DAS ZEITALTER DER CISOS

Kapitel 2: Ein Reality Check

Einführung

Die Ereignisse des vergangenen Jahres haben den Aufstieg der CISOs in leitende Positionen beschleunigt, doch dieser schnelle Wandel hat seinen Preis. Mehr Anerkennung und Verantwortung sind prima, aber mit dabei ist eine ganze Menge neuer Herausforderungen. 

In diesem Kapitel sprechen die Befragten über die Themen Verantwortlichkeit, Unternehmenskultur, Umgang mit dem Vorstand und die Notwendigkeit des Wandels von technischen Risikominderern zu geschäftlichen Wertschöpfern. 

Im Management muss jeder, nicht nur Sicherheitsspezialisten, ein verantwortliches Verständnis dafür entwickeln, wie sich Cybersicherheit auf die Abteilungen auswirkt. Dazu braucht es eine offene Unternehmenskultur und Sicherheits- satzungen. Dass sich der Vorstand mit dem Thema Cybersicherheit auseinandersetzt, ist jetzt das Gebot der Stunde. 

Es ist ein großer Unterschied, ob man nur mehr Verantwortung übertragen bekommt oder ob man dazu auch die nötigen Ressourcen bekommt. Abgesehen davon bedeutet Verantwortung nicht automatisch auch die Anerkennung der eigenen Arbeit. Zu diesem Themenkomplex gehört auch die Frage, wie Cybersicherheit in den einzelnen Unter- nehmen gesehen wird und welche Stellung sie als geschäftsrelevante Funktion einnimmt. Zu zeigen, dass Sicherheit handfesten ROI abwirft und Risikovermeidung einen messbaren Wert hat, bleibt eine schwierige Aufgabe. 

Erschwerend hinzu kommt die Medienberichterstattung in Sachen Cybersicherheit. Risiko- und Bedrohungsbewusst- sein sind gut und richtig. Wenn aber der Vorstand von einem Problem erfährt, ohne zu begreifen, ob und wie relevant es für die Firma ist oder wie man das Risiko reduzieren kann, dann kann das einem CISO das Leben schwer machen. 

Frage #1

Glauben Sie, dass sich Cybersicherheit in den letzten 12 bis 18 Monaten verändert und operativ an Bedeutung gewonnen hat?

73 % der befragten CISOs glauben, dass Cybersicherheit weiterhin operativ an Bedeutung gewinnt, obwohl das einen Security-First-Ansatz quer durch das gesamte Unternehmen erfordert. Wenn es darum geht, die operative Relevanz von Security aufrechtzuerhalten, ergibt sich ein Zwiespalt von Sicherheit und Sichtbarkeit: Ein hoher Durchschnittswert (6,6) der CISOs glaubt zwar, dass Cybersicherheit für das eigene Unternehmen an Bedeutung gewonnen hat, aber nicht, dass die Sichtbarkeit zunehmen wird: 28 % der Befragten vergaben 6,0 oder weniger Punkte für die Überzeugung, dass die Cybersicherheit nicht an Bedeutung gewinnen wird, es sei denn, dass der Zuwachs an digitalen Kompetenzen und neue Remote-Work-Praktiken dazu führen, dass Security-Rollen auch mehr Anerkennung erfahren. 

In den USA, wo 82 % der Befragten im Durchschnitt (7,1) oder höher lagen, waren die CISOs etwas optimistischer als die Befragten in Europa, bei denen nur 57 % den Durchschnitt von 6,0 oder mehr erreichten. 

„Ich will besser sein als die Konkurrenz. Aber seit wir digitaler werden, wächst unsere Angriffsfläche.“ 

- Hitesh Patel, Head of Cybersecurity, Cloud Computing & Digital Infrastructure Audit & Risk, Fidelity Investments

Die Sicherheitsteams größerer Unternehmen erweisen sich eher als relevant für den Geschäftserfolg: Diese CISOs haben besseren Zugang zur Geschäftsleitung, engere und breiter gestreute Kontakte im Management. Es fällt ihnen daher leichter, ein firmenspezifisches Reporting zu operativen Vorgängen zu liefern, die unter Umständen sicherheitsrelevant sind. Das ist auch nützlich, wenn es darum geht, Aufsichtsbehörden oder Kunden Auskunft zu geben. 

„Operatives Risiko ist der Weg in die Zukunft, in Kombination mit Business-Metriken und verankert in guten Modellen, Methoden und Prozessen.“ 

- Simon Goldsmith, APAC Information Security Officer, Adidas

Umfrageteilnehmer aus kleinen und mittleren Unterneh-men (KMU) sagten dagegen meist, dass ihre betriebliche Relevanz nach wie vor gering sei. Anders als bei größeren Unternehmen wird Sicherheit dort als eine IT-Funktion unter vielen gesehen. Viele Cybersicherheitsbeauftragte dieser kleineren Unternehmen beziehen sich auf traditionelle Risikomessungen wie BIA (Business-Impact-Analyse) und das klassische Instrumentarium von Wiederherstellungspunkten und maximalen Ausfallzeiten (RTO). Da diese Unternehmen überholte Risikomessverfahren verwenden, haben sie möglicherweise keine genaue Vorstellung von den Cyberrisiken, die ihr Unternehmen eingeht – geschweige denn die Datenpunkte, um herauszufinden, was dagegen zu tun ist. 

Die Befragten, von denen diese Beobachtungen stammen, drängen darauf, dass in ihren Unternehmen die Sicherheit ernster genommen wird und dass (Sicherheits-)Risiken tatsächlich als geschäftliche Kennzahlen erfasst werden. 

„Ich glaube, dass das Sicherheitsbewusstsein bei den Leuten gestiegen ist, was wiederum die Sicherheitsteams näher an die Ops-Diskussionen geführt hat.“ 

- John Scrimsher, CISO, Kontoor Brands

Es gibt keinen CISO, der nicht genau wüsste, was er mit mehr Budget täte. Im Top-Management sieht man das aber anders. Dort sieht man hinter Budgetanfragen oft Ausgaben für Technologie – statt für operative und ressourcenbezogene Prioritäten, die ebenso wichtig wären. 

