwarung der meisten Befragten entspricht). Daher sind die technischen Kompetenzen eines CISO, auch wenn sie wichtig sind, f\u00fcr die Entwicklung von F\u00e4higkeiten wie Risikomanagement, effektives Teammanagement und Gesch\u00e4ftskommunikation von untergeordneter Bedeutung. Heute z\u00e4hlt vor allem das angestellte Personal.<\/p>\n

Menschen statt Systeme verstehen<\/h2>\n

Tats\u00e4chlich sind sowohl IT-Systeme als auch Sicherheitstechnologien inzwischen so ausgereift, dass sie auch hochspezialisierten Fachkr\u00e4ften gesch\u00e4ftskritische Entscheidungen abnehmen k\u00f6nnen. Diese Ver\u00e4nderung macht das Vertrauen in das Team nat\u00fcrlich noch wichtiger als je zuvor. Einerseits muss der Abteilungsleiter f\u00fcr Informationssicherheit den Spezialisten des Teams vertrauen k\u00f6nnen. Andererseits m\u00fcssen auch sie dem Urteil und den Entscheidungen des CISO vertrauen \u2013 nicht blind oder ohne ihre Meinung zu \u00e4u\u00dfern, aber mit einem gemeinsamen Ziel und gegenseitigem professionellen Respekt.<\/p>\n

Den Befragten zufolge ist es manchmal einfacher, ein h\u00f6heres Budget f\u00fcr die Beschaffung von Systemen zu erzielen, als mehr Fachkr\u00e4fte f\u00fcr Informationssicherheit einzustellen. M\u00f6glicherweise klingt es gut, so viele gl\u00e4nzende neue Systeme wie m\u00f6glich zu kaufen. Es ist jedoch viel wichtiger, die Schl\u00fcsself\u00e4higkeiten und -kompetenzen zu ermitteln, die f\u00fcr interne Experten und ausgelagerte Experten unabdingbar sind. Angesichts des Fachkr\u00e4ftemangels auf dem Markt halte ich es f\u00fcr eine gute Idee, Outsourcing als eine M\u00f6glichkeit zu betrachten, die F\u00e4higkeiten der Abteilung zu erweitern und somit schneller auf gesch\u00e4ftliche Anforderungen reagieren zu k\u00f6nnen.<\/p>\n

Von der Reaktion auf Vorf\u00e4lle (Incident Response) bis zum Risikomanagement<\/h2>\n

Auch wenn die Rolle des CISO f\u00fcr wichtige Stakeholder \u2013 zum Beispiel dem Vorstandsrat oder dem CEO \u2013 nach wie vor an Bedeutung gewonnen hat, rufen diese meistens erst nach Hilfe, nachdem bereits etwas geschehen ist. (Zum Gl\u00fcck scheint dies vor allem bei der Konkurrenz oder Branchenkollegen vorzukommen. Dennoch zeigt es, dass viele Unternehmen Informationssicherheit nicht als Instrument f\u00fcr das Management von Gesch\u00e4ftsrisiken betrachten.) Auf die Frage, wie das Management die Leistung der Informationssicherheit misst, geben viele CISOs weiterhin an, dass die Anzahl der Vorf\u00e4lle oder die Reaktionszeit der Vorf\u00e4lle die Schl\u00fcsselindikatoren sind.<\/p>\n

Das sind sicherlich wichtige Faktoren, aber innerhalb des modernen Cyberimmunit\u00e4tskonzepts, das Kaspersky aufgreift, ist ein gut gesch\u00fctztes Unternehmen nicht eines, das nur die Anzahl der Schaden verursachenden Angriffe minimiert oder Vorf\u00e4lle schnell untersucht, sondern das Unternehmen, dessen Gesch\u00e4ft sich trotz solcher Vorf\u00e4lle erfolgreich entwickeln kann.<\/p>\n

Denn tolerierbare Risiken und akzeptable potenzielle Verluste durch Zwischenf\u00e4lle sind f\u00fcr alle Unternehmen unterschiedlich. Manchmal lohnt es sich, Schutzma\u00dfnahmen zu lockern, um die Gesch\u00e4ftsentwicklung anzukurbeln. In anderen Situationen ist dies keine Option. Die Anzahl der Vorf\u00e4lle kann nicht als absolutes Ma\u00df f\u00fcr die Leistung der Informationssicherheit dienen. Es ist auch wichtig, wie sich Informationssicherheitsma\u00dfnahmen auf die Verarbeitungsgeschwindigkeit und die Kosten von Gesch\u00e4ftsaufgaben auswirken. Meiner Meinung nach m\u00fcssen CISOs daher in erster Linie in der Lage sein, Risiken angemessen zu bewerten und Informationssicherheitssysteme aufzubauen, die perfekt auf ihre Unternehmen und Gesch\u00e4ftsprozesse abgestimmt sind, anstatt sich auf den Schutz von Vorf\u00e4llen zu konzentrieren.<\/p>\n