DAS ZEITALTER DER CISOS


Kapitel 1: Führungsposition Effektive Security

EINFÜHRUNG

Die Rolle des Chief Information Security Officers (CISO) ist vor nicht ganz 30 Jahren wie aus dem Nichts entstanden und seitdem schnell gewachsen und gereift. Zuletzt hat sie einen gewaltigen Schub erlebt.

Die jüngsten Ereignisse haben die Informationssicherheit – konkret die CISOs mit ihren Teams und Zulieferern – ins Rampenlicht gerückt. Und plötzlich sind Cyberprofis überall gern gesehen.

Doch dieser Aufstieg zu Relevanz, Vertrauen und Anerkennung bringt auch neue Belastungen mit sich, neue Prioritäten, die Notwendigkeit, Soft Skills zu entwickeln, sowie viele neue Verantwortlichkeiten und Zuständigkeiten.

Eine der größten Aufgaben besteht derzeit darin, als operativer CISO effizient zu bleiben. Neuer Druck, den man aushalten muss, neue Anforderungen und Wünsche, denen man gerecht werden soll – all dies dehnt die bisherige CISO-Rolle in mehrere Richtungen zugleich aus. Diese schöne neue Welt ist gespickt mit Herausforderungen – persönlichen, politischen und menschlichen sowie nicht zuletzt technischen.

Dieses Kapitel umreißt, wie sich die CISO-Rollen in den letzten 12 bis 18 Monaten verändert haben. 

Frage 1

Haben sich die Aufgaben ihrer Rolle in den letzten 12 bis 18 Monaten geändert? Mussten sie neue Skills erwerben?

Seit die Citi Corporation 1994 den ersten Cybersicher- heitsbeauftragten berief, hat sich die CISO-Rolle gewaltig verändert. Das Jahr 2020 hat gezeigt, wie geschickt CISOs reagieren, wenn der laufende Geschäftsbetrieb in Gefahr ist und sich die Schutz- und Security-Aufgaben weiter auffächern als je zuvor.

Die Routinen und Qualifikationen der CISOs haben sich in den vergangenen 18 Monaten nicht wesentlich verändert – anders sieht es bei den Verantwortlichkeiten und Prioritäten aus, die sich deutlich verschoben haben: Sicherheit ist nun nicht mehr ein separates Handlungs- feld, sondern eng gekoppelt an das Tagesgeschäft. Die CISOs sind sich durchweg einig darin, welche Punkte sich vor allem geändert haben: erstens „Risiko“, das jetzt zur Hauptverantwortung geworden ist, zweitens die Gewichtung von technischen Fähigkeiten gegenüber der Beherrschung/Anwendung von „Soft Skills“.

Die Veränderungen in Rolle und Verantwortlich- keiten sind diesseits und jenseits des Atlantik ähnlich; Unterschiede gibt es vor allem in Bezug auf die Unternehmensgröße.

Wie die CISO-Rolle gestaltet ist, hängt oft mehr von der Größe des Unternehmens ab als von den Risiken. Die Leitung der Cybersicherheit in kleineren Unternehmen ist tendenziell multidisziplinär ausgerichtet – oft genug in Gestalt der IT-Direktion persönlich. Die Rolle umfasst nicht nur IT-Sicherheit, sondern auch Teile des IT-Betriebs oder den Helpdesk. Größere Firmen haben mehr Ressourcen und bieten daher eher die Möglichkeit der Spezialisierung. CISOs können sich dann stärker auf die Risikominimierung konzentrieren und mit dem Top- Management in Kontakt bleiben.

In den letzten 18 Monaten sahen sich CISOs dazu gezwungen, ihre technischen und geschäftlichen Skills neu auszurichten und neu auszubalancieren. CISOs von Unternehmen, die routinemäßig mit großen Mengen personenbezogener Daten umgehen, sind sich der Verantwortung bewusst, die damit verbunden ist. 

Dasselbe gilt für alle, deren Datenverarbeitung einer Regulierung unterliegt, denn bei mangelhafter Compliance haftet die Geschäftsführung zum Teil mit erheblichen Beträgen. CISOs in den USA (59 %) und in Europa (57 %) geben daher an, dass die Verantwortung ihrer Rolle in Bezug auf Regulierung und Datenschutz deutlich gestiegen ist. Die potenziellen Strafzahlungen, die manche regulatorische Bestimmungen mit sich bringen, sind ein starker Treiber dafür, dass sich CISOs bemühen, die Cybersicherheitsrisiken in das ERM-Framework (Enterprise Risk Management) einzupassen.

Dass es in den USA keine bundesweite Regulierung und Datenschutzkontrolle gibt, hat das Leben vieler Befragter noch komplexer gemacht. Sie müssen der veränderten Gesetzeslage – etwa dem California Consumer Privacy Act (CCPA) oder in Illinois dem Biometric Information Privacy Act (BIPA) – ebenso gerecht werden wie den Regelungen der Federal Trade Commission (FTC) und branchenspezifischen Bestimmungen. Demgegenüber fällt es den CISOs in Europa, wo die Regulierung einheitlich stattfindet, offenbar etwas leichter, EU-Vorschriften über mehrere Mitgliedsstaaten hinweg zu implementie- ren. Anzumerken ist, dass diese zentrale Gesetzgebung unterschiedlich in nationales Recht umgesetzt wird und dass auch die Aufsichtsbehörden unterschiedlich vorgehen.

Viele CISOs tragen außerdem globale Verantwortung und betonen, dass der Datenschutz auch im asiatisch- pazifischen Raum verstärkt durchgesetzt wird. Sowohl der Personal Information Protection Act (PIPA) in Südkorea und der Act on the Protection of Personal Information (APPI) mit My Number in Japan als auch das bevorstehende Personal Data Protection Law (PDPL) in China sehen regelmäßige Audits und empfindliche Strafen bei Nichtkonformität vor. 

Die Verantwortung beschreiben die befragten Experten als eine stärkere Konzentration auf Geschäftsfortführung und BCP-Richtlinien (Business Continuity Planning) sowie als ein neues Verhältnis zum Unternehmen, zum laufenden Betrieb und zur Sicherheit aus betriebs- wirtschaftlicher Perspektive. Aus unseren Gesprächen geht hervor, dass sie stärker auf Business Impact Analysis (BIA) setzen und untersuchen, inwieweit das Geschäft auf bestimmte Technologien angewiesen ist – und dann die erforderlichen Sicherheitskontrollen evaluieren. 

„Es geht um Risiken. CISOs sollten keine Entscheidungen treffen, die dann in die Verantwortung anderer fallen.“ 

- Matt Stamper, CISO, Evotek

Viele CISOs sagten uns, dass sie im Unternehmen jetzt weniger als „interne Sicherheitsberater“ gesehen würden, die sich auf den Schutz von Vermögenswerten und Personal konzentrieren, denn als „operative Sicherheitsbeauftragte“. Daraus ergibt sich eine neue Herausforderung: Die Kollegen gehen davon aus, dass die CISOs auf die Bedürfnisse aller Abteilungen Rücksicht nehmen, und sehen sich selbst nicht in der Pflicht, die Implikationen von Cybersicherheit zu verstehen.

Was viele Antwortgeber sehr beschäftigt, ist, dass der CISO-Rolle nicht die Bedeutung beigemessen wird, die sie als geschäftskritische Funktion hat – sie wird weiterhin im mittleren Management angesiedelt und ist in Gefahr, wenn sie nicht als direkter CEO-Ratgeber geschätzt wird. Dies könnte bedeuten, dass der CISO irgendwann im Datenschutzbeauftragten aufgeht, als Branchenspezialist endet (Betrugsprävention, SCADA, etc.) oder in einer operativen Rolle.