„Firmen müssen ihre Cyberresilienz stärken – mehr proaktiv als reaktiv. Der Schlüssel dazu ist eine mehrstufige Verteidigung, bei der die richtigen Leute und Prozesse wichtiger sind als Technologien.“ 

- Chani Simms, CISO, SHe CISO Exec

Der jetzt geforderte Cybersicherheitsansatz braucht, wie andere Geschäftsfunktionen auch, eine konsequente Ausrichtung auf das betriebliche Risiko. Separate Risikoberichte, die an der operativen Bedeutung ausgerichtet sind, mag es zwar geben, aber trotz Security Posture Frameworks von NIST und MITRE ATT&CK sind alle CISOs ständig auf der Suche nach einem wiederholbaren Branchen-Framework. Ein solches Framework würde Cybersicherheit ausweislich rentabler machen und könnte sich deutlicher an den Sorten von Geschäftsrisiken orientieren, die Führungskräfte verstehen. 

„Cybersicherheit kann jedes Budget verbrauchen, das Sie ihr geben, aber es gibt keinen ROI für das Risiko, das sie managt.“ 

- Matt Stamper, CISO, Evotek

CISOs haben gute Ideen, aber sie müssen auch klar vorgehen und kommunizieren

Die CISO-Rolle wird – zumindest aus sicherer Distanz – oft als kompliziert und technisch angesehen. Aber das Management und die operativ Verantwortlichen im Unternehmen müssen einsehen, dass der Großteil des Schutzes schlicht in der gemeinsamen Nutzung und im Umgang mit Daten aller Art besteht sowie darin, den autorisierten Zugriff zu sichern. 

Datenschutz- und Regulierungsfragen bieten anschauliche Beispiele dafür, inwiefern Cybersicherheit operativ relevant ist. Damit lässt sich das Bewusstsein für die Problematik wecken und in der Folge Unterstützung, Verständnis und Interesse bei Rentabilitätsdiskussionen auf Vorstandsebene. 

Der Unternehmensführung ist normalerweise durchaus bewusst, dass Cybersicherheit von zentraler operativer Bedeutung ist. Allerdings berichteten die CISOs in dieser Studie meist von direkten Fragen zu konkreten Vorfällen vonseiten ihrer CEOs, die wissen wollen, ob dadurch Betrieb und Verfügbarkeit beeinträchtigt würden. Cyberrisiken können die Sicherheit von Kunden-, Mitarbeiter- und Partnerdaten in der Tat unmittelbar gefährden – und das kann dem guten Ruf schaden und den weiteren Erfolg aufs Spiel setzen. 

Unschuldige Sicherheitsprodukte

Eine Aussage, die im Verlauf der Interviews mehrfach von unseren Gesprächspartnern geäußert wurde, betrifft die Wirksamkeit von Cybersicherheitsprodukten: Security-Produkte werden grundsätzlich ohne jede Haftung entwickelt und verkauft. Wenn ein Schuldiger gesucht wird, ist es darum ausnahmslos und immer der CISO. Diese Auskunft wird im Übrigen durch den Report „Cybersecurity Technology Efficacy“ (2020) von Debate Security bestätigt.1 

Frage #2

Hat die Führungsspitze Ihres Unternehmens mit den IT-Sicherheitsteams zu tun (mehr oder weniger)?

Auf diese Frage gab es sehr unterschiedliche Antworten, je nach dem Grad der Beteiligung. 

„Spannend ist: Kommt das stärkere Engagement von der Sicherheit oder vom CISO?“ 

- Andrew Rose, CISO, Vocalink (A Mastercard Company)

 

Den Befragten zufolge sind die Führungsteams bestrebt, enger mit ihren CISOs und Sicherheitsteams zusammenzuarbeiten. Fast zwei Drittel (65 %) der CISOs sehen eine positive Entwicklung hin zu mehr Beteiligung. In beiden Regionen lag das Mittel bei 6,5 bis 6,8, wobei in den USA mehr CISOs (73 %) im oder über dem Durchschnitt lagen. 

Die größere Bedeutung und Reichweite von Sicherheit hat in den letzten 18 Monaten zu einer veränderten Zusammenarbeit geführt. Über Branchen und Unternehmensgrößen hinweg kommen die positiveren Zeichen aus Unternehmen mit flacheren Hierarchien. 

„Ja, sie sind jetzt engagierter – weil wir einen sehr engagierten CEO haben, der Kontext verlangt.“ 

- Anonymous CISO

„Weniger engagiert. Sicherheit rangiert eine Stufe unter Relevanz.“ 

- Nathan Reisdorff, CIO, New England Law

CISOs finden, dass es so einfach sein könnte: dass alle Mitarbeiter, von ganz oben bis ganz unten ein natürliches Interesse an Cybersicherheit haben. Das ist aber nie der Fall. Mehr Engagement hängt vielmehr davon ab, wie sehr die CISOs Druck ausüben und mit überzeugenden Argumenten kommunizieren. Viele der CISOs sind der Ansicht, dass sämtliche Führungskräfte in diesem Punkt noch Luft nach oben haben. 

Diejenigen Befragten, die von einem positiven Engagement berichten, mutmaßen, dass dies direkt vom CEO ausgeht. Diese Unternehmen haben Sicherheitsausschüsse, die sich regelmäßig monatlich und wöchentlich treffen, sich mit anderen operativen Führungskräften (CTO, CIO etc.) austauschen und wertvollen Input für Vorstandssitzungen liefern. 

