DAS ZEITALTER DER CISOS

Kapitel 4: Cyber beeinflusst den Wandel

EINFÜHRUNG

Unter den CISOs dieser Studie herrscht Uneinigkeit, inwieweit Cybersicherheit die wirtschaftlichen Abläufe in den Unternehmen verändern sollte. Für eine kleine Anzahl der Befragten haben Sicherheitsfragen die Art und Weise beeinflusst, wie ihr Unternehmen seine Geschäfte betreibt. Aber bei vielen ist ein Einfluss kaum spürbar.

Klar ist, dass der Wechsel zur Cloud und zu digitalen Abläufen die operative Einbeziehung von Cybersecurity viel früher erfordert hat zuvor. Compliance-Anforderungen haben weiter dazu beigetragen, dass das Cyber-Thema auf der Agenda nach oben gerückt ist. Progressive Unternehmen haben sich früh und vorausschauend eine Security-by-Design-Denkweise angewöhnt, sodass sie jetzt bei der Einführung neuer digitaler Plattformen die Nase vorn haben.

Ebenso klar ist die Einsicht, dass die Schlagzahl und Komplexität moderner Cyberangriffe viele interne Kapazitäten überfordert. Viele CISOs wünschen sich ein eigenes Security Operations Center (SOC), können sich damit aber nicht durchsetzen, was weniger am eigenen Team liegt als an knappen Budgets und am schwierigen Erwerb der nötigen Skills. Die Folge ist eine weit verbreitete Akzeptanz von Drittanbieter-Security-Services; dabei ist man sich bewusst, dass die Unternehmen selbst viel dafür tun müssen, wenn die Zusammenarbeit optimal erfolgreich sein soll.

Die CISOs geben uns auch Einblick in ihre Beschaffungsmotive: Tools, die auf eine konkrete Bedrohung zugeschnitten sind, und Empfehlungen von Kollegen sind eindeutig wichtiger als Fachberichte oder die reine Neugier. Aber auch die etablierten Anbieter müssen zusehen, dass ihre Tools die ursprünglich versprochene Leistung bringen und zugleich mit der größeren Vielfalt spezifischer Angriffsvektoren Schritt halten.

Ein weiteres heißes Eisen war die Personalfrage. Konsens herrscht darüber, dass sich die Qualifikationsanforderungen ändern. Hinzu kommt eine Warnung vor dem Irrglauben, man könne Spezialisten freistellen, weil man ja genügend Technologie habe – statt zu erkennen, dass die Tools nur den Werkzeugkasten füllen, mit dem die Experten arbeiten.

Der Befund zur derzeitigen Weiterbildung ist insgesamt positiv. Es gibt jedoch Bedenken bezüglich der Bereitstellung und der verfügbaren Zeit. Dringendere Anforderungen an die Mitarbeiter lassen oft zu wenig Freiraum für die volle Konzentration, die Selbstlernsystemen erforderlich ist. 

Frage #1

Hat Ihre Arbeit dazu geführt, dass Ihr Unternehmen seine Geschäftsprozesse angepasst hat?

„Was es verändert hat? Manche Projektanforderungen haben die Cybersicherheit im Vorfeld bedacht. Jetzt wird sie nicht mehr nachträglich berücksichtigt, sondern von Anfang an und die ganze Zeit.“ 

- Scott Goodhart, CISO Emeritus, The AES Corporation

Aus den Kommentaren der CISOs wird deutlich, dass
es durchaus Momente gibt – oft eher zufällig bei einer günstigen Gelegenheit und eher selten –, in denen sie hervorheben, wie die operative Security die Verfahren in ihrem Unternehmen verändert hat. Das gilt vor allem in Bezug auf Lieferketten und Geschäftspartnerschaften. Der Durchschnitt von 5,3 weist aus, dass die CISOs mit ihrer Punktwertung zu fast gleichen Teilen über oder der Mitte (5) liegen.

Die CISOs wissen, dass immer mehr Digital- bzw. Cloud-Lösungen auf sie zukommen oder bereits integriert werden – und dass sie bei solchen Projekten die Security früher einbeziehen müssen. Diese neuen Lösungen erfordern, dass Unternehmen ihre Methoden aktualisieren, mit denen sie Zugang und Interaktionen ermöglichen, sonst setzen sie ihr Wachstum und die Konsistenz für Kunden/Konsumenten aufs Spiel.

Viele CISOs vertreten den pragmatischen Standpunkt, dass Cybersicherheit dazu da ist, das Geschäft zu unterstützen, und nicht dazu, dessen Abläufe zu ändern; folglich werden sie nicht von sich aus dem Geschäft in die Quere kommen. 

