{"id":29750,"date":"2023-02-10T11:43:55","date_gmt":"2023-02-10T09:43:55","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29750"},"modified":"2023-02-10T11:43:55","modified_gmt":"2023-02-10T09:43:55","slug":"business-soc-communications","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/business-soc-communications\/29750\/","title":{"rendered":"So verbessern Sie die Kommunikation zwischen Infosec-Mitarbeitern und der Gesch\u00e4ftsf\u00fchrung"},"content":{"rendered":"

Kein Unternehmen kann erfolgreich funktionieren, wenn die Zusammenarbeit zwischen der Gesch\u00e4ftsleitung und den Fachleuten der jeweiligen Abteilungen nicht reibungslos abl\u00e4uft. Eine solche Zusammenarbeit setzt vor allem eines voraus: Kommunikation! Diese erweist sich jedoch oft als schwierig, da Manager und Fachleute in verschiedenen Informationsblasen arbeiten und meist unterschiedliche Sprachen sprechen. Die Gesch\u00e4ftsleitung denkt an Gewinn, Kosten und Entwicklung, die Spezialisten \u2013 und der Informationssicherheitsdienst ist da keine Ausnahme \u2013 an ihre spezifischen technischen Aufgaben.<\/p>\n

Eine k\u00fcrzlich von unseren Kollegen durchgef\u00fchrte Studie<\/a> ergab, dass das gegenseitige Verst\u00e4ndnis zwischen Gesch\u00e4ftsf\u00fchrern und Informationssicherheitsspezialisten zwar grunds\u00e4tzlich zunimmt, es aber immer noch Probleme gibt. Tats\u00e4chlich gaben 98 % der befragten Unternehmensvertreter an, dass sie mindestens einmal ein Missverst\u00e4ndnis mit dem Informationssicherheitsdienst hatten. Was die direkten Folgen eines solchen Missverst\u00e4ndnisses angeht, so gaben 62 % an, dass es zu mindestens einem Sicherheitsvorfall gef\u00fchrt hat, w\u00e4hrend 61 % von negativen Auswirkungen auf das Unternehmen berichteten \u2013 darunter der Verlust wichtiger Mitarbeiter oder eine schlechtere Kommunikation zwischen den Abteilungen. Gleichzeitig sind sich die Sicherheitsexperten selbst nicht immer der Probleme bewusst: 42 % der Unternehmensleiter w\u00fcnschen sich eine spezifischere Kommunikation seitens der Sicherheitsspezialisten<\/strong> \u2013 doch 76 % dieser Spezialisten sind sich sicher, dass sie von allen perfekt verstanden werden!<\/p>\n

Im Allgemeinen haben Manager oft Probleme mit der angewandten Sprache und Ausdrucksweise; sie verstehen beispielsweise nicht alle Begriffe, die Informationssicherheitsdienste verwenden. Die Terminologie ist jedoch nicht das einzige und auch nicht das Hauptproblem bei der Kommunikation der Informationssicherheitsexperten mit dem Management. Werfen wir einen Blick auf den Vortrag<\/a> von Patrick Miller, Managing Partner bei Archer International, auf der Kaspersky Industrial Cybersecurity Conference 2019, um die anderen Probleme besser verstehen zu k\u00f6nnen.<\/p>\n

Risiken werden anders eingesch\u00e4tzt<\/h2>\n

Viele Fachleute f\u00fcr Informationssicherheit haben eine sehr niedrige Risikotoleranzschwelle. In der Wirtschaft hingegen sind Manager oft bereit, mehr Risiken einzugehen, da ohne sie kein Gewinn erzielt werden kann. F\u00fcr die Chefetage besteht die gr\u00f6\u00dfte Herausforderung meist darin, das perfekte Gleichgewicht zwischen potenziellem Gewinn und potenziellem Verlust zu finden. Das eigentliche Ziel der Sicherheitsabteilung, so seltsam es auch klingen mag, besteht nicht darin, alle Bedrohungen zu beseitigen, sondern dem Unternehmen zu helfen, den gr\u00f6\u00dftm\u00f6glichen Gewinn zu erzielen.<\/p>\n