Mangelndes Verständnis ist ein Hindernis

Einige CISOs berichten, dass Sicherheit immer noch als reine IT-Funktion oder als Kostenfaktor gesehen wird, ohne dass einzelnen Geschäftsrisiken ein konkreter ROI zugeordnet werden könnte. In diesen Unternehmen – und auch dort, wo der CISO direkt dem CIO unterstellt sind – gibt es offenbar zusätzliche Hindernisse, die in erster Linie mit mangelnder Sichtbarkeit zu tun haben und damit, dass die Sicherheitsteams keinen direkten Zugang zum oberen Management bekommen.

Viele CISOs konstatieren, dass Ransomware-Schlagzeilen das Sicherheitsbewusstsein schärfen, was aber oft nicht von Dauer ist oder sich als Lippenbekenntnis herausstellt. Wenn CISOs im Management nachfragen, wie es um das Verhältnis zu den Sicherheitsteams steht, bekommen sie zur Antwort, dass man sich mehr damit beschäftige. Die CISOs selbst finden allerdings keine Beweise dafür. 

Frage #3

Hat sich geändert, wie der Vorstand über Cybersecurity-Schutz denkt und welche Bedeutung er ihm beimisst?

CISOs müssen sich ständig mit unterschiedlichen Ansichten auseinandersetzen, die es im Vorstand zur Frage nach der Bedeutung von Cybersecurity-Schutz gibt.

Während 78 % der CISOs die Frage hoch bewerten (zwischen 6 und 10), glauben nur 10 %, dass sich die Prioritäten und Einstellungen im Vorstand wirklich ein- schneidend geändert haben (9 oder 10). Es ist also noch einiges zu tun. 

„Früher ging es um qualitative Risikobewertung, aber das hat sich geändert, seit der Vorstand von Compliance-Fragen betroffen ist.“ 

- Todd Gordon, Director, Information Security, EisnerAmper LLC

Viele CISOs (69 %) glauben, dass Vorstände, Investoren und CEOs jetzt begreifen, dass Cybervorfälle – und die Berichterstattung darüber – ihnen jederzeit schaden können. Die schärfere Durchsetzung von Vorschriften und die Androhung hoher Geldstrafen bedeuten, dass Cybersicherheit, wenn sie auf diese Anforderungen ausgerichtet ist, eine höhere Top-down-Priorität bekommen und ernster genommen werden muss.

Etliche der befragten CISOs berichten, dass ihr Arbeitgeber keine angemessene Sicherheitskultur hatte, als sie dort anfingen. Um diesen Mangel zu beheben, war ein Programm aus hartnäckiger Kommunikation, soliden Messwerten und andauernder Aufklärung erforderlich. Die CISOs mussten lernen, den Wert von Cybersicherheit auf höchster (Sprach-)Ebene zu vermitteln. In vielen Fällen mussten sie betont konstruktiv argumentieren, sonst wird der Wert von Cybersecurity erst erkannt, wenn das Unternehmen einen Sicherheitsvorfall erlebt.

Im Gegensatz dazu glauben die CISOs, die in Unternehmen arbeiten, deren Vorstände proaktiver eingestellt sind, dass die Führungskräfte an der Spitze die Relevanz und die schädlichen Folgen eines Cybervorfalls für ihr Unternehmen verstehen. 

Proaktive Unternehmen haben sich strategisch auf Sicherheit ausgerichtet und berufen regelmäßige Security-Vorstandssitzungen ein (unter Leitung von CEO oder COO), die Klarheit schaffen, wie der operative Geschäftsbetrieb und die Cybersicherheitsprioritäten

in Einklang zu bringen sind. Diese Vorstände haben
auch ihre persönliche Haftung verstanden und drängen darauf, dass die CISOs enger mit dem Risikomanagement zusammenarbeiten, und zwar sowohl in quantitativer als auch in qualitativer Hinsicht, damit das Unternehmen auf Negativschlagzeilen wirksam und direkt reagieren kann. 

„Ich glaube, dass sich [das Bewusstsein für die Folgen von Cyberangriffen] allmählich ändert, weil eine Kompromittierung weitreichende Auswirkungen auf den Ruf der Marke haben kann. Die Vorstände sind auf Zero-Trust- und Defense-in-Depth-Strategien aufmerksam geworden.“ 

- Royce Markose, CISO, rewardStyle

 

Der mittlere Akzeptanzbereich umfasst die Fälle, in denen sich die Einstellung geändert hat, die CISOs aber immer noch zweifeln, ob Security wirklich Priorität hat. Die meisten dieser CISOs schätzen, dass ihre Unternehmen dafür noch teuer bezahlen werden: wenn ein Sicherheitsleck Ruf und Marke schädigt, weil das Unternehmen nur schlecht vorbereitet auf zuvor ignorierte Gefahren reagieren kann.

Einige Firmen finden trotzdem, dass die Sicherheitsteams heute mit den gleichen Ressourcen auskommen können wie zuvor. Dabei verfügen viele gar nicht über die Tools oder Skills, die sie bräuchten, um auf Vorfälle zu reagieren oder die Folgen für das Unternehmen zu minimieren. Bei halbherzigen oder mangelnden Top-down-Direktiven haben CISOs kein komplettes Bild, das zeigen könnte, was zu schützen ist (einschließlich unbekannter Schatten-IT) und welche Folgen ein Angriff haben kann.

Am unteren Ende der Skala (21 % mit Werten von 1 bis 5) berichten unsere CISOs, dass einige Vorstände nach wie vor davon überzeugt sind, dass sie jeglichem Risiko mit dem gewohnten Security-Management begegnen können. Ein wiederkehrender Kommentar unserer Befragungsgruppe war, dass diese Art von Vorstand Sicherheit nur als Kostenstelle mit niedriger Priorität sehen will, und unter Umständen dementsprechend widerwillig auf die Meldung von Cybersicherheitsproblemen oder -risiken reagiert. Diese Vorstände dürften ihre Einstellung erst nach einem Vorfall ändern (falls sie dann noch Vorstände sind). Von CISO-Seite ist jedoch zu befürchten, dass selbst diese harten Lektionen aus tatsächlichen Sicherheitsvorfällen in Vergessenheit geraten und dass es keine weiteren Investitionen auf Dauer und keinen kulturellen Wandel gibt, sodass das Unternehmen anfällig für weitere Cybervorfälle bleibt.