„Ich muss dafür sorgen, dass mein Unternehmen die Geschäfte macht, das es machen will. Ich achte aktiv darauf, dass ich nicht versuche, es zu einer Änderung der Geschäftsabläufe zu bewegen.“ 

- Ian Dudley, IT Director, DriveTech

Im Gegensatz dazu steht, dass 74% der CISOs bei der Frage „Wie wichtig ist Ihnen, dass Cybersicherheit im Vorstand diskutiert wird?“ den Mittelwert von 8,3 Punkten vergeben haben. Sie finden offenbar, dass Cybersicherheit ein wichtiges Thema der Geschäftsführung sein sollte; sie glauben, dass Cybersicherheit eine größere Rolle spielen und als Teil der Geschäftsprozesse erkannt werden sollte – nicht nur ausnahmsweise oder als Backoffice-Funktion. Diejenigen, die ein eigenes SOC betreiben, glauben, dass dies ihrem Unternehmen die Chance gibt, seine Business-Prozesse mit größerem Selbstvertrauen neu zu fassen. 

„Definitiv eine genauere Kontrolle von Drittanbietern (DSGVO, CCPA), mehr allgemeines Risikomanagement und ein höherer Reifegrad.“ 

- Royce Markose, CISO, rewardStyle

Mit der Zunahme von Branchenregulierungen und Datenschutzbestimmungen besteht erkennbarer Bedarf an Cybersecurity-Richtlinien, die Zugang und Prozesse regeln, damit die Unternehmen mit internationalen Regelwerken wie GLBA (Gramm-Leach-Bliley Act), CCPA (California Consumer Privacy Act) oder der europäischen DSGVO (Datenschutz-Grundverordnung) konform bleiben. Dies erfordert, dass Unternehmen und ihre Partner genau darauf achten, wie sie personenbezogene Daten erheben und wie sie in ihren geschäftlichen Abläufen damit umgehen. Das kann eine Geschäftsführung schon dazu bewegen, den Wert von Cybersicherheit höher zu schätzen, wenn zugleich immer mehr digitale Plattformen die Art und Weise verändern, wie das Unternehmen mit seinen Kunden in Kontakt tritt.

Unternehmen, die von sich aus die Initiative ergriffen und ihre Security-Teams frühzeitig in ihre Projekte einbezogen haben, um einen sicheren Betrieb zu ermöglichen, haben ihre Architekturen entsprechend an die Risiken angepasst, denen sie sich unter Umständen ausgesetzt sehen. In größeren Organisationen ist dies deutlich zu erkennen, seit die Wirtschaft verstärkt zu digitalen Services greift, die aus der Cloud bereitgestellt werden. Ein Unternehmen, das den operativen Betrieb von Security by Design her denkt und plant, sorgt dafür, dass das Geschäft davon profitiert und dass seine Kunden sicher sind.

Angesichts der veränderten Geschäftsprozesse und fortschreitender Cyberangriffe sowie speziell mit Blick auf die stärkere Verbreitung von DevOps und Cloud Computing sind die optimistischen CISOs der Ansicht, dass die Zukunft bessere Chancen für eine wirklich integrierte Cybersecurity bietet, die als Positivfaktor im operativen Geschäft anerkannt wird. 

Frage #2

Fürchten Sie, dass die Menge und Vielfalt an Bedrohungsformen dazu führt, dass die Arbeit Ihres Sicherheitsteams nicht proaktiv genug ist, um einen konsistenten Geschäftsbetrieb zu gewährleisten?

Die meisten CISOs dieser Studie (71%) haben erkannt, dass sie mehr Security-Services von Drittanbietern integrieren müssen, um bei einer wachsenden Digital-first-Angriffsfläche die fortschrittlichen Bedrohungen durch Cyberkriminelle zu bekämpfen.

Viele CISOs sehen sich sogar bei anderen Berufen um, wenn sie ihre Entscheidungen begründen müssen.
Ein Beispiel: In Krankenhäusern gibt es spezielle Unfallaufnahmen, die von Traumatologie-Fachleuten geleitet werden. Ihre Aufgabe ist es, die erste „Golden Hour“ optimal zu nutzen und so die Überlebenschancen der Patienten zu verbessern, die rasche medizinische Behandlung und Notoperationen brauchen. Jede Sekunde zählt. Daraus ergibt sich der Transfergedanke: Warum sollte ein Unternehmen nicht zu vergleichbaren Aktionsplänen und Ansätzen greifen, wenn es darum geht, DDoS-Attacken, BEC-Betrugsversuche (CEO Fraud), Ransomware und Datenlecks zu überleben? 