Unseren Interviewpartnern ist bewusst, dass die Sicher- heitslandschaft ein breiteres Feld geworden ist und dass Cyberkriminelle kompetenter geworden sind, mehr Fähigkeiten haben und größere Attacken reiten. Den Experten ist auch klar, dass Cybersicherheitsspezialisten eine rare Ressource sind, und zwar unabhängig von der Berufserfahrung. Daher sind sie gezwungen, sich mehr im Talentmanagement zu engagieren. Das zeigt, wie wichtig es geworden ist, das Personal zu fördern und zu halten – sonst riskiert man den Verlust von Wissen, Talent und Erfahrung, die nur schwer zu ersetzen sind. 

„Die Betriebswirtschaft horcht auf und fängt an, Fragen zu stellen. Während CISOs sich sonst technisch ausdrücken, verlangt man von ihnen jetzt mehr Business-Sprech.“ 

- David Lello, CISO, Burning Tree

Je nach Unternehmensgröße sind die Cyberführungskräfte zunehmend gefordert, nicht nur auf technischer, sondern mehr auf geschäftlicher Ebene beizutragen. Das Streben nach Kosteneffizienz, Leistungssteigerung und verbesserter Customer Experience hat CISOs dazu geführt oder genötigt, sich über den Bereich Cybersicherheit hinaus weiterzubilden, damit sie besser verstehen, wie ihr Unternehmen in digitalen Märkten wettbewerbsfähig bleiben, Bestandskunden halten und neue Kunden gewinnen kann. Viele der Interviewpartner sagten, dass sie so dazu gelangt seien, Cloud Computing positiver zu sehen, sowohl in Bezug auf die IT-Infrastruktur als auch für Geschäftsanwendungen. Angesichts der zunehmenden Bedeutung der Cloud für den Erfolg vieler Unternehmen ist das praktisch ein Muss. 

Frage 2

Mussten Sie sich zu Cloud-Sicherheit, Gerätewildwuchs, RPA, KI, ML, Analytik, Threat Intelligence etc. weiterbilden?

Mit überwältigender Mehrheit (71 %) geben die Befragten an, dass sie Zeit investiert haben, sich über neue (digitale) Technologien zu informieren. Zu den interessanteren Themen gehören Operational Technology (OT) in der Fertigung, die potenzielle Angriffsflächen bietet, aber auch die Weiterentwicklung der Lieferketten sowie die geschäftskritischen Archiekturen der Unternehmenskommunikation.

Wenig bis gar kein Feedback gab es zum Thema IoT-Geräte und deren praktischen Auswirkungen. Das Internet of Things scheint für Security-Teams noch Neuland zu sein. Das es wichtig sei, die Signal-/Rauschpegel dieser Geräte richtig zu interpretieren, wurde allgemein erkannt. 

„Wir beschäftigen uns intensiv mit Sicherheitsanalyse, weil wir fundierte Entscheidungen treffen wollen. Früher haben wir auf SIEM- Alerts reagiert, jetzt brauchen wir für die Analytik ein neues Skill-Set.“ 

- Leo Cronin, CSO, Cincinnati Bell

Die CISOs sind mehrheitlich eifrige Leser, die mit Fachliteratur und Studien ihr Wissen erweitern und ein Themagründlich studieren, bevor sie Technologien oder Richtlinien für ihr Unternehmen erwägen. Dabei zeigte sich eine Reihe von relevanten Themen, von Datenschutz und DevSecOps über Vorfallreaktion und Preparation Modeling bis zur Datenvisualisierung. 

Das Bedürfnis nach Fortbildung umfasst auch neue und aktualisierte Frameworks wie NIST und MITRE ATT&CK. Viele der CISOs, mit denen wir sprachen, zeigten sich unsicher, ob sie hier auf noch dem letzten Stand seien – und welche Folgen das für die eigene Karriere haben könnte. Diese Sorge bezieht sich nicht nur auf den technologischen Wandel, sondern auch auf die Wechselwirkungen von Cybersicherheit mit Regulierung und Datenschutz, die in den Vorstandsetagen zentrale Themen sind.

Wie nachdrücklich CISOs sich mit Cloud-Technologien vertraut machen und ihr Wissen hierzu erweitern, hat uns bei den Interviews immer wieder erstaunt. Lange Zeit haben viele CISOs die Cloud lediglich als Kontrollverlust betrachtet, aber das hat sich gewaltig geändert. Das Bestreben nach besserem Cloud-Verständnis zeigt sich vor allem in drei pragmatischen Bereichen: 

  1. in der Notwendigkeit, angesichts immer komplexerer Angriffsvektoren die bestmögliche Bedrohungserkennung und -abwehr aufrechtzuerhalten, und das bei gleichzeitiger Nutzung der Kosten- und Betriebsvorteile, die sich aus der Vielzahl der Managed- Service-Partner und Cloud-Dienste ergeben; 
  2. im verständlichen Wunsch, den Wert der Cloud als Architektur einzuschätzen, der mit der Zunahme digitaler Anwendungen noch weiter wachsen wird; 
  3. in der Anwendung der Erkenntnisse aus diesen beiden Bereichen im Hinblick auf Cloud-Security- Technologien, mit denen sich ein durchgängiger Schutz von Daten und Geschäft außerhalb der traditionellen Firmengrenzen durchsetzen lässt. 
„Die Cloud funktioniert anders, also muss man [zurück] zu den Grundlagen und sich neue Fertig- keiten aneignen.“ 

- Dave Thomas, Director of Security & Privacy Engineering, GoCardless

Informationsrisiken verstehen und minimieren – das ist es, was unsere CISOs weiterhin tun. Für viele hat das Bestreben nach einer datengetriebenen Cybersicherheitspraxis die analytische Sichtbarkeit verbessert, seit sie genauer wissen wollen, wo Geschäftsdaten verwendet, erstellt und übertragen werden. 

Es herrscht bei den Befragten die Überzeugung, dass Sicherheitsanalysen die Security-Teams reaktionsfähiger machen, der Trend geht in Richtung vorausschauender Lösungen und zu Threat Intelligence in Echtzeit. Der stärkere Fokus auf mathematische Analysen hat zu einem vermehrten Einsatz von SOAR und vorausschauenden Lösungen (SIEM, MDR, NDR, EDR etc.), die umsetzbare Erkenntnisse liefern, geführt. In den Gesprächen wurde deutlich, dass die CISOs sehr gut wissen, dass sie noch zusätzliche Daten brauchen, und dass sie deshalb ihr Wissen um Open-Source- und Drittanbieter-Datenfeeds erweitern müssten, um ihre Bedrohungsanalysen zu verbessern. 

„Menschen allein sind kaum der Lage, diese Umgebung zu managen.“ 

- Dave Thomas, Director of Security & Privacy Engineering, GoCardless

Den Befragten ist klar, dass Menschen allein mit der Komplexität und der zunehmenden Bedrohungsvielfalt fertig zu werden. Die CISOs haben die immer wichtigere Rolle von KI und maschinellem Lernen (ML) in OT und IT erkannt, und sie klopfen diese Technologien ständig auf Einsatzmöglichkeiten in der Cybersecurity ab, weil sie wissen wollen, ob sie wirklich nachweisbaren Mehrwert bringen können (und ob die Technologien überhaupt schon aus den Kinderschuhen heraus sind).