Wenn die Vorstände Cybersicherheit für ihr Unternehmen priorisieren würden und deren Bedeutung wirklich erfasst hätten – so die Meinung der CISOs unserer Umfrage –, dann müssten sie den Best Practices der CISOs in den größeren Unternehmen folgen und ein Cybersicherheitsgremium unter dem Vorsitz des CEO etablieren. 

Frage #4

Wie wichtig ist Ihnen, dass Cybersicherheit im Vorstand diskutiert wird?

Das Thema „Cybersicherheit und Vorstand“ dürfte einer der Dauerbrenner sein. Obwohl sich die CISOs überwiegend im oberen Bereich (6 bis 10) platziert haben und in beiden Regionen zu gleichen Teilen der Meinung sind, dass Gespräche auf Vorstandsebene Priorität haben sollten, haben die Befragten überraschenderweise doch diametral entgegengesetzte inhaltliche Ansichten. 

„Cybersicherheit ist eines der zahllosen Unternehmensrisiken; wir haben im Vorstand einen Cybersecurity-Ausschuss, dem der CEO vorsitzt.“ 

- Hitesh Patel, Head of Cybersecurity, Cloud Computing & Digital Infrastructure Audit & Risk, Fidelity Investments

Auf der einen Seite gibt es CISOs, die der festen Überzeugung sind, dass Cybersicherheit eines von vielen Risiken darstellt, mit denen alle Unternehmen zu kämpfen haben, und dass die Verantwortung dafür bei der Unternehmensspitze liegt. Wie wir aus früheren Fragen wissen, haben einige CISOs bereits einen Sitz im Vorstand oder arbeiten mit Vorstandsausschüssen zusammen, die sich mit Cybersicherheit befassen, sodass sie die Sicherheitsentscheidungen eskalieren können. 

Der Einzug in den Vorstand war allerdings nirgendwo einfach. Die Mehrheit der CISOs musste darum kämpfen, dem Cybersecurity-Risikomanagement ein eigenes Gremium zu verschaffen – genauso wie andere Kollegen sich zusammensetzen, um rechtliche, finanzielle und personelle Risiken zu besprechen, mit dem gemeinsamen Ziel, Erwartungen festzulegen und KPIs zu vereinbaren. 

„Das muss integraler Bestandteil der Diskussionen über Geschäfts- und Sicherheitsrisiken sein. Der Vorstand sollte über Risiken informiert sein, die Folgen für das Unternehmen und die Aktionäre haben können.“ 

- Scott Goodhart, CISO Emeritus, The AES Corporation

Aus der entgegengesetzten Ecke kommen die CISOs, denen die Diskussion um Cybersicherheit auf Vorstandsebene aktiv wichtig ist, die aber Vorstände grundsätzlich für unfähig halten, die kritische Bedeutung von Cybersecurity für den Geschäftsbetrieb einzusehen, sodass diese sich auf „andere, höhere Prioritäten“ konzentrierten, die direkt mit dem Umsatz zu tun haben. Diese CISOs sind der Meinung, das zeige, wie sehr der Geschäftsführung das Verständnis für Risiken fehlt, die gerade von solchen „höheren Prioritäten“ herrühren, namentlich von der fortschreitenden Digitalisierung. 

„Es ist ein Kompromiss aus Security und Business-Effizienz; also finden wir einen Mittelweg, der uns mehr Flexibilität bei Wirksamkeit und Implementierung abverlangt.“ 

- Ian Dudley, IT Director, DriveTech

Die CISOs sehen, dass es Reifegradmodelle gibt, die aus Governance-Perspektive geeignet sind, ebenso international standardisierte Reifegrad- und Risiko-Frameworks, aber sie finden kein akzeptiertes Cybersicherheitsrahmenwerk für Governance auf Vorstandsebene. Dieser Mangel eröffnet verstockteren Führungskräften einen leichten Weg, sich Veränderungen zu widersetzen.

Unsere Interviewpartner weisen zu Recht darauf hin, dass die Gefahr von Cyberangriffen nahezu ständig besteht. In krassem Gegensatz dazu sind andere Posten im Risikomanagement – z. B. Sachschäden, Währungsschwankungen oder Produktrückrufe – weit weniger häufig. 

„Der Informationsfluss sollte in beide Richtungen gehen, nicht nur vom CISO zum Vorstand. Der Vorstand sollte eine Erwartungshaltung schaffen und dem Unternehmen beibringen, welche Arten von Fragen es beantwortet haben möchte.“ 

- Gene Zafrin, CISO, Renaissance Re

 

Ein weiterer wenig förderlicher Faktor, der immer wieder auftaucht, sind die Medien mit ihrer oft reißerischen (aber selten präzisen) Berichterstattung. Vorstandsmitglieder lassen sich dann von der vermeintlichen Komplexität vielleicht abschrecken. Darüber hinaus kann die Kombination aus Reporting und der Unfähigkeit, an die CISOs einfach „abzuregeln“, eine Situation schaffen, in der es schwierig wird, die Effektivität von Cybersicherheitsmaßnahmen zu verfolgen. Das gebannte Starren auf die jüngsten Schlagzeilen – ohne Kenntnis davon, wie sie mit dem Geschäftsrisiko zusammenhängen – kann es nichttechnischen Führungskräften schwer machen, sich auf Cybersicherheitsfragen einzulassen. Gleichwohl ist aber auch nichttechnischen Führungskräften bewusst, dass größte Vorsicht (Stichwort: Zero Trust) dazu beiträgt, Verbraucher, Mitarbeiter und Geschäftspartner zu schützen. Diese Erkenntnis legt nahe, dass die halbe Schlacht bereits gewonnen ist; aber es ist noch ein gutes Stück Weg, bis manche nichttechnischen Parteien auch für andere Cybersicherheitsbelange gewonnen sind.