Aus Unternehmensperspektive k\u00f6nnen Risiken eingegangen, vermieden, gemildert oder \u00fcbertragen werden (z. B. auf eine Versicherungsgesellschaft). Manager versuchen grunds\u00e4tzlich, so viel Risiko wie m\u00f6glich einzugehen, um den Gewinn des Unternehmens zu maximieren. Die Informationssicherheit ist f\u00fcr sie wahrscheinlich nur ein minimaler Teil des Gesamtbildes: vermutlich wollen sie nicht einmal dar\u00fcber nachdenken.<\/p>\n

Infolgedessen sollten Sicherheitsspezialisten nicht dar\u00fcber nachdenken, wie sie alle L\u00fccken schlie\u00dfen k\u00f6nnen, sondern vielmehr dar\u00fcber, wie sie diejenigen Bedrohungen identifizieren und neutralisieren k\u00f6nnen, die dem Unternehmen wirklich ernsthaften Schaden zuf\u00fcgen k\u00f6nnten. Und folglich sollten sie auch dar\u00fcber nachdenken, wie sie den Managern erkl\u00e4ren k\u00f6nnen, warum es sich lohnt, \u00fcberhaupt Geld f\u00fcr die Beseitigung solcher Probleme auszugeben.<\/p>\n

FUD funktioniert nicht<\/h2>\n

Der Versuch, Manager mithilfe der FUD-Strategie (Fear, Uncertainty and Doubt<\/em>, englisch f\u00fcr Furcht, Ungewissheit und Zweifel)<\/em> zu \u00fcberzeugen, wird nicht funktionieren, denn daf\u00fcr wird der Informationssicherheitsdienst schlichtweg nicht bezahlt. Spezialisten sind dazu da, Probleme zu l\u00f6sen \u2013 im Idealfall so, dass niemand merkt, dass es \u00fcberhaupt welche gibt.<\/p>\n

Ein weiteres Problem der FUD-Strategie ist, dass Manager bereits unter erheblichem Stress stehen. Denn jeder Fehler, den sie machen, k\u00f6nnte ihr letzter sein. Es gibt viele Menschen, die ihren Platz ohne zu z\u00f6gern einnehmen w\u00fcrden, sie vertrauen deshalb niemandem usw. Zus\u00e4tzliche Angstfaktoren sind daher vollkommen fehl am Platz.<\/p>\n

Und schlie\u00dflich zeigt kein Chef gerne, dass er etwas nicht wei\u00df. Daher sind alle Versuche, die Gesch\u00e4ftsleitung mit klug klingenden Begriffen zu bombardieren, zum Scheitern verurteilt.<\/p>\n

Denken wie ein Unternehmen<\/h2>\n

Das Hauptziel eines jeden Unternehmens ist es, Geld zu verdienen. Und alle Manager betrachten Unternehmensangelegenheiten aus dieser Perspektive. Wenn also ein Experte f\u00fcr Informationssicherheit zu ihnen kommt und sagt: \u201eEine Bedrohung ist aufgetaucht und wir m\u00fcssen X Geld investieren, um sie zu entsch\u00e4rfen\u201c, h\u00f6rt der Manager nur: \u201eWenn wir das Risiko eingehen und nichts tun, k\u00f6nnen wir X Euro sparen.\u201c So seltsam es klingen mag, aber das ist die Denkweise von Unternehmen.<\/p>\n

F\u00fcr die Unternehmensleitung ist es wichtig, dass jede Ma\u00dfnahme (oder Unt\u00e4tigkeit), die sie ergreift, zu einer positiven finanziellen Leistung f\u00fchrt. Deshalb m\u00fcssen wir die Situation so darstellen, dass das Management sie verstehen kann: \u201eEs besteht eine Wahrscheinlichkeit von Z%, dass dem Unternehmen aufgrund einer bestimmten Bedrohung ein Schaden von Y droht. Wir m\u00fcssen X investieren, um diese zu neutralisieren.\u201c Das ist eine Gleichung, die f\u00fcr das Unternehmen sinnvoll ist.<\/p>\n