Ein Thema, das offenbar Fahrt aufnimmt, ist der Anwenderschutz, etwa durch User and Entity Behavioral Analytics (UEBA) und die Einbindung von ML-Merkmalen in das Identity and Access Management (IAM). Das Ziel besteht darin, Technologieanwender vor sich selbst zu schützen und zugleich Fähigkeiten eines Sicherheitsanalysten einzubringen.

Aus unseren Gesprächen mit den CISOs geht klar hervor, dass der Wechsel zu Umgebungen ohne definierte Perimeter die Blickrichtung geändert hat: Nicht die Assets, sondern die Daten stehen nun im Fokus – und an diesem Punkt arbeiten die CISOs aktiv daran, Fähigkeiten und Wissen aufzubauen und aktuell zu halten. 

Frage 3

Mussten Sie Ihre Business-Fähigkeiten und Ihren Beitrag zum Unternehmenserfolg steigern?

61 % der CISOs, mit denen wir sprachen, sind überzeugt, dass sie an ihren betriebswirtschaftlichen Fähigkeiten arbeiten müssen. Noch mehr: Sie sehen die Notwendigkeit, sich nun laufend mit anderen im Unternehmen auszutauschen und sie über neue Entwicklungen und identifizierte Risiken zu informieren. Ein wesentlicher Teil dieses Austauschs besteht darin, mit den eigenen Fähigkeiten und den Skills der Teams sowie eventuell technologischer Unterstützung die Folgen eines allfälligen Cyberangriffs zu antizipieren und bewusst zu machen.

Um auf diese Ebene von Interpretation und Kommunikation zu gelangen und ihrer Verantwortung gerecht zu werden, müssen die CISOs zweierlei können: Sie müssen zum einen genau verstehen, wie das Unternehmen funktioniert, das sie schützen; und sie müssen zum anderen in der Lage sein, operative Exzellenz aus technischer Perspektive zu sehen. 

„Ich muss positiv über die Kon- kurrenz denken – und darüber, wie sie digitaler wird.“ 

- Hitesh Patel, Head of Cybersecurity, Cloud Computing & Digital Infrastructure Audit & Risk, Fidelity Investments

Digitaler Wandel und Wettbewerbsfähigkeit

In den Gesprächen zeigte sich auch, dass das wachsende Digitalgeschäft die CISOs dazu zwingt, ein Verständnis für schnell drehende Märkte zu entwickeln. Viele der Befragten verbringen viel Zeit mit der Recherche dazu, wie der Wettbewerb mit Digitaltechnologien sein Publikum erreicht. Denn ihr eigenes Unternehmen ist entweder im Begriff, ähnliche Strategien umzusetzen, oder wird es demnächst tun. Die CISOs nehmen ver- nünftig an, dass sie um Rat gebeten werden, sobald es um die technischen Aspekte, die Sicherheitsrisiken und den Nutzen dieses Vorgehens geht. 

„Ich glaube, dass man das Technische nicht mehr vom Geschäftlichen trennen kann; man muss die Auswirkungen auf das Geschäft aus technischer Perspektive heraus verstehen.“ 

- Scott Goodhart, CISO Emeritus, The AES Corporation

Die größte Schwierigkeit, mit der sich unsere CISOs konfrontiert sehen, wenn sie versuchen, zu demonstrieren, welchen Einfluss sie auf den Geschäftserfolg haben, besteht darin, deutlich zu machen, dass sie – wie es in einem Gespräch formuliert wurde – „die Security so schärfen, dass sie eine passgenau schützende Business-Komponente wird“. Das ist etwas ganz anderes als lediglich die internen Sicherheitsfunktionen zu übernehmen, wie die Rolle lange gesehen wurde. Viele sind der Ansicht, dass das allgemeine Geschäftsrisiko weiterhin in der Verantwortung des CEO liege; sobald es aber um Sicherheitsrisiken geht, liege das „nicht in der Verantwortung des CEO; das ist Aufgabe des CISO“, um einen der Interviewpartner zu zitieren. Viele CISOs verstehen es in dieser Rolle als Risikominimierer als ihre Aufgabe, herauszufinden, wie Geschäftserfolg und Technologie zusammenhängen. 

„Auf jeden Fall. CISOs müssen die Unternehmensstrategie verstehen und was Cybersicherheit dafür tun kann.“ 

- Gene Zafrin, CISO, Renaissance Re

Die Folgen von Homeoffice

Aus „Telearbeit“ ist 2020 für viele von uns schlicht „die Arbeit“ geworden. Dieser abrupte Bruch mit der gewohnten Praxis hatte zur Folge, dass die CISOs sich in Arbeitsgruppen wiederfanden, deren Aufgabe es war, die Arbeitsumgebungen neu zu definieren. Dabei ging es auch um die Optimierung oder Einführung von Technologien, die das Unternehmen effizienter machen sollten, etwa digitale Signaturen oder Workflow-Validierung. So wie die unmittelbare Interaktion durch Videokonferenzen überholt wurde, so schützen sich Unternehmen nun vor Cyberangriffen, indem sie ihre Mitarbeiter durch neue E-Learning-Cybersicherheitsmodule schulen. 

Hat Ihre Rolle zu einer größeren Vielfalt an internem und externem Austausch geführt?

Der Austausch von Wissen sollte für alle ein wichtiger Teil der täglichen Arbeit sein. Viele CxO-Rollen nennen Peer-Netzwerke als ihre Orte, an denen sie Neues lernen und Eigenes beitragen. CISOs gehen hier deutlich weiter: Über 66 % der Befragten verbringen viel Zeit mit externen Interessengemeinschaften, bei CISO-Roundtable-Diskussionen und mit Kontakten in KMU-Organisationen. Auf diese Weise können sie sich mit Gleichgesinnten über Themen aus dem Tagesgeschäft auszutauschen, Business-Networking betreiben und operative CISO-Kooperationen diskutieren. Hier zeigte sich allerdings ein deutlicher regionaler Unterschied: 78 % der CISOs in den USA erzielten bei beruflichen Kontakten dieser Art fast um 50 % höhere Werte als ihre Kollegen in Europa.

Das gestiegene Sicherheitsbewusstsein hat weltweit dazu geführt, dass CISOs nun an Gesprächen und Entscheidungen teilhaben, die ihnen zuvor verwehrt waren – und dies hat ihnen mehr und wertvollere Kontakte im gesamten Unternehmen sowie früheren Zugang zu Vorhaben und Projekten beschert.

Es ist kein Wunder, dass unsere Interviewpartner durch die Ereignisse 2020 zu neuen Arbeitsweisen gezwungen wurden. Weil die Cybersecurity nun neue Verantwortung übernimmt, sind ein stärkerer interner Austausch und die Bereitstellung relevanter Sicherheitstools die entscheidenden Entwicklungen. 