Wenn jemand aus dem Vorstand fragt: „Wie sicher sind unsere Systeme?“, glauben CISOs, dass eine umfassende Antwort gewünscht wird, mit allen Risikofaktoren und vollem Verständnis für die Implikationen. In Wahrheit können Security-Laien damit gar nichts anfangen.

Die CISOs beider Lager müssen daran arbeiten, den Vorstand zu informieren und eine Beteiligung anzuregen, die zu tieferem Verständnis, belastbaren Messungen und einer besseren Sichtbarkeit der operativen Risiken führt, die mit Cyberangriffen bzw. -vorfällen verbunden sind. Die Vorstandsmitglieder wiederum könnten die Digitalkompetenz besser würdigen, die in modernen Unternehmen erforderlich ist (und damit auch für die modernen Bedrohungen, für die sie anfällig sind). 

„Die glauben, dass sie die Antwort auf diese Frage wollen: ‚Wie sicher ist unser System?‘ Aber jede Antwort unter 100%, sagt ihnen gar nichts. Was sie wirklich wissen wollen, ist dies: ‚Tun wir genug?‘ Die Antwort liegt darin, wie sehr man Ihnen vertraut.“ 

- Andrew Rose, CISO, Vocalink (A Mastercard Company)

Die Kommunikation zwischen CISO und Vorstand darf kein Monolog sein, keine einseitige Bitte um Vertrauen. Regelmäßige Gespräche sind unerlässlich, damit Messungen abgesprochen werden können. Diese Gespräche müssen offen und auf den Punkt sein, in einer Sprache, die klar verständlich ist. Hat man diese Art des Dialogs einmal etabliert, so wird daraus ein direkter Kanal zu kontinuierlicher Leistungsüberwachung und höherem Gesamtgewinn. Das kann dazu führen, dass sich auch andere Mitarbeiter stärker engagieren und mögliche Sicherheitsprobleme ansprechen. Das könnte einen Wandel von Silo-Sicherheit zu eher proaktiven Business-Teamplayern im gesamten Unternehmen bedeuten. 

Frage #5

Wird Cybersicherheit in Ihrem Unternehmen als Business Enabler oder als Verfahren der Risikominimierung behandelt?

Jeder CISO würde gerne die Schranken der Cybersicherheit durchbrechen und lieber dazu beitragen, dem Unternehmen neue Business-Chancen zu eröffnen. Bei dieser Studie wurde jedoch deutlich, dass dies ein frommer Wunsch ist. Die Mehrheit (72 %) der CISOs lag hier beim Durchschnitt (7,9) und sieht Cybersicherheit weiterhin als Risikominderungsmaßnahme des Unternehmens. Nur etwa ein Fünftel der CISOs verzeichnet Fortschritte beim Wandel der Wahrnehmung in Richtung Business Enabler. Und niemand der Befragten glaubt, dass dieser Wechsel bereits vollzogen sei: Der Wertungsbereich von 1 bis 4 bleibt leer. Der allgemeine Eindruck ist, dass die Ausrichtung an Business Enablement in der Mehrheit der Unternehmen ein Wunschtraum bleibt.

Es scheint, dass CISOs und ihre CEOs Cybersicherheit überwiegend (79 %) als Risikominderung oder Compliance-Maßnahme sehen. Im besten Fall wird Cybersecurity, wenn sie um ihre Meinung gefragt wird, im Rahmen des unternehmensweiten Risikomanagements betrachtet; ihre primäre Aufgabe besteht dann weniger darin, Positives beizutragen, als Negatives abzuwenden. Es gibt eine ganz kleine Zahl von besonderen Branchenfällen, z. B. bei Anwaltskanzleien und vergleichbaren Dienstleistern, die als Business Enabler Cybermehrwertdienste (SOC 2) anbieten können. 

Für manche Unternehmen ist Compliance erst der Anfang

In diesem Kontext wird gute Sicherheit als Business Enabler gezählt, weil sie ein positiver Compliance-Faktor ist. Ein Beispiel wäre SOC 2 (Service Organization Controls); das Framework betrifft Technologieunternehmen, die Kundendaten in der Cloud speichern, z. B. personenbezogene Daten (Personally Identifiable Information/PII), Gesundheitsdaten (Protected Health Information/PHI) und Kreditkarteninformationen (PCI-Daten). In diesen Fällen ist SOC 2 eine der gängigsten rechtlichen Compliance-Vorgaben, die Technologieunternehmen heute erfüllen müssen. Andere Compliance-Anforderungen hängen vom jeweiligen Standort ab. 

Die Befragten stimmten darin überein, dass es intern eine Art von Missverständnis gibt, bei dem Einzelne Cybersicherheit als Business Enabler interpretieren, und zwar ausschließlich dann, wenn bei einem Projektstart ein erhöhtes Sicherheitsbewusstsein verzeichnet und das Security-Team einbezogen wird – die Projektleitung liegt allerdings weiterhin beim IT-Team. Die C-Kollegen auf Augenhöhe akzeptieren zwar, dass ein Cybervorfall den Geschäftsbetrieb ganz oder zum Teil lahmlegen könnte, aber sie wollen sich nicht mit einem Security-by-Design-Vorgehen anfreunden, das Kunden und Geschäftspartner neugierig machen könnte. Wo allerdings starke Cybermaßnahmen zur Eindämmung von Angriffen kombiniert werden, sind Security-by-Design-Unternehmen ganz korrekt auf Business Enablement ausgerichtet. 

„Im Moment ist [Cybersicherheit] Risikominderung. Das Unternehmen beginnt zwar zu verstehen, wie sie Business Enabler sein könnte, aber sie liegt derzeit nicht im Innovationsbereich.“ 

- Mauro Israel, Corporate CISO, ORPEA Group

Vermitteln, was Cybersicherheit wert ist

Außer im Fall eines erfolgreich eingegrenzten Angriffs haben Cybersicherheitslösungen keinen unmittelbaren, nachweisbaren ROI. Der finanzielle Nutzen liegt darin, dass das Unternehmen kein Ransomware-Lösegeld und keine Geldbußen zahlen muss und nach einer Sicherheitsverletzung nicht das Vertrauen der Kunden verliert.