„Spezialisten wissen es am besten; wir ziehen diejenigen hinzu, die unser Geschäft verstehen und OT- Sicherheit bieten. Wer das nicht glaubt, macht sich etwas vor.“ 

- Scott Goodhart, CISO Emeritus, The AES Corporation

Wenn CISOs ihr eigenes SOC aufbauen und mit einer Armee aus 16 bis 30 Spezialisten bestücken könnten, dann würden sie das tun. Aber vielen CISOs ist dieser Luxus nicht vergönnt. Dabei schätzen sie nicht etwa die Fähigkeiten ihrer Teams zu gering ein – die Frage ist vielmehr, wie sie das verfügbare Budget am effektivsten verwenden: auf ein internes Team oder auf eine Partnerschaft mit einem Managed Security Service. 

Sicherheitsanbieter müssen ihre Tools funktional ausbauen, um ihre Kunden zu schützen

Für manche CISOs ist die Zusammenarbeit mit Sicherheitsdienstleistern vielleicht noch ungewohntes Terrain. Sie erkundigen sich in ihren Netzwerken und hoffen
auf Empfehlungen. Ungefähr 30% der Befragten lagern bereits einzelne Elemente von Level-1-Monitoring und Bedrohungsabwehr an MSSPs (Managed Security Service Provider) aus. Sie wissen gut, dass durch den Einsatz dieser Outsourcing-Partner Mitarbeiter frei werden, die sich wieder auf kritische Vorfälle konzentrieren und Geschäftsunterbrechungen verhindern können; und dass sie nicht mehr knietief durch eine Flut von Alarmmeldungen waten müssen, die in vielen Fällen falsch positiv sind und nur wertvolle Zeit rauben. 

„Ja, vor allem angesichts von ausgefeilten Angreifer-TTPs und immer mehr KI/ML in Malware/ Ransomware glaube ich, dass jeder zusätzlich einen 24×7-Support braucht, der effektive SLAs bietet, wie es ein MDR-Service tut.“ 

- Mike Davis, CISO, Alliantgroup

Für Ihr Unternehmen entscheidend ist allerdings, dass Sie bei einem Managed-Security-Partner den richtigen Service wählen. Ein CISO hat uns erzählt, dass Anzahl und Art der Bedrohungswarnungen, die sein MSSP-Partner lieferte, letztlich keinen konstruktiven Dienst leisteten. Weil er qualitativ bessere Erkenntnisse zu cyberkriminellen Aktivitäten und Absichten brauchte, entschloss er sich deshalb, zurückzurudern und den Service wieder selbst zu leisten. 

„Wir werden nicht proaktiv genug sein. Wenn man es dem Team überlässt, dann sind wir nicht in der Lage, das Geschäft zu unterstützen.“ 

- Nathan Reisdorff, CIO, New England Law

Interessanterweise kann auch das Unternehmensimage eine wichtige Rolle bei der Aufstockung der Ressourcen spielen. In einer Reihe von Fällen vermuten die CISOs, dass ihr Unternehmen für Sicherheitsspezialisten nicht attraktiv genug ist oder ihre Branche nicht als progressiv genug gilt. Outsourcing kann dieses Problem entschärfen, weil Security Service Provider den Zugang zu Sicherheitsteams mit einem breiteren Wissensspektrum in den Bereichen Informationstechnologie (IT) und operative Technologien (OT) eröffnen können.

Wenn man diese Herausforderung aus dem technischen Aspekt heraus betrachtet, so sind viele Befragte der festen Überzeugung, dass der Mensch in dieser Zeit der neuen Technologien und Arbeitsmethoden nicht die Antwort auf die gegenwärtigen komplexen und automatisierten Angriffe ist, geschweige denn auf die absehbaren Bedrohungen der Zukunft. Sie glauben, dass die Security-Service-Anbieter fortgeschrittene Fähigkeiten und Sicherheitstechnologien, die in unterschiedlichem Maß KI, ML und Deep Learning einsetzen, besser verfügbar machen können. 

Unterschiedliche Cloud-Ansichten und Erwartungen

Die Auswertung zeigt, dass sich die CISOs nicht ganz einig sind. Rund 25% sehen Outsourcing eher als zusätzliche, unnötige Kosten denn als eine Antwort auf ihre besonderen Security-Bedürfnisse. Die Überzeugung ist hier, dass es beim operativen Geschäft mit Cloud-first-Ansatz die Aufgabe des Cloud-Anbieters sei, alle Sicherheitsbedenken auszuräumen. 

Hinzu kommt das Argument: Wenn ein Unternehmen genau weiß, was es tut und was es kann, dann sollten Risiken und Bedrohungen ohnedies klar sein und entsprechende Mitarbeiterschulungen selbstverständlich. Ein gutes Verständnis fördert auch von vornherein starke Kontrollen. Andernfalls werde das Problem nur verschoben, nicht gelöst, und eine Auslagerung könnte die Security sogar schwächen. Im Gegensatz dazu würden ausgereifte Fähigkeiten das Outsourcing für spezielle Bedarfsbereiche rechtfertigen. 