„CISOs sollten weiträumig mit den einzelnen Abteilungen des Unternehmens Kontakt aufnehmen, damit man dort begreift, was Cybersicherheit für sie tun kann.“ 

- Gene Zafrin, CISO, Renaissance Re

„Wir brauchen Vielfalt, damit wir verstehen, wie Cybersicherheit ins Unternehmen passt – internationale Vielfalt, die zeigt, wie die Dinge in anderen Ländern und Branchen und in unterschiedlichen Gesellschaften funktionieren.“ 

- Matt Stamper, CISO, EVOTEK

„Früher war der CISO der IT-Typ in seinem Silo, jetzt ist er der Visionär der neuen Wirtschaft.“ 

- Hitesh Patel, Head of Cybersecurity, Cloud Computing & Digital Infrastructure Audit & Risk, Fidelity Investments

„Kernvielfalt im Kernteam. Seniorität ist nicht immer das Beste; was zählt, ist die Idee.“ 

- Mauro Israel, Corporate CISO, ORPEA Group

„Ja, wir führen jetzt mehr externe Gespräche mit den CISOs der meisten großen Kunden und deren Vorständen.“ 

- Andrew Rose, CSO, Vocalink (A Mastercard Company)

Während die Zusammenarbeit mit den Kollegen über Geschäftsbereiche und Funktionen hinweg zunimmt, bleiben einige CISOs doch skeptisch, was das Ergebnis dieses ganzen Security-Wissensaustauschs angeht. Manche haben sich damit abgefunden, dass ein kleiner Teil des oberen Managements im gewohnten Trott bleibt und mit umfassenderen, vielfältigeren, digital getriebenen Ökosystemen nichts anfangen kann. Diese Denkweise führt jedoch zu Problemen beim derzeitigen und künftigen Betrieb. Was hier hilft, ist unseren Experten zufolge, dass Führungskräfte, die sonst nicht mit IT zu tun haben, auf ihre eigenen Netzwerke zurückgreifen und dort lernen, dass Cybersicherheit in unterschiedlichen Ländern, Branchen und Kulturen unterschiedlich funktioniert. Die CISOs finden, dass sie mit der Ausweitung ihrer Interaktionen eine Kommunikation fördern, die auf Offenheit, Wirklichkeit und Fakten basiert, anstatt mit der Macht ihrer Position Überzeugungen durchzusetzen, was eher einen negativen, weniger vielfältigen Ansatz zur Folge hätte. 

Die externen Kontakte sind mittlerweile vielfältiger und umfassen auch Regulierungsbehörden, staatliche Stellen und Kreditinstitute, sodass die CISOs aus erster Hand erfahren, worauf sie achten müssen und welche Best Practices anderswo für Compliance sorgen. Hinzu kommt, dass CISOs von vielen Geschäftskontakten, Zulieferern und Kunden für deren Unternehmen um fachlichen Rat gebeten werden.

Solche wechselseitig nützlichen Diskussionen gibt es seit der Zunahme von Ransomware-Attacken vermehrt, weil nun auch geschäftlich verbundene Dritte die möglichen Folgen solcher Angriffe aus der Sicht des jeweils anderen verstehen müssen. 

Frage 4

Glauben Sie, dass Ihre Rolle noch geschäftskritischer wird?

Unabhängig von der Größe ihres Arbeitgebers waren sich die interviewten CISOs darin einig, dass ihre Rolle jetzt als Position der Geschäftsleitung anerkannt wird. Diejenigen CISOs, die bereits einen Sitz im Vorstand haben, sind davon überzeugt, dass ihre Rolle für das Unternehmen ebenso wichtig ist wie die anderer CxO-Positionen. Dies scheint zwar den vorherigen Aussagen zu widersprechen, doch ist dieser Widerspruch eher eine Dichotomie: CISOs werden zwar als Führungspositionen gehandelt, aber nicht immer als solche benannt oder belohnt.

Fast zwei Drittel (65 %) glauben, dass ihre Arbeit für das Unternehmen geschäftskritisch ist. Die Befragten aus den USA stufen ihre Wertschätzung etwas höher ein (7,4 im Durchschnitt) als CISOs in Europa (6,1). Beide gehen aber davon aus, dass sich diese Zahlen demnächst dramatisch ändern werden. 

„Als Sicherheitsanbieter müssen wir vorleben, was wir predigen: wie man die richtige Security-Kultur schafft, das Bewusstsein schärft und Cyberresilienz aufbaut. Entscheidend sind Vertrauen, Resilienz und gute Kommunikation.“ 

- Chani Simms, CISO, She CISO Exec

Die Anerkennung des strategischen und operativen Werts

CISOs zeigen sich auch selbstbewusst, was den Wert angeht, den sie für ihren Arbeitgeber erbringen. Sie sehen ihre Aufgaben als ebenbürtig neben anderen maßgeblichen Funktionen wie der Personalleitung oder den Finanzen. 

Drei Viertel (75 %) der CISOs bestätigen, dass sich ihre Rolle deutlich gewandelt hat: weg von der Konzentration auf Netzwerkrisiken deckt sie nun jeden Aspekt der Technologien ab, die derzeit im Einsatz sind. Besonders deutlich wurde dies bei den Befragten aus Gesundheitswesen, Fertigung und Einzelhandel – allesamt Branchen, die eifrig zu IT greifen, um ihr Geschäftsergebnis zu verbessern. Hierzu gehört auch die Cybersicherheit von Beschäftigten, Partnern und Kunden. 

„Vielleicht gibt es einen neuen Namen für den CISO, der
die Verantwortung der Rolle umfassender wiedergibt und eher auf einen Chief Security Officer hinausläuft als auf einen CISO.“ 

- Scott Goodhart, Emeritus CISO, The AES Corporation

Seit Cybersicherheit als ein Weg anerkannt ist, der weitere Geschäftsmöglichkeiten eröffnet, müssen CISOs zeigen, welchen Beitrag sie zum Risikomanagement leisten. Die CISOs haben verstanden, dass dies zu ihrer größeren Verantwortung gehört, die ihre Rolle jetzt auszeichnet.

Einige CISOs sind der Ansicht, dass man physische Sicherheit und IT-Sicherheit nicht trennen könne; vielleicht verändere sich dann auch der Titel „CISO“, sodass er die umfassendere Security-Verantwortung seines Trägers erfasst. Ein Vorschlag war „Chief Security Officer“. Abgesehen von der Nomenklatur ist unsere Gruppe der Überzeugung, dass ihre Rolle einzigartig ist, weil CISOs Geschäftsrisiken formulieren und die Wahrscheinlichkeit angeben, mit der das Unternehmen – früher oder später – zum interessanten Ziel für die Unmenge an Cyberkriminellen wird.

Es gibt jedoch eine Ausnahme: Manche der skeptischeren Befragten bezweifeln, dass ihre Rolle langfristigen Wert behalten werde. Sie glauben eher, dass ihre Arbeit, wenn sie nicht wirklich als strategische Position anerkannt wird – als Teil des Standardbetriebsmodells –, zur Selbstverständlichkeit werden könnte oder als eine Funktion eingekauft wird, wie andere auch. 

Ein größeres Maß an Vertrauen

Oft wenden sich Zulieferer und Kunden an die CISOs, weil sie von ihnen das Fachwissen auf dem Gebiet Risikomanagement erwarten, das für die Verhandlung, Planung, Implementierung und Gewährleistung unternehmensübergreifender Security erforderlich ist. Dieses große Maß an Vertrauen fällt mit der zunehmenden Integration der Lieferketten durch Digitalisierung und E-Commerce zusammen. 

„Mit der Zunahme von E-Commerce und Online-Finanztransaktionen sowie der Ausformung von Datenschutzgesetzen weltweit wird die Notwendigkeit einer starken Security-Rolle immer bedeutsamer für den Erfolg eines Unternehmens.“ 

- John Scrimsher, CISO, Kontoor Brands

Etliche CISOs haben erkannt, dass die Datenschutz- bzw. Compliance-Beauftragten die Hüter der Daten sind. Im Zuge der jüngsten Datenschutzgesetze und -verordnungen fühlen sich viele CISOs genötigt, ihre Rolle auszudehnen, sodass sie zum Hüter von jedem und allem werden, der oder das mit Daten zu tun hat.