Nat\u00fcrlich k\u00f6nnen die Kosten eines potenziellen Schadens nicht immer realistisch vorhergesagt werden. Es ist daher m\u00f6glich, bekannte Werte zu verwenden, wie z. B. die Ausfallzeit (der Zeitraum, bis der Vorfall behoben ist), die Menge und die Art der Daten, die verloren gehen oder kompromittiert werden k\u00f6nnen, der Reputationsschaden, usw. Diese Informationen k\u00f6nnen dann mit Hilfe von Experten in leicht verst\u00e4ndliche Zahlen umgewandelt werden. Es ist jedoch besser, wenn das Informationssicherheitsteam dies selbst tun kann, da dies eine Menge Zeit sparen kann.<\/p>\n

Es besteht immer die M\u00f6glichkeit, dass die Gleichung nicht zu Gunsten der Informationssicherheit aufgeht. Das ist nicht immer ein Problem der Fehlkommunikation \u2013 vielleicht h\u00f6ren und verstehen die Manager alles perfekt, aber es ist einfach profitabler, das Risiko einzugehen. Entweder das oder die Informationssicherheit war nicht in der Lage, ihre Position \u00fcberzeugend zu vertreten, weil sie nicht gelernt hat, wie ein Unternehmen zu denken.<\/p>\n

Entscheidend ist, dass Sie den Stellenwert von Informationssicherheitsdiensten in Ihrem Unternehmen und die damit verbundenen Vorteile kennen. Auf diese Weise lassen sich potenzielle Bedrohungen leichter einsch\u00e4tzen und einordnen, und es wird vermieden, dass Sie und andere Mitarbeiter ihre Zeit mit Initiativen verschwenden, die offensichtlich nicht funktionieren, und generell effizienter arbeiten.<\/p>\n

Zeitfaktor und Deadlines<\/h2>\n

F\u00fcr die Sicherheit ist der Zeitfaktor entscheidend: Einige Bedrohungen m\u00fcssen sofort abgewehrt werden. Aber auch f\u00fcr Unternehmen ist Zeit wichtig, denn f\u00fcr sie ist Zeit Geld. Sie k\u00f6nnen heute den erw\u00e4hnten Betrag X ausgeben, aber wenn Sie dies in einem Monat tun, dann wird X in geschickten H\u00e4nden zu X*n, und X*(n-1) bleibt auf der Bank.<\/p>\n

Selbst wenn die Unternehmensleitung das Problem gut versteht und wei\u00df, dass es angegangen werden muss, wird sie es nicht eilig haben, Geld auszugeben, wenn sie keine Frist mit einer klaren Begr\u00fcndung erh\u00e4lt. Sie muss auch dar\u00fcber informiert werden, dass sie automatisch f\u00fcr die geltend gemachten Risiken verantwortlich ist, da die Informationssicherheit nach Ablauf der Frist m\u00f6gliche Folgen nur noch reduzieren kann.<\/p>\n

Diese Frist sollte so realistisch wie m\u00f6glich sein. Wenn die Informationssicherheit fordert, dass eine Entscheidung lieber gestern als heute getroffen werden muss, wird die Gesch\u00e4ftsleitung auf taube Ohren stellen. Auch wenn die Abteilung f\u00fcr Informationssicherheit zu laszive Fristen w\u00e4hlt (sagen wir, eine Deadline von 12 Monaten), wird sie nach dem n\u00e4chsten Vorfall vermutlich gefeuert (oder als \u00fcberfl\u00fcssig angesehen). Es ist wichtig, dass man in der Lage ist, die tats\u00e4chliche Deadline zu beurteilen und festzulegen und die potenziellen Risiken aufzuzeigen.<\/p>\n

Nur wenige Unternehmen haben Reserven auf ihren Konten, um m\u00f6gliche Investitionsratschl\u00e4ge der Sicherheitsbeauftragten zu befolgen. Die Mittel zur Probleml\u00f6sung m\u00fcssen irgendwoher genommen oder geliehen werden, und das kann einige Zeit dauern. Um zu verstehen, wie lange das dauert, muss man \u00fcbrigens auch wissen, wie das Unternehmen funktioniert und finanziert wird.<\/p>\n

Spielen Sie den Vermarkter<\/h2>\n

Um effektiv zu kommunizieren, sollten Informationssicherheitsspezialisten \u00fcber einige Marketingkenntnisse verf\u00fcgen; dann k\u00f6nnen sie der Chefetage ihre L\u00f6sungen besser vermitteln.<\/p>\n