Es ist offenbar, dass CISOs neuen Technologien, die vor allem interessant aussehen, sehr zurückhaltend gegenüberstehen: 39% sehen sich so etwas vielleicht genauer an, 61% konzentrieren sich auf handfeste Vorteile und halten sich von „interessanter Technologie“ fern, bis sie sich ihre Meriten verdient hat. Wo Interesse vorhanden ist, zeigt es sich in den USA deutlich stärker (50%) als in Europa (29%). Insgesamt sollten aufkommende Technologien eindeutig bei Wissenschaft, Forschung und Inkubatoren bleiben, bevor man sie den Entscheidungsträgern vorschlägt. 

In Anknüpfung an die vorangegangene Diskussion über das Engagement der CISOs in ihren Peer-Netzwerken ist zu konstatieren, dass 71% definitiv in Erwägung ziehen würden, mehr Zeit in neue Technologien zu investieren, wenn diese von einem Netzwerkkontakt empfohlen wurden. Einmal mehr hören die CISOs in den USA mehr auf ihre Netzwerke (86%) als die etwas zurückhaltenderen europäischen CISOs (57%). Die Ergebnisse zeigen, wie stark CISOs weltweit ihre Netzwerke einschätzen und – was noch wichtiger ist – wie entscheidend es ist, dass Anbieter für die versprochenen Lösungen konkrete Produkte liefern und unterstützen können. 

Der Spruch, dass noch nie jemand gefeuert worden ist, weil er IBM gekauft hat, ist offenbar überholt. Die CISOs sagen zu 68%, dass bei ihren Technologieentscheidungen etablierte Unternehmen oder Marktführer keine Vorzugsbehandlung genießen. Die CISOs in Europa lassen daran gar keinen Zweifel: Hier sagen 79% rundheraus, dass ihre Position eindeutig objektiv bleiben soll, und sie betonen, dass Anbieter sämtlicher Reifegrade kontinuierlich Nutzen, Innovation und Geschäftsverständnis beweisen müssen, bevor sie mitspielen dürfen. 

Bei CISOs hat das Risiko immer Vorrang. Wenn die Technologie eines Anbieters auf eine bekannte, wahr- genommene oder zukünftige Bedrohung ausgerichtet ist und wenn sie ihre Leistungsfähigkeit unter Beweis stellen kann, so steigt die Chance, dass CISOs darauf anspringen (68%). Europäische CISOs sind eher geneigt, sich davon überzeugen zu lassen (79%), als ihre US-amerikanischen Kollegen. Aber sie geben Anbietern den guten Rat, sich auf den realen Nutzen gegenüber einer Bedrohung zu konzentrieren. Hypes und Marchetecture, also Tools, die vornehmlich nach Marketing-Zielen ausgerichtet sind, werden nicht gern gesehen. 

Frage #3

Haben sich in den letzten 12 bis 18 Monaten die Hauptfachgebiete geändert, auf denen Sie nach neuen (Cybersecurity-)Mitarbeitern suchen?

„Ja. Ich suche nach Leuten, die zusätzlich zu ihrer Spezialisierung auch das Gesamtrisiko verstehen.“ 

- Mike Davis, CISO, Alliantgroup

Mit der zunehmenden Reichweite und dem wachsenden Einfluss der Cybersicherheit mussten die Fähigkeiten und Fachkenntnisse der Sicherheitsexperten Schritt halten. Die stärkere Interaktion im gesamten Unternehmen hat die CISOs dazu gebracht, den Wert von Cyber-Analysen und anderen Wachstumsbereichen einzusehen; und sie mussten ihr eigenes Security-Toolset bzw. das ihrer Teams entsprechend weiterentwickeln. Dadurch können sie jetzt zwar unter technischen Gesichtspunkten in ihrer Rolle glänzen, aber es wird jetzt auch mehr Wert darauf gelegt, dass alle im Sicherheitsteam die Soft Skills begreifen und einsetzen, die nötig sind, damit der tiefere Austausch mit anderen Teams funktioniert, und dass sie mit den ganz unterschiedlichen Menschen umgehen können, denen sie bei ihrer Arbeit begegnen. 

„Ich habe schon immer nach guten Leuten gesucht, die ordentlich kommunizieren und selbstständig loslegen können. Wenn sie tech- nische Fähigkeiten mitbringen, ist das schön, aber das bekomme ich überall. Was sich also geändert hat, ist die Fähigkeit zum Selbstmanagement, die Begeisterung und die richtige Einstellung.“ 

- Chani Simms, CISO, SHe CISO Exec

„Ja, mit Schwerpunktverlagerung auf neue Fähigkeiten: Cyber-Analytics-Fokus (ermöglicht neue Reaktionsmodelle).“ 

- Scott Goodhart, CISO Emeritus, The AES Corporation

71% der CISOs sind klar der Ansicht, dass sich die
Rolle der Sicherheitsspezialisten weiterentwickelt hat und geschäftskritischer geworden ist. Die Herausforderungen, die von den Befragten genannt werden, liegen zum einen darin, dass sie dafür sorgen müssen, dass die Experten neue Fähigkeiten und (bei der Einführung neuer Technologien) Spezialisierungen erwerben, zum anderen darin, dass sie sich gleichzeitig um Optimierun- gen und Updates für ältere Technologien (> 18 Monate) kümmern müssen, damit die volle Leistungsfähigkeit des Produkts erhalten bleibt.