Die Vorstellung, dass Cybersicherheit ein Kostenfaktor für das Geschäft ist, statt der Preis des Geschäfts, fällt also nur allzu leicht. Folglich besteht Bedarf an einem besseren Verständnis und an einer besseren Anwendung von Cybersecurity auf das Geschäft. 

„Unsere SOC-2-Zertifizierung bietet einen guten Standard und eine gute Prüfung [...]. Trotzdem wird die Risikominderung immer noch betont; unser Vorstand muss verstehen, wie wir damit umgehen.“ 

- Todd Gordon, Director Information Security, EisnerAmper LLC

Wir haben schon notiert, wie man nichttechnische Mitarbeiter dazu bringen kann, die Vorteile einer sichereren Systemumgebung mit Schutzvorkehrungen für E-Mail, Internet, Identitäten und Datenzugriff einzusehen. Aber nur sehr wenige CISOs – egal wie erfahren und versiert sie sind – wissen wirklich, wie man Cybersicherheit einsetzen könnte, um neue Geschäftschancen zu eröffnen.

Die gute Nachricht ist: Viele CISOs sind offen für diese Zusammenhänge und interessieren sich dafür, wie sie die Budgetverhandlungen leichter machen und dem Eindruck entgegentreten könnten, dass ihre Rolle samt den damit verbundenen Technologien nur Kosten für das Unternehmen bedeute. 

Wie wichtig ist für Sie die Reaktion auf Cybersecurity-Meldungen in den Medien?

„Es ist wichtig, dass man sich über neue Bedrohungen informiert. Aber man sollte alles hinterfragen.“ 

- Todd Gordon, Director, Information Security, EisnerAmper LLC

CISOs sehen die Medienberichterstattung über Cybersicherheitsvorfälle als zweischneidiges Schwert: Sie ist hilfreich, lenkt aber auch ab. Wenn die Nachrichten für ihre Branche relevant sind, können CISOs die Fakten sortieren und in den eigenen Zusammenhang einordnen. Für viele der Befragten sind die meisten Medienberichte jedoch entweder zu überspitzt oder einfach eine Reportagemasche, die sich endlos wiederholt. Das zeigt sich auch darin, dass die Hälfte der CISOs, mit denen wir sprachen, auf diese Frage eine Antwort im mittleren Bereich (4 bis 6) abgab. Allerdings: In den USA tendieren 64% der CISOs mit Werten zwischen 7 und 10 in Richtung „sehr wichtig“, also dreimal so viel wie in Europa, wo nur 21% in diesem Bereich liegen. 

„News können helfen – und ablenken. Wir nutzen mehr Bedrohungsinformationen als News. Wenn etwas in meiner Branche stattfindet, müssen wir verstehen, wie es uns betreffen könnte.“ 

- Hitesh Patel, Head of Cybersecurity, Cloud Computing & Digital Infrastructure Audit & Risk, Fidelity Investments

Die richtige Sorte Berichterstattung sorgt für Umsatz bei Security-Unternehmen

Eine Ausnahme war die ausführliche Berichterstattung über WannaCry. Dass die Ransomware branchenübergreifend zuschlug, war vielen CISOs ein unsanfter Anstoß, ihren Fokus zu erweitern und die Risiken für ihr Unternehmen abzuschätzen.

Die Mehrheit der CISOs zeigte sich jedoch enttäuscht von der Sensationsmache und wünschte sich mehr sachlichen Inhalt, mehr Informationen über die Quelle des Angriffs, die konkreten Folgen für die Betroffenen und über die Gegenmaßnahmen von Opfern und Ermittlungsbehörden. 

„Sehen Sie zu, wie Sie sich zu einer Meldung genauer informieren können, prüfen Sie, ob Sie damit das Wissen über Cybersicherheit im Unternehmen erweitern könnten, und reagieren Sie intern mit einem Schulungstraining.“ 

- Scott Goodhart, CISO Emeritus, The AES Corporation

Unabhängig von der Intention der Autoren wird die Medienberichterstattung auch von CEOs wahrgenommen und interpretiert, die immer öfter verstehen wollen, was derartige Angriffe für ihr Unternehmen bedeuten. Reißerische Schlagzeilen der Publikumspresse sorgen vielleicht für Aufmerksamkeit, aber für CISOs sind sie Zeitverschwendung, wenn sie nicht zu handfesten Informationen und nützlichen, umsetzbaren Erkenntnissen führen. Oft werfen solche Berichte mehr Fragen auf, als sie beantworten. CISOs aber brauchen Lösungen, Ideen und Wissen. Sie werden sich nicht an einen anderen oder einen weiteren Sicherheitsanbieter wenden, ohne dass es einen hinreichenden Grund dafür gibt.

Wo müssen Security-Unternehmen also ansetzen,
um Interesse an ihren Lösungen zu wecken? CISOs nutzen vor allem Open-Source-Newsfeeds anerkannter Experten (und weniger Massenmedien), sie brauchen einen informativen Reality-Check, der die Tools und Vorgehensweisen der Angreifer adäquat beschreibt. Sie lehnen die allgemeine Berichterstattung zwar nicht völlig ab, würden die Fachjournalisten aber bitten, lieber ein spürbares Bewusstsein für Cybersicherheit zu wecken, anstatt nur Schlagzeilen zu machen. 

Frage #6

Verstehen Ihre (Nicht-IT-) Kollegen, inwiefern Cybergefahren eine Bedrohung für ihren Aufgabenbereich darstellen?