Ein Viertel (25 %) der CISOs lag bei der Frage, ob sie ihre Rolle als geschäftskritisch empfinden, auf der Skala zwischen 1 und 5. Diese Gruppe, die annimmt, dass ihre Rolle eher gleich bleiben wird, kann man eher vorsichtig nennen. Einig war sie sich aber darin, dass „gleich bleiben“ die Bedeutung ihrer Rolle nicht schmälert. 

Frage 5

Glauben Sie, dass Ihre Rolle sowohl an EQ als auch an IQ gewonnen hat?

„Die Anforderungen drehen sich nicht mehr nur um technisches Verständnis. Sie brauchen ein besseres Verständnis für Menschen, wie sie interagieren und reagieren.“ 

- Scott Goodhart, CISO Emeritus, The AES Corporation

Die meisten Menschen finden, dass emotionale Intelligenz (EQ) für den Erfolg im Leben und im Beruf wichtiger ist als kognitive Intelligenz (IQ). Als Persönlichkeiten gelten CISOs größtenteils als hochintelligent, aber irgendwie unnahbar – Techniker im Vorstand eben, von denen es nicht viele gibt. Vielleicht ist das nur ein Klischee, aber es lässt sich nur schwer loswerden. Tatsache ist, dass die Fähigkeit, sich in Anwender, Manager und Stakeholder einzufühlen und richtig zu reagieren, allseits gepriesen wird. Das gilt für die Security- und die Incident-Response-Teams an der Front bis hinauf zum CISO. Dieses Einfühlungsvermögen ist auch zunehmend notwendig, und zwar aus ganz praktischen Gründen. 

„Bei Remote Services und Fernunterricht rufen die Leute an, wenn sie in Panik geraten. Dann tolerieren sie es gar nicht, wenn sie auf Antworten warten müssen.“ 

- Nathan Reisdorff, CIO, New England Law

„Der Großteil der Rolle besteht darin, wie Sie durch andere liefern und andere dazu bringen, ein Sicherheitsmodell zu forcieren.“ 

- Dave Thomas, Director Security and Privacy Engineering, GoCardless

Der individuelle Erfolg und der Erfolg des gesamten Berufsstands hängen davon ab, dass es CISOs gelingt, zu zeigen, dass für sie „emotionale Intelligenz das ist, was fürs Geschäft zählt“. Das ist keineswegs nur Management-Sprech. In Frankreich z. B. ist EQ als Geschäftskompetenz eine Anforderung in Regelwerken für börsennotierte Unternehmen. 

„Ihr EQ ist der Grad Ihrer Fähigkeit, andere Menschen zu verstehen: was sie motiviert und wie Sie mit ihnen am besten zusammenarbeiten.“ 

- Howard Gardner, Research Professor of Cognition and Education at the Harvard Graduate School of Education at Harvard University

Aus den Interviews geht hervor, dass ein wichtiger Aspekt der CISO-Rolle darin besteht, dass es ihnen gelingt, Sicherheitsmodelle durch andere zu vermitteln und sie dazu zu bewegen, diese Modelle zu fördern:

66 % der CISOs sind sich darüber im Klaren, dass jeder von ihnen ausgereifte EQ-Fähigkeiten entwickeln muss, die es braucht, um andere Menschen zu verstehen, sich in sie einzufühlen und mit ihnen zu verhandeln – vor allem dann, wenn die Globalisierung weiter so flott voranschreitet.

Während 71 % der CISOs aus den USA eine hohe Punktzahl von über 7 erreichten, konnten nur 57 % der CISOs in Europa dieses hohe EQ-Niveau erreichen – die restlichen 43 % lagen im Bereich von 3 bis 6 Punkten. 

Unseren Interviewpartnern ist bewusst, dass sie über alle ihre Kanäle im Unternehmen kommunizieren müssen. Der Schlüssel liegt im Verständnis für die Probleme und die Work-Life-Balance ihrer Kontakte, aber noch wichtiger ist die Gabe, diese Kommunikation in einem Ton zu halten, den die Einzelnen verstehen – und das sind nicht immer technische Einzelheiten.

Viele der CISOs, mit denen wir gesprochen haben, sind keineswegs die unnahbaren Einzelgänger, die das Klischee erwartet. Sie wissen auch, dass sie um Hilfe bitten müssen – und sie erkennen, dass sie auf der emotionalen Seite nachsichtiger mit sich sein müssen, um dem selbst auferlegten Perfektionsdruck zu entgehen.

EQ hat seinen Platz, vor allem dort, wo eher die IQ- Merkmale von CISOs zum Vorschein kommen. So wird in den meisten Interviews deutliche, dass die CISOs einsehen, dass sie für vieles, das außerhalb ihrer Macht liegt, zur Rechenschaft gezogen werden – z. B. für die Schatten-IT, die hinter ihrem Rücken gezüchtet wird, oder Kollegen, die sich weigern, einzusehen, wie wichtig Cybersecurity auch in ihrem Aufgabenbereich ist. Die CISOs betonen, dass sie sich mit derlei aktiv auseinandersetzen; sie wollen gewissenhaftere EQ-CISOs werden und mit ihren neuen emotionalen Skills Cybersicherheit im ganzen Unternehmen kommunizieren.

„EQ fördert die Fähigkeit, mit Nicht-ITlern in Gleichnissen
zu reden, die das Verständnis erleichtern. Richtige Kommunikation sorgt für ein positives Umfeld.“ 

- Todd Gordon, Director, Information Security, EisnerAmper LLP

Mit dem Neuen Normal in der Arbeitswelt müssen CISOs das EQ-Konzept auch in ihre eigenen Security-Teams tragen. Ihnen ist klar, dass die Teams – ganz anders als der klassische Helpdesk, der sich auf die technische Lösung konzentriert – verstehen müssen, warum sich jemand an sie wendet. 

Da die Kommunikation zwischen Sicherheitsteams bzw. CISOs und dem Rest des Unternehmens an Häufigkeit und Umfang zunimmt, wird eine klare und offene Sprache, die Jargon und IT-Sprech vermeidet, immer wichtiger. Eine ebenso klare und offene Kommunikation in der Gegenrichtung, sodass positives und kritisches Feedback in den Teams auch ankommt, ist ebenso erfolgskritisch. Die CISOs und ihre Security-Truppe werden nicht immer eine Antwort parat haben – aber sie sollten in der Lage sein, die Suche nach diesen Antworten zu leiten. 

Frage 6

Was, meinen Sie, müssen Sie verbessern, um in Ihrer Rolle zu glänzen?

An vielen Stellen der Interviews wird deutlich, dass die CISOs ihre Rolle und die ihrer Security-Fachkräfte als lebenslanges Lernen begreifen. Uns ist klar, dass gute Führungskräfte sich auf das konzentrieren, was ihre Teams können – trotzdem wollten wir speziell wissen, welche Skills den CISOs fehlen oder wo sie ihre Fähigkeiten verbessern müssten, um einen erstklassigen Cybersicherheitsservice zu leisten, über alle Kontaktpunkte hinweg und zur eigenen Zufriedenheit. 