Die Kehrseite der Medaille zeigt die Sorge der CISOs, dass die technischen Fähigkeiten ihrer Teams zwar gut sind, aber in naher Zukunft praktisch irrelevant werden könnten, weil KI/ML auf dem Vormarsch sind und immer öfter in Sicherheitstools integriert werden. Hilfreich wäre es, wenn die Sprache, mit der das Marketing KI/ML-Funktionen beschreibt, möglichst sachlich bliebe. Die CISOs müssen verstehen, inwieweit diese Tool-Intelligenz Realität ist – oder sie riskieren, dass sie Spezialisten verlieren, die desillusioniert sind, weil sie glauben, dass die Technologie den Einfluss ihrer Rolle in Zukunft schmälern wird. Es war schon immer so, dass gut ausgebildete Sicherheitsspezialisten verstanden haben, welche Beziehung zwischen der Unternehmensarchitektur und der Integration der Sicherheitstools, mit denen sie die operativen Umgebungen schützen, besteht. 

Die Fülle an neuen Technologien, die fast im Tagesrhythmus eingeführt werden, hat dazu geführt, dass sich die erforderlichen Fähigkeiten eines gut abgerundeten und effizienten Sicherheitsteams hochgeschaukelt haben, bis sie die gesamte Bandbreite abdecken: DevSecOps, Cloud, App-Entwicklung, SOC-Analysen, UX-Design, VR-Design, Python, Ruby, 5G, software- definierte Netzwerke, Blockchain, 3D und vieles mehr. Viele dieser Anforderungen sind aus dem zunehmenden Gebrauch digitaler Anwendungen entstanden, bei denen der Fokus darauf liegt, dass jeder zu den im Unternehmen verwendeten IoT- und OT-Geräten auch die entsprechenden Cloud-, Daten- und KI-Sicherheits- funktionen bekommt.

Zertifizierungen wie CompTIA A+, S+ oder Network+ werden eher als vorteilhaft für den Spezialisten als für das Unternehmen angesehen. CISM (Certified Information Security Manager) und CISSP (Certified Information Systems Security Professional) gelten als nice to have, auch wenn die Mehrheit der CISOs ihre Sicherheitsexperten darin unterstützen würde, diese Auszeichnungen zu erlangen, sobald die Basiszertifizierungen geschafft sind.

In der fortschreitenden Digitalisierung aller Unternehmensbereiche machen sich die CISOs Sorgen, dass die Rolle eines Sicherheitsspezialisten aufstrebenden Mitarbeitern kaum hoffnungsvolle Aussichten lässt, das Wachstum der Personalressourcen einschränkt und die Leute davon abhält, neue Fähigkeiten zu erlernen, während sie immer größere Arbeitslasten bewältigen müssen. 

Frage #4

Wie viel Zeit im Monat verbringen Ihre unmittelbaren Mitarbeiter mit dem Erwerb neuer Fähigkeiten?

Ein Tag hat 24 Stunden. Leider (oder zum Glück) sind die meisten Cyberspezialisten nur acht oder neun davon offiziell im Dienst. Aber CISOs und ihre Teams sind der Grundüberzeugung, dass lebenslanges Lernen zu ihrer Cyberwork-Cyberlife-Balance dazugehört. 

Mehr Betrieb, seltener Schulung

Die zunehmende Arbeitsbelastung, die von der Vielfalt der zu sichernden Technologien herrührt, führt in vielen Fällen dazu, dass die viel beschäftigten Spezialisten die Fortbildung auf die lange Bank schieben, wenn CISOs und Management nicht auf regelmäßigen Business- und Cybersecurity-Schulungen bestehen. Einige der Befragten räumen ein, dass es aufgrund des Drucks aus dem Tagesgeschäft nicht so gut läuft, wie sie es gerne hätten. Der Großteil der Schulungen findet bei Einführung neuer Sicherheitstools statt.

Trotz dieser Einschränkungen sorgen 57% der Befragten dafür, dass ihre Teams sieben oder mehr Stunden Schulung pro Monat bekommen, und 36% stellen sicher, dass mehr als zehn Stunden Training im Monat erreicht werden.