Es klafft immer noch eine Lücke zwischen den Aufgaben der Sicherheit und den Aufgaben des Geschäfts – und das erfordert schwierige Gespräche und viel Aufklärung. Manche Führungskräfte glauben, dass ein Cyberangriff mit Phishing gleichzusetzen sei und dass alles gut ist, sobald der Versuch automatisch entdeckt oder durch das Misstrauen eines Mitarbeiters erkannt wird. 

„Ich denke, sie verstehen die Bedrohung bis zu einem gewissen Grad, aber es ist ein kontinuierliches Lernen. Sie verstehen nicht immer die mögliche(n) Folge(n), also muss der CISO ihnen das erklären – ein wichtiger Bildungsprozess. Jeder muss in seinem Bereich Verantwortung übernehmen.“ 

- Scott Goodhart, CISO Emeritus, The AES Corporation

Insgesamt glauben die CISOs mehrheitlich (73 %), dass in ihren Unternehmen das Bewusstsein für Cybersicherheit und deren Auswirkungen zugenommen hat – obwohl kein CISO hier Spitzenwerte gibt (9 oder 10). Die größte Kluft, die es in Bezug auf den Wert von Sicherheit für den Geschäftserfolg zu überwinden gilt, tut sich in der Diskussion zwischen der technologischen Seite und den Fachabteilungen auf, mit dem CISO auf der einen Seite und den übrigen C-Entscheidern auf der anderen. Die CISOs in größeren Unternehmen fädeln sich auch in geschäftliche Besprechungen ein, die nicht sicherheitsbezogen sind, sondern Planungen, die Kundenakquise oder Regulierungen betreffen – auf diese Weise übernehmen sie den Business-Tonfall in ihre Argumentation und können Security leichter als kritische Komponente des Unternehmenswachstums positionieren. 

Security-Teams rühren gerne die Werbetrommel, wenn es um Angriffsvektoren und Vorfälle geht, die sie erfolgreich entschärft haben, aber die nichttechnischen Kollegen begeistert das meist wenig. Schlimmer noch: Sie tun manchmal so, als würden sie es verstehen, und pflichten einfach bei, aber ohne den wirklichen Nutzen zu begreifen, der sich aus diesen Security-Erfolgsgeschichten für ihre eigenen Verantwortlichkeiten ergibt. Ein CISO sagte es so: „Manche verstehen es wirklich. Manche tun so, als würden sie es verstehen. Manchen ist es egal.“ 

„Wir haben ein Security-Awareness-Programm und gehen damit das schwächste Glied in der Kette an. Wir können ein starkes System bauen, aber keine Personenkontrolle. Menschen sollten ihren Teil der Verantwortung verstehen.“

- Hitesh Patel, Head of Cybersecurity, Cloud Computing & Digital Infrastructure Audit & Risk, Fidelity Investments

Die Vorteile einer Sicherheitssatzung

In Unternehmen mit einer „offenen Kultur“ ist die Chance größer, dass andere Abteilungen Sicherheit in ihrer Bedeutung für den jeweiligen Aufgabenbereich verstanden wird. Diese Unternehmen haben oft eine Sicherheitssatzung (Security Charter) eingeführt, damit allen Positionen des Unternehmens die Relevanz von Security für die betriebliche Effizienz bewusst ist.

Es handelt sich dabei nie um eine einmalige Übung, sondern um einen kontinuierlichen Prozess, der das Ziel hat, bewusste Handlungen zu prägen und Mitarbeiter vor der Versuchung zu bewahren, Workarounds zu suchen, wenn sie finden, dass die Sicherheitsvorkehrungen bei ihrer Arbeit hinderlich sind. 

Aus der Sicht von F-Secure Countercept

Der CISO und sein Team können Sicherheitsrichtlinien festlegen, so lange sie wollen, aber es braucht alle im Unternehmen, damit sie auch funktionieren – und am meisten die Mitglieder des Vorstands. Eine der am meisten unterschätzten, aber wertvollsten CISO-Aufgaben besteht darin, den Rest des Unternehmens dazu zu bringen, die Bedeutung von Cybersicherheit einzusehen.

Der Erfolg – oder Misserfolg – dieser Kommunikation hängt oft von der Art und Weise ab, wie CISOs mit ihren Vorstandsdirektoren über Risiken kommunizieren. Es gibt aber noch zwei weitere Herausforderungen. 

Verantwortung für Risiken tragen

Alle im Unternehmen zu überzeugen (oder zu verpflichten), ist eine Aufgabe, die größer ist als der CISO und sein Team – es ist eine Sache für den Vorstand. Von dort aus müssen alle davon überzeugt werden, dass sie für die Sicherheit ihres Teils Verantwortung übernehmen.

Das Problem an diesem Szenario ist nur, dass es utopisch ist. Man sollte es aber trotzdem anstreben. Es hilft schon, wenn man herausfindet und ausprobiert, wie sich Mitarbeitern und Führungskräften die Bedeutung guter Sicherheit am besten vermitteln lässt. Häufig beschränkt sich Cybersecurity Awareness auf die jährlichen, obligatorischen Schulungen – und das muss sich ändern. Ansprechende, gut verständliche Trainings anzubieten, die dennoch die Bedeutung der vermittelten Inhalte nicht schmälern, ist keine leichte Aufgabe – aber eine, die zu schaffen ist. Sicherheitsanbieter tun das regelmäßig, aber nur wenige Kunden, obwohl sie für deren Dienste bezahlen, bitten sie dabei um Unterstützung. 

Risiken kommunizieren

Die andere Seite ist das Erkennen und Kommunizieren der Risiken. Im Laufe der Jahre wurde schon oft versucht, herauszufinden, wie sich Cybersicherheitsrisiken am besten definieren, bewerten und effektiv eingrenzen lassen, aber keiner dieser Versuche war besonders erfolgreich. Das liegt daran, wie wir als Spezies Risiken einschätzen. Dennoch sind alle drei Dinge wichtig, wenn es darum geht, herauszufinden, ob ein Produkt, ein Unternehmen oder eine Dienstleistung zur Lösung eines bestimmten Problems beitragen kann. Etliche der Tools und Frameworks, mit denen sich die Kontrollen, die eine Organisation hat und haben sollte, bewerten lassen (zwei Beispiele sind die Cyber Defense Matrix des NIST2 und MITRE ATT&CK3), sind hilfreich, aber keine Patentlösung zur Risikobewertung im konkreten Einzelfall.