„Der größte Raum der Welt ist der Raum für Verbesserung. Ich frage mich immer: ‚Wie kann ich es morgen besser machen?‘“ 

- John Scrimsher, CISO, Kontoor Brands

„Es klingt vielleicht trivial, aber ich möchte meine Untergebenen besser verstehen. Die größte Wirkung, die ich erzielen könnte, ist, dass jedes Teammitglied erfolgreich ist.“ 

- Gene Zafrin, CISO, Renaissance Re

Der CISO-Job ist eine traditionell technische Rolle. Von daher genießt in den Gesprächen die kontinuierliche Entwicklung dieser Fähigkeiten – speziell im Hinblick auf die neueren, aufkommenden Technologien – den Vorzug. Die CISOs wissen auch, dass sie in puncto IT-Wissen, Angreifertechniken und Hacker-Tools auf der Höhe der Zeit bleiben müssen. 

Wie CISOs bessere Business Enabler werden

Weil die CISO-Rolle nun auch das Verständnis betriebswirtschaftlicher Zusammenhänge umfasst, geben die Befragten klar zu erkennen, dass Branchenregeln und Datenschutzvorgaben für sie in vollem Umfang zu berücksichtigen sind. Und sie wissen auch, dass das CxO-Management von ihnen erwartet, dass sie hierzu informiert Stellung nehmen können. 

„Wie die meisten CISOs möchte ich meine beruflichen Beziehungen stärken, damit ich den relevanten Managern im Unternehmen besser auseinandersetzen kann, wie ich ihre Geschäftsbereiche über die reine Risikoreduzierung hinaus in Bezug auf Produktivitätsresilienz und Kostenvermeidung unterstützen kann.“ 

- Mike Davis, CISO, Alliantgroup

CISOs spielen eine wichtige Rolle im operativen Exzellenzteam des Unternehmens. Von daher müssen sie ihren Aktionsradius intern und extern kontinuierlich ausweiten, hauptsächlich aus zwei Gründen: Zum einen geht es darum, sich durch die Interaktion mit COO, Rechtsabteilung, M&A-Teams etc. Geschäftskenntnisse anzueignen – so verstehen CISOs besser, wie das Unternehmen Geld verdient und welche Risiken (von der Security abgesehen) sich auf ihre Ziele auswirken könnten. Zum anderen holen sich CISOs neue Erkenntnisse, indem sie ihr externes Netzwerk mit zusätzlichen Interaktionen in ihrer „Peergroup“ sowie mit Regulierungsbehörden, Handelsvertretungen und staatlichen Stellen erweitern – das stärkt ihre Rolle als Business Enabler und sorgt dafür, dass ihr Unternehmen weiterhin für operative Exzellenz steht. 

"Ich muss positiv über die Konkurrenz denken und darüber, wie sie immer digitaler wird."

- John Scrimsher, CISO, Kontoor Brands

Aber viele CISOs finden dafür untertags einfach nicht die nötige Zeit. Sie sind oft viel zu sehr damit beschäftigt mit dem Löschzug von Cyberfeuer zu Cyberfeuer zu rennen, und sehen vor lauter Rauch das Gesamtbild nicht mehr klar. Und nicht immer haben sie die Möglichkeit, noch einmal zwei Schritte zurückzutreten und das Grundproblem im Zusammenhang zu betrachten. Kommentiert wurde das oft mit Bemerkungen, die sich darauf beziehen, dass CISOs irgendwie 25 Stunden in den Tag packen müssen, mit sehr wenig Schlaf auskommen, sich weniger Sorgen und weniger Paranoia wünschen und sich gelegentlich daran erinnern sollten, dass sie auch noch ein Zuhause haben.

Insgesamt wird eingesehen, dass CISOs in vielen Fällen zu viel Zeit in den Tiefen des technischen Betriebs verbringen und dass sie lernen müssen, ihren Teams mehr zu vertrauen und sie ihre Arbeit machen zu lassen. Dann gewinnen die CISOs die Zeit zurück, die sie brauchen, um ihre Funktion strategisch zu betrachten. 

Förderliches Verhalten fördern

Dass mehr Soft Skills zu effektiveren Interaktionen führen, gilt als ausgemacht. In der Vergangenheit war der Tonfall von Sicherheitsdiskussionen weniger auf den Wert ausgerichtet als auf das FUD-Dreieck (Fear, Uncer- tainty and Doubt) von Furcht, Ungewissheit und Zweifel, was bisweilen die Vorstellung weckte, „dass wird mehr Vorfälle brauchen, weil wir sonst nicht ernst genommen werden“. Dies ist jedoch ein Ansatz mit begrenztem Nutzen und langfristigen Nachteilen. 

„Wie ich ‚in Schicht schlafe‘ und mir mehr Verständnis, Geduld und geschäftliches Urteilsvermögen aneigne und all dies in eine Sprache übersetze, die ein Einzelhändler überzeugend findet.“ 

- Simon Goldsmith, APAC Information Security Officer, Adidas

Effiziente Kommunikation findet eine Sprache für technische Zusammenhänge, die jede Interaktion als positiven Austausch akzeptieren kann und Sicherheitsfragen mit Beispielanekdoten angeht – so könnten CISOs Risiken und Bedrohungen auf weniger abschreckende Weise vermitteln. Bei dieser Art von Ansatz steigt die Wahrscheinlichkeit, dass die Sicherheitsbotschaft deutlich empfangen und gut verstanden wird.

Dass ihre Sicherheitsteams effektiv sind, hat für die CISOs weiterhin Priorität. Damit sie mit ihren Teams effizienter interagieren, müssen CISOs ihre EQ-Kompetenzen weiter ausbauen. Derzeit sind CISOs bestrebt, ihre Teams persönlich besser kennenzulernen, sich in sie hineinzuversetzen, im vollen Bewusstsein, dass jeder Mensch anders ist, die individuellen Blickwinkel zu verstehen und das Verhalten so zu lenken, dass die Chancen auf Erfolg für jeden Einzelnen steigen.

Die CISOs, die mit uns ins Gespräch kamen, waren auch neugierig auf neue Techniken, mit denen sich der Wert heben lässt, der entsteht, wenn alle im Team sich selbst als anerkannte und geschätzte Teile des Ganzen betrachten. Die CISOs erhoffen sich dadurch ein Arbeitsumfeld, das produktiver und persönlich zufriedenstellender ist, das Persönlichkeiten im Unternehmen hält und sie als Funken ins Unternehmen bläst, an denen sich der langfristige Erfolg entzünden kann. CISOs, die ihre Talentsuche mit derselben Einstellung angehen, werden Mitarbeiter finden und halten können, denen sie auch mehr Verantwortung anvertrauen können. 

Sicher im Sattel und achtsam auf das Tea

Security ist sicher: Zum Zeitpunkt dieses Forschungsprojekts (Juli bis September 2020) gaben 65 % der CISOs an, dass sie sich trotz aller Probleme, die die Welt 2020 zu stemmen hatte, in ihrer Rolle sicherer fühlten. Nur 37 % spielten mit dem Gedanken, die derzeitige Position zu verlassen oder die Branche zu wechseln. 

Das Stresslevel haben die CISO-Teams auf dem Radar, wobei 78% der Befragten durchgängig im mittleren Bereich zwischen 4 und 7 liegen. Bei der Frage, ob die CISOs eine Zunahme von Burnouts in ihren Teams verzeichneten, kam dieselbe mittlere Gruppe allerdings auf einen Wert von 71 %. Das deutet darauf hin, dass Personalbüro und Arbeitsschutz intensiver mit den CISOs, deren Security-Teams und der Belegschaft insgesamt kommunizieren sollten. 