Abgesehen von der Einarbeitung in neue Produkte versuchen die CISOs, die technischen Fähigkeiten ihrer Teams in den Bereichen Programmierung, Cloud, Analytik sowie Geschäftsanwendungen wie ERP (Enterprise Resource Planning) zu stärken. Zusätzlich sorgt die Persönlichkeitsentwicklung der Einzelnen dafür, dass sie in der Lage sind, ihre Soft Skills in der täglichen Arbeit anzuwenden.

Nicht enthalten in der monatlichen Schulungsstatistik sind die Zertifikatsabschlüsse, ebenso wenig wie bestimmte Herstellerzertifizierungen, die Voraussetzung für den Umgang mit den betreffenden Produkten sind. Dergleichen wird als Ausnahme betrachtet und gehört aus Sicht der CISOs nicht zu den Standardentwicklungs- zielen ihrer Fachleute. Die CISOs wissen auch gut, dass ihre Teams Selbstlernsysteme schwierig finden, weil sie kaum stückweise absolviert werden können und meist volle Konzentration am Stück erfordern – ein seltener Luxus für viele, die sich einen ganzen Tag oder mehr für eine Schulung reservieren müssten. 

Frage #5

Sind Sie der Meinung, dass sich Ihre Security-Fähigkeiten verbessert haben und dass Sie Ihr Unternehmen schützen können?

Die CISO-Arbeit ist nie getan. Sie währet ewiglich und bleibt stets eine Herausforderung. Die Mehrheit (72%) glaubt, dass sie gute Fortschritte gemacht hat, aber den CISOs ist klar, dass Cyberkriminelle das Überraschungsmoment auf ihrer Seite haben. Seit in den Führungsetagen das Security-Bewusstsein gestiegen ist, steigen auch die Budgets anteilig. Die CISOs wissen aber sehr wohl, dass Geld nicht alles ist und dass sie mit Bedacht entscheiden müssen, wo sie investieren. Sie wollen und werden nicht blindlings Geld ausgeben; sondern sie achten darauf, die verfügbaren Mittel auf die bekannten und erkannten (künftigen) Risiken auszurichten. 

„Reifegrad-Assessments zeigen die Verbesserungen, aber wir müssen ein kontinuierlicher Optimierungs- prozess werden [...] Cybersicherheit muss von Anfang an und die ganze Zeit präsent sein.“ 

- David Lello, CISO, Burning Tree

Die Menge der Angreifer-Personas nimmt ständig zu, und jede kommt mit neuen Tools und Taktiken. CISOs haben es nicht mehr nur mit Einzelgängern zu tun, sondern müssen sich gegen organisierte kriminelle Gruppen (OCGs) und nationalstaatliche Akteure verteidigen. Beide verfügen über mehr Geld, Ressourcen und technische Fähigkeiten als die CISOs der größten Unternehmen.

Manche CISOs machen sich Sorgen, dass die Maß- nahmen der ersten Jahreshälfte 2020, als sie fast ohne Vorwarnung amorphe Strategien liefern und mit extrem disruptiven Änderungen der Arbeitspraktiken klarkommen mussten, große Löcher in ihre Verteidigung gerissen haben könnten. Und selbst nach diesen nie dagewesenen geschäftlichen Anforderungen fürchten sie eine Reduzierung der Cybersicherheitsbudgets, was ihre Schlagkraft einschränken und die Rückkehr zu hastigen Notfallmaßnahmen bedeuten würde. Der bisherige Schwung wäre damit ausgebremst. 

Die CISOs arbeiten weiter an einer gründlichen Cybersecurity-Strategie. Der Weg führt über Tools, die auf konkrete Gefahren ausgerichtet sind, Standards und Frameworks wie NIST und MITRE ATT&CK sowie über Reifegrad-Assessments und kontinuierliche Optimierung. 

„Ich bin mit einem Neustart-Ansatz ganz erfolgreich, mit dem ich ein Programm für die Zukunft entwerfen kann, statt immer nur alte Pläne zu überarbeiten.“ 

- John Scrimsher, CISO, Kontoor Brands

Die Befragten sind sich darin einig, dass man niemals nachlassen darf, weil die Angreifer immer schnell und agil zuschlagen können. Im Kampf gegen Standardattacken wie Phishing sind zwar Fortschritte zu verzeichnen, aber bei der Technologie und bei der Mitarbeiterschulung gibt es noch viel Luft nach oben. Eine Reihe von CISOs stellt auch die Effizienz der Technologien von Sicherheitsanbietern infrage und bezweifelt, dass die Lösungen das leisten, was der Vertrieb versprochen hat. 

Aus der Sicht von F-Secure Countercept

Wenn wir uns die Befunde dieser Befragung ansehen, können wir die CISOs und Senior Infosecurity Officers sehr gut verstehen. Die Problemlage ist in unserem Job ja überall dieselbe: Wir müssen sicherheitstechnisch Verantwortung übernehmen für das, was andere tun und entscheiden, und wir führen einen schier endlosen Kampf gegen Schatten-IT. Hinzu kommt noch, dass sich in den letzten fünf bis zehn Jahren der Blick auf Cloud-Sicherheit praktisch um 180 Grad gedreht hat.