Damit wären wir bei einer weiteren Aufgabe: Selbst wenn ein Unternehmen die Risiken, denen es ausgesetzt ist, identifizieren und quantifizieren kann, ist noch nicht gesagt, dass es auch den eigenen Reifegrad im Umgang mit diesen Risiken einschätzen kann. Zum Teil liegt dies daran, dass Lösungsanbieter die Wirksamkeit ihrer Produkte oder Services überbewerten. Regelmäßige Red-Team-Manöver mit den Sicherheitsanbietern (und deren Einbeziehung in die Nachbesprechung) können hier Abhilfe schaffen, ebenso wie die Option von Purple Teams4 und eine Zusammenfassung der Ergebnisse. 

Risikoausgleich einkaufen

Das Verständnis und die Kommunikation der Risiken sowie die Einordnung im Kontext des Reifegrads zeigen am Ende oft, dass das Unternehmen mit mehr als nur einem Loch in der Verteidigung dasteht, das es zu stopfen gilt – und zwar schnell.

Wer sich an dieser Stelle mit einer langen Einkaufsliste zum frisch belehrten Vorstand aufmacht, muss immer noch Überzeugungsarbeit leisten, besonders wenn man bedenkt, wie die Ausgaben für Sicherheit oft dargestellt werden: Man sieht sie als Kostenpunkt. Kostenvermeidung oder gar der potenzielle Mehrwert fallen dabei unter den Tisch. Dies liegt zum Teil daran, wie wir Risiken bei Gewinn und Verlust bewerten, außerdem lassen wir unser Urteil manchmal durch die Wortwahl verzerren, die für Wahrscheinlichkeiten von Risiko, Verlust und Gewinn verwendet wird. Kurzum:5 Investitionen in Sicherheit werden oft als eindeutiger Verlust (als Kosten) dargestellt, während das Risiko, das darin liegt, nicht zu investieren, „nur“ ein wahrscheinlicher Verlust ist. 

Managed Threat Hunting Service, 24/7 mit F-Secure Countercept

Zur Methodik

Autor dieser von F-Secure publizierten Studie ist Kevin Bailey, unabhängiger Cybersicherheitsanalyst von Synergy Six Degrees im Auftrag von Omnisperience.

Finanziert wurde dieser Report von F-Secure, alle Interviewpartner haben aus freien Stücken dazu beigetragen. Die qualitativen Inter- views wurden ohne Einfluss von Sponsorseite geführt. Die gesamte redaktionelle Kontrolle lag beim Autor. 

Interviews

Zwischen Juli und September 2020 wurden 28 Interviews geführt, 23 davon als Einzelgespräche, fünf Befragte gaben ihre Antworten auf Fragebögen ab, alle auf vertraulicher Basis. Der Auftraggeber hatte zu keinem Zeitpunkt Kenntnis von der vollständigen Liste der Interviewpartner.

Alle Zitate und Zuschreibungen wurden vom Autor nach Abschluss aller Interviews eingeholt. Diese Vorgehensweise wurde gewählt, damit die Befragten freimütig antworten konnten. Aufbau und Vorgehen bei der Befragung wurden so gestaltet, dass Befangen- heiten vermieden wurden, und wo die Gefahr einer solchen bestand, wurde dies im Interview ausdrücklich angesprochen. Nur drei der Befragten waren zum Zeitpunkt der Studie bereits Kunden von F-Secure.

Jedes Interview dauerte mindestens eine Stunde, die meisten davon etwa 90 Minuten, viele führten zu Folgegesprächen, in denen die Ergebnisse der Untersuchung diskutiert wurden. 

Kohorte

Die Auswahl der Interviewpartner wurde nach Fachkenntnis getroffen, und zwar so, dass sich ein ausgewogenes Set von Inputs ergab. Der Autor stand in keinerlei geschäftlicher Beziehung zu den Interviewpartnern. Den Teilnehmern wurde versichert, dass der Report ihre Antworten weder direkt noch indirekt so darstellt, als würden sie Sponsorprodukte oder -Services empfehlen oder diskutieren. Die mit der Kohorte abgedeckten Rollen umfassen CISOs (oder gleichwertige Titel), Heads of Cyber Security, Directors of Information Security und Heads of Threat Intelligence. Finanzdienstleister sind die am stärksten vertretene Teilgruppe. 

Vorgehen

28 qualitative Interviews, gestützt durch ausgewählte quantitative Datenpunkte, um dem Forschungsgegenstand konkreten Realitätsbezug zu sichern. 

Erhebungszeitraum
Juli bis September 2020

Geografie
Europa: 14
USA: 14

Branchen
Finanzwesen
Energie
Rohstoffhandel
Dienstleister
Fertigung
Maschinenbau
Gesundheitswesen
Bildungswesen
Digitale Plattformen
Telekommunikation
Cybersicherheit
Buchhaltung
Lebensmittel 

     

 

Title
CISO - Chief Information Security Officer
CSO - Chief Security Officer
CIO - Chief Information Officer
Director of Security & Privacy
Director IM and Security
Director Information Security
IT Director
IT Security Manager

Kapitel #1

Führungsposition Effektive Security

Die wichtigsten Prioritäten der Studienteilnehmer in den letzten 18 Monaten

Jetzt lesen

Kapitel #3

Die Angriffsfläche der Cyber-Bedrohungen

Was die Angreifer vorhaben - und was CISOs nachts wach hält

Jetzt lesen

Kapitel #4

Cyber beeinflusst den Wandel

Wie veränderte Bedrohungen Unternehmen und CISO zum Wandel zwingen

Jetzt lesen