Die Budgets sind branchenübergreifend offenbar relativ konstant geblieben. Bei 53 % liegen sie im Durchschnitt, 39 % der Befragten sehen sich bei ihren Ausgaben besser aufgestellt. Auf die Frage, wie CISOs die Budgets zwischen Verantwortung (Unternehmenszielen) und Rechenschaftspflicht (Bereitstellung sicherer Abläufe) aufteilten, positionierten sich 64 % direkt in der Mitte bei 5. CISOs akzeptieren, dass sie sich als Angehörige des oberen Managements auf die Unternehmensziele ausrichten, aber zugleich sicherstellen müssen, dass sie ihren Pflichten nachkommen und die Bereitstellung sicherer Betriebsumgebungen über die gesamte Wertschöpfungs- und Lieferkette hinweg auf die eigenen und die kooperierenden Teams gewährleistet bleibt. 

Frage 7

Was könnten Kollegen und Vorgesetzte zu Ihrem Erfolg beitragen?

Die CISOs unserer Interviews legen geradezu Wert darauf, dass sie nicht als Stars des Unternehmens besonders behandelt werden wollen; ganz im Gegenteil. Sie vertreten den Standpunkt, dass es unerlässlich ist, sich mit anderen Führungskräften in einer offenen Dialogkultur regelmäßig auszutauschen, und dass es in ihrer eigenen Verantwortung liege, sich über die wichtigsten Ergebnisse anderer auf ihrer Ebene und die KPI-Kennzahlen (Key Performance Indicators) des Managements zu informieren. Im Gegenzug gilt bei den CISOs, dass man von anderen nicht verlangen dürfe, dass sie von sich aus die Rolle und die KPIs der Security verstehen.

Die CISOs wissen, dass es an ihnen liegt, klar und unmissverständlich zu kommunizieren, was sie als potenzielle Risiken für das Unternehmen, seine Mitarbeiter und seine Kunden ansehen, und diese Themen in das Enterprise Risk Management Framework einzuarbeiten.

Klare, abgestimmte Themen können nur dann kommuniziert werden, wenn die CISOs über das Unternehmen, für das sie arbeiten, Bescheid wissen und gut informiert sind. Was das Unternehmen tut, womit es Geld verdient, welche Vorhaben im Gange sind, welche Beziehungen im Markt wichtig sind und welche zu Regulierungsbehörden und anderen relevanten Stellen – das alles sind wichtige Wissensmengen für unsere CISOs.

Dennoch darf der Beitrag zur Geschäftsoptimierung nie Aufgabe einzelner CISOs sein. Vielmehr empfiehlt sich ein Teamansatz mit Kollegen, bei dem jeder Wissen und Vorschläge einbringt, wie man die Sicherheit und die Effektivität des Unternehmens verbessern könnte. 

„Kollegen könnten die Botschafter im Unternehmen sein. Sicherheit geht alle im Unternehmen an, und das gilt auch für die Meldung von Verdächtigem.“ "

- Royce Markose, CISO, rewardStyle

Manche CxOs müssten Engagement mehr fördern und sich von der Einstellung verabschieden, dass alles, was mit Security zu tun hat, in der alleinigen Verantwortung des CISOs liege oder nur dann relevant sei, wenn das nächste Compliance-Audit ansteht. Alle müssen ein gewisses Maß an Verantwortung für die Sicherheit in ihrem Bereich übernehmen und darauf achten, dass
die CISOs eingebunden werden, sodass sie geeignete Prozesse aufsetzen können.

CISOs können ihren Kollegen dabei durchaus helfen und dadurch den Wert im gesamten Managementteam steigern. Insgesamt geht es beim 360-Grad-Support ebenso darum, dass die Kollegen auf die CISOs zugehen, damit diese mit ihren Teams die nötige Übersicht bekommen und Schwierigkeiten frühzeitig begegnen können. 

„Nicht zuständig“ und Schatten-IT sind die Reibungsflächen

Einige CISOs räumen ein, dass sie ihre Teams aufteilen, um einzelne Geschäftsbereiche proaktiv zu unterstützen, sodass diese ihre Ziele erreichen. Wenn das Interaktionslevel allerdings niedrig liegt, werden manche IT-Abteilungen passiv und warten darauf, dass das Security-Team ihnen sagt, was zu tun ist. Dies birgt die Gefahr, dass dann alle Arbeit auf den Schultern des Sicherheitsteams lastet, von dem erwartet wird, dass es Expertenwissen für alles und jedes mitbringt.

Von den Herausforderungen, die die CISOs ansprachen, ist eine der größten die wuchernde Schatten-IT. Unter Umständen fördern die Verantwortlichen einzelner Geschäftsbereiche die Implementierung von Schatten- IT-Lösungen aus Effizienzgründen ausdrücklich, aber sie bedenken nicht, dass das Team des CISO dann keine Übersicht und keine Vorstellung davon hat, welche Programme und Apps installiert sind. Der Mangel an Sichtbarkeit für die CISOs und die Nachlässigkeit der Kollegen hat zur Folge, dass die betreffende IT nicht ausreichend sicherheitsgehärtet wird. Damit vergrößert sich die Angriffsfläche, und das Unternehmen setzt sich unnötigen Risiken aus. 

„Mit klarer Kommunikation, einer Unternehmenskultur ohne Schuldzuweisungen, dem Teilen von Wissen und Mentoring erreicht man am meisten.“ 

- Chani Simms, CISO, SHe CISO Exec

Rechtzeitig ist besser als nachträglich

Die nächsthöhere Führungsebene – in erster Linie CEO und CIO – muss Cybersicherheit und ihre Auswirkungen als integralen Bestandteil des Geschäftsbetriebs und als einen zentralen Bereich des Risikomanagements etablieren und laufend messen. Motto: „Think Safe: Think Security.“ 

Klare Direktiven, die direkt von CEO oder CIO kommuniziert werden, fördern eine Sicherheitskultur im Unternehmen. So würden alle dazu ermutigt, verdächtige Aktivitäten zu melden und darauf zu achten, dass alle Abläufe mit Security by Design geplant und durchgeführt werden.

Bei Kollegen und Vorgesetzten das Verständnis für Sicherheitsbelange zu wecken, ist gar nicht so schwierig. Dann wird auch besser verstanden, wie CISOs und ihre Teams das Geschäft unterstützen und mit Innovationen fördern können. Am besten funktioniert das beim Projektstart, bei der Einführung neuer Anwendungen, der Anpassung im Change Managements und sogar bei der Integration oder Schaffung neuer Geschäftsbereiche. Dagegen erfordert alles, was nachträglich etabliert werden muss, eine Änderung der Einstellung, und das kann unter Umständen schwieriger werden. 

Aus der Sicht von F-Secure Countercept

Im Folgenden finden Sie einen kurzen Kommentar aus der Sicht von F-Secure Countercept. Hintergrund ist der ständige Dialog, den wir mit CISOs führen, die teils unsere Kunden, teils gute Freunde sind. Wir verbinden dies mit einem Blick auf die Bandbreite der Angriffe, die unsere Kunden ins Visier nehmen.

CISOs tun gut daran, Zeit und Mühe auf die Einhaltung gesetzlicher Vorschriften zu verwenden. Aber das ist noch nicht alles. Denn Regulierungen, vor allem wenn es um Datenschutz und Cybersicherheit geht, kommen oft sehr spät. Zwar hat sich die Situation gebessert, aber wir sind der Ansicht, dass eine effektive Risikominimierung im Bereich Cybersicherheit über die gesetzlichen Mindestanforderungen hinausgehen muss. Allein die Mindestvorschriften ergeben kaum jemals ein sicheres Unternehmen, sondern nur eines, das im Fall eines Datenlecks, das ihm und seinen Kunden schadet, weniger wahrscheinlich mit dem Gesetz in Konflikt gerät.