Die Business-Verantwortlichen dazu zu bewegen, dass sie Security in ihren Abläufen berücksichtigen – das ist es, was nachhaltige Ergebnisse bringt. Wir können nicht weiter so tun, als sei IT-Sicherheit „nur“ die Aufgabe der CISOs und ihrer Teams. Die übrigen Unternehmensbereiche können sich der Verantwortung für die Sicherheit nicht entziehen. Aber wir müssen ihnen auch die nötigen Werkzeuge und Fähigkeiten an die Hand geben. Wir sehen, dass viele Befragte das genauso sehen, und sind froh über das, was es impliziert: dass Security nicht „Sicherheitsportale“ bauen soll und dann die geschäftlichen Abläufe dazu zwingen, sich vor den Wachen zu rechtfertigen.

Die Sicherheitsleiter der 90er, mit denen wir aufgewachsen sind, waren ziemlich unflexibel und viel zu viel damit beschäftigt, ihr eigenes Universum zu schaffen und damit das Unternehmen quasi in Geiselhaft zu nehmen. Von daher rührt wohl das schlechte Image von Sicherheitsbeauftragten, mit dem wir Jüngern immer noch zu kämpfen haben.

Es braucht einen erheblich höheren Reifegrad, damit aus einem Team von Spielverderbern und Neinsagern Leute werden, die Risikobereitschaft kommunizieren und die Sicherheitsimplikationen von geschäftlichen Entscheidungen aufzeigen können. Um heutzutage erfolgreich zu sein, muss man wirklich von den Möglichkeiten begeistert sein – Risikovermeidung ist nicht genug.

Sicherheitsverantwortliche müssen die Tatsache zu Kenntnis nehmen, dass strategische und geschäftliche Risiken letztlich Aufgabe der Unternehmensführung sind. CISOs können nicht einfach auftauchen und ihr Gruselkabinett vorstellen (Bedrohungen, jüngste Vorfälle und Ausfälle, die dunklen Wolken am Bedrohungs- horizont etc.). Das ist zwar ihr tägliches Brot und eben ihr Beruf, aber das darf man dem Vorstand nicht ungefiltert vorsetzen. Wichtig ist vielmehr, dass man der Führung die wirklich geschäftskritischen Risiken aufzeigt, die das Kerngeschäft gefährden, und dass man darauf hinweist, wo etwas grundlegend nicht stimmt.

Bei der Lektüre dieses Reports zeigt sich für uns in den Befunden zu emotionaler Intelligenz/EQ ein weiteres Problem: Der Coaching-Ansatz erkennt an, dass CISO und Team zwar Experten in Sachen Sicherheit sind, aber am erfolgreichsten agieren, wenn sie sich beugen und sich die Zeit nehmen, bis sie verstehen, was das Business und parallele Funktionen zu erreichen versuchen. Das bedeutet: Wir müssen die Prämissen der derzeitigen Risikoposition verstehen, die Genese der bestehenden Kontrollen und die Gründe ihrer Einführung. Im richtigen Moment aufmerksam nach dem Warum zu fragen, verleiht CISOs mehr Einfluss als alle Richtlinien, die sie je erlassen könnten.

Wer Ohren hat, zu hören, dem haben wir auch immer wieder gepredigt, dass wir (als Unternehmen und Blue Teams) noch nie so gute Tools und so leichten Zugang zu klugen Sicherheitsprofis hatten wie heute. Für diejenigen, die bereit sind, zu investieren, schafft das mehr Sicherheit.

Das sind gute Nachrichten – denn wir sehen auch, dass für eine erfolgreiche Erkennung und Reaktion zwischen erster Kompromittierung und Vorfall nurmehr Stunden bleiben. Diese Aufgabe ohne externe Unterstützung zu bewältigen, ist für die meisten Unternehmen und Teams immer noch eine enorme Herausforderung.

Nach wie vor sind wir um alles froh, was uns beweist, dass wir Zeit, Ressourcen und Kontrollen an den richtigen Stellen investiert haben, und zwar so, dass wir effektiv Sicherheit schaffen. Es gibt keine schönere Bestätigung, als wenn das Team sieht, dass wir ohne X (bzw. ohne eine Kombination aus A, B und 3) exponiert und angeschlagen wären, dass wir aber für diesmal gewonnen haben. 

„Sicherheit einbauen“ ist eine Idee, die heißen könnte, dass wir unsere Systeme bereits mit Blick auf deren Verteidigung entwerfen und konstruieren. Dass wir unterteilen und abschotten – Eindämmungsstrategien, mit der wir die Reichweite eines Vorfalls reduzieren und die Wahrscheinlichkeit reduzieren, dass das ganze Haus auf einmal zusammenbricht. Dass wir mitverfolgen und überwachen, was in unseren Systemen vor sich geht, und zwar nicht nur die Anomalien, sondern auch Compliance und Normalität.