Zu zwei Schlüsseltechnologien möchten wir außerdem eine kleine Warnung aussprechen. SIEM und Analytik sind unschätzbare Tools im Werkzeugkasten eines jeden Cybersicherheitsunternehmens. Allerdings dreht sich beides auch in einem Hype Cycle, sodass man sich manchmal zu viel davon erwartet. SIEM und Analytik sind keine Zauberwaffen, wie unsere CIOs ganz richtig bemerkt haben. Die Antwort auf die Sicherheitsherausforderungen von heute heißt selten „mehr Daten sammeln“. Sie lautet vielmehr: „die richtigen Daten besorgen, korrekt interpretiert und zur richtigen Zeit“.

Wir wissen aus Erfahrung, dass der effektivste Weg darin besteht, die richtigen Daten zu sammeln und zu verarbeiten, insbesondere dort, wo es um die Bedrohungserkennung geht. Die Rolle des Menschen ist dabei von entscheidender Bedeutung. Das ist etwas, mit dem wir uns schon lange beschäftigen, insbesondere bei der Arbeit unseres Erkennungs- und Reaktionsteams.

Eine gute Kommunikation – sowohl innerhalb des Unternehmens als auch mit Dritten, inklusive Aufsichtsbehörden und Staatsanwalt – ist eine Herausforderung, die wir gut kennen und der wir viel Zeit widmen, um sie mit unseren Kunden zu meistern. 

Viele CISOs, mit denen wir zu tun haben, stehen vor der Aufgabe, den Wert einer ordentlichen MDR-Lösung (Managed Detection and Response) zu formulieren, oft auch in Bezug auf die Rolle des Security-Teams insgesamt – dabei werden wir regelmäßig um Hilfe gebeten. Dazu gehört dann, dass die CISOs und unser Team Zeit mit anderen Abteilungen des Unternehmens verbringen, Kommunikationskanäle öffnen und die Erwartungen festhalten – auf allen Seiten. Das Team von F-Secure Countercept investiert dann noch einmal viel Zeit mit den CISOs selbst und ihren Teams, um sie in ihrer Argumentation für Sicherheit, für die richtigen Tools und die richtigen Skills zu stützen.

Ganz hoch angesiedelt sind die von den CISOs hervorgehobenen persönlichen Beziehungen und die Fähigkeit, die eigenen Belange in den Hierarchien des Unternehmens und gegenüber Dritten zu kommunizieren. Am Ende kann aber auch alles an Reporting-Routinen, der Auswahl der Metriken und anderen kleinen, aber wichtigen Faktoren hängen. Bei der Bereitstellung der Services bedeutet dies, dass man hartnäckig das Cybersicherheitsrisiko und den Wert der Investitionen kommuniziert. Ebenso wichtig ist, dass man weiß, welche Metriken für das Unternehmen und seine Teams bedeutsam sind – und welchen Wert diese Metriken haben.

Ein wichtiger Teil des Angebots von F-Secure Countercept ist das, was wir Peacetime Value nennen. Auch außerhalb von Angriffsphasen arbeiten wir mit unseren Kunden an der Sichtbarkeit und an den Nachweisen, die sie brauchen, um der Geschäftsführung und den Aufsichtsbehörden darzulegen, dass sie das Richtige tun und das sie es gut machen.

Einen effizienten Betrieb zu sichern, ist eine große Verantwortung. Und eine, die CISOs im vergangenen Jahr noch härtere Arbeit gekostet hat als sonst. Manchmal rückt dann das Dringende das Wichtige in den Hintergrund. Strategische Planung, die Art und Weise, wie das eigene Unternehmen neue Herausforderungen aus der Perspektive der Cybersicherheit angeht, und andere ähnlich wichtige Aufgaben sind Jonglierbälle, die den CISO-Auftritt mittlerweile zu einem wahren Kunststück machen. 

Managed Threat Hunting Service, 24x7, mit F-Secure Countercept

Zur Methodik

Autor dieser von F-Secure publizierten Studie ist Kevin Bailey, Vorgehen unabhängiger Cybersicherheitsanalyst von Synergy Six Degrees im Auftrag von Omnisperience. Finanziert wurde dieser Report von F-Secure, alle Interviewpartner haben aus freien Stücken dazu beigetragen. Die qualitativen Interviews wurden ohne Einfluss von Sponsorseite geführt. Die gesamte redaktionelle Kontrolle lag beim Autor. 

Interviews

Zwischen Juli und September 2020 wurden 28 Interviews geführt, 23 davon als Einzelgespräche, fünf Befragte gaben ihre Antworten auf Fragebögen ab, alle auf vertraulicher Basis. Der Auftraggeber hatte zu keinem Zeitpunkt Kenntnis von der vollständigen Liste der Interviewpartner. Alle Zitate und Zuschreibungen wurden vom Autor nach Abschluss aller Interviews eingeholt. Diese Vorgehensweise wurde gewählt, damit die Befragten freimütig antworten konnten.

Aufbau und Vorgehen bei der Befragung wurden so gestaltet, dass Befangenheiten vermieden wurden, und wo die Gefahr einer solchen bestand, wurde dies im Interview ausdrücklich angesprochen. Nur drei der Befragten waren zum Zeitpunkt der Studie bereits Kunden von F-Secure. Jedes Interview dauerte mindestens eine Stunde, die meisten davon etwa 90 Minuten, viele führten zu Folgegesprächen, in denen die Ergebnisse der Untersuchung diskutiert wurden. 

Kohorte

Die Auswahl der Interviewpartner wurde nach Fachkenntnis getroffen, und zwar so, dass sich ein ausgewogenes Set von Inputs ergab. Der Autor stand in keinerlei geschäftlicher Beziehung zu den Interviewpartnern. Den Teilnehmern wurde versichert, dass der Report ihre Antworten weder direkt noch indirekt so darstellt, als würden sie Sponsorprodukte oder -Services empfehlen oder diskutieren.

Die mit der Kohorte abgedeckten Rollen umfassen CISOs (oder gleichwertige Titel), Heads of Cyber Security, Directors of Information Security und Heads of Threat Intelligence. Finanzdienstleister sind die am stärksten vertretene Teilgruppe. 

Vorgehen

28 qualitative Interviews, gestützt durch ausgewählte quantitative Datenpunkte, um dem Forschungsgegenstand konkreten Realitätsbezug zu sichern. 

    Erhebungszeitraum

    Juli bis September 2020

Geografie
Europa - 14
USA - 14

Branchen 

Finanzwesen
Energie
Rohstoffhandel
Dienstleister
Fertigung
Maschinenbau
Gesundheitswesen
Bildungswesen
Digitale Plattformen • Telekommunikation • Cybersicherheit
Buchhaltung
Lebensmittel 

Titel
CISO - Chief Information Security Officer
CSO - Chief Security Officer
CIO - Chief Information Officer
Director of Security & Privacy
Director IM and Security
Director Information Security
IT Director
IT Security Manager

Kapitel #2

Ein Reality Check

Mehr Anerkennung und Verantwortung sind prima, aber mit dabei ist eine ganze Menge neuer Herausforderungen.

Jetzt lesen

Kapitel #3

Die Angriffsfläche der Cyber-Bedrohungen

Was die Angreifer vorhaben - und was CISOs nachts wach hält

Jetzt lesen

Kapitel #4

Cyber beeinflusst den Wandel

Wie veränderte Bedrohungen Unternehmen und CISO zum Wandel zwingen

Jetzt lesen