Und es bedeutet definitiv, dass wir in der Lage sein müssen, auf eine sinnvolle Weise zu reagieren. Ob zu Ermittlungszwecken oder um Auswirkungen und Ursachen besser zu verstehen. Falls es einen greifbaren Bedrohungsakteur gibt, kann es auch bedeuten, die Motivation des Gegners zu verstehen.

Es ist nicht immer offensichtlich, was Verteidiger tun können, um Angreifer ins Leere laufen zu lassen, sie auszubremsen und weiteren Schaden zu begrenzen. Ohne die notwendigen technischen Fähigkeiten, ohne ein tiefes Verständnis des Systems und seiner Umgebung und ohne einen Plan wird jede Reaktion nur Improvisation bleiben.

Solange der Kunde nicht Herr im eigenen Haus ist, kann er kaum von Outsourcing-Services wie Managed Detection and Response profitieren. 

Managed Threat Hunting Service, 24x7, mit F-Secure Countercept

Zur Methodik

Autor dieser von F-Secure publizierten Studie ist Kevin Bailey, Vorgehen unabhängiger Cybersicherheitsanalyst von Synergy Six Degrees im Auftrag von Omnisperience. Finanziert wurde dieser Report von F-Secure, alle Interviewpartner haben aus freien Stücken dazu beigetragen. Die qualitativen Interviews wurden ohne Einfluss von Sponsorseite geführt. Die gesamte redaktionelle Kontrolle lag beim Autor. 

Interviews

Zwischen Juli und September 2020 wurden 28 Interviews geführt, 23 davon als Einzelgespräche, fünf Befragte gaben ihre Antworten auf Fragebögen ab, alle auf vertraulicher Basis. Der Auftraggeber hatte zu keinem Zeitpunkt Kenntnis von der vollständigen Liste der Interviewpartner. Alle Zitate und Zuschreibungen wurden vom Autor nach Abschluss aller Interviews eingeholt. Diese Vorgehensweise wurde gewählt, damit die Befragten freimütig antworten konnten.

Aufbau und Vorgehen bei der Befragung wurden so gestaltet, dass Befangenheiten vermieden wurden, und wo die Gefahr einer solchen bestand, wurde dies im Interview ausdrücklich angesprochen. Nur drei der Befragten waren zum Zeitpunkt der Studie bereits Kunden von F-Secure. Jedes Interview dauerte mindestens eine Stunde, die meisten davon etwa 90 Minuten, viele führten zu Folgegesprächen, in denen die Ergebnisse der Untersuchung diskutiert wurden. 

Kohorte

Die Auswahl der Interviewpartner wurde nach Fachkenntnis getroffen, und zwar so, dass sich ein ausgewogenes Set von Inputs ergab. Der Autor stand in keinerlei geschäftlicher Beziehung zu den Interviewpartnern. Den Teilnehmern wurde versichert, dass der Report ihre Antworten weder direkt noch indirekt so darstellt, als würden sie Sponsorprodukte oder -Services empfehlen oder diskutieren.

Die mit der Kohorte abgedeckten Rollen umfassen CISOs (oder gleichwertige Titel), Heads of Cyber Security, Directors of Information Security und Heads of Threat Intelligence. Finanzdienstleister sind die am stärksten vertretene Teilgruppe. 

Vorgehen

28 qualitative Interviews, gestützt durch ausgewählte quantitative Datenpunkte, um dem Forschungsgegenstand konkreten Realitätsbezug zu sichern. 

    Erhebungszeitraum

    Juli bis September 2020

Geografie
Europa - 14
USA - 14

Branchen

Finanzwesen
Energie
Rohstoffhandel
Dienstleister
Fertigung
Maschinenbau
Gesundheitswesen
Bildungswesen
Digitale Plattformen • Telekommunikation • Cybersicherheit
Buchhaltung
Lebensmittel 

Titles
CISO - Chief Information Security Officer
CSO - Chief Security Officer
CIO - Chief Information Officer
Director of Security & Privacy
Director IM and Security
Director Information Security
IT Director
IT Security Manager

Kapitel #1

Führungsposition Effektive Security

Die wichtigsten Prioritäten der Studienteilnehmer in den letzten 18 Monaten

Jetzt lesen

Kapitel #2

Ein Reality Check

Mehr Anerkennung und Verantwortung sind prima, aber mit dabei ist eine ganze Menge neuer Herausforderungen

Jetzt lesen

Kapitel #3

Die Angriffsfläche der Cyber-Bedrohungen

Was die Angreifer vorhaben - und was CISOs nachts wach hält

Jetzt lesen