Kommunikation gehört heute zum Handwerkszeug des modernen CISOs
Der Job des CISOs erforderte schon immer Menschen, die sich für die IT-Sicherheit begeistern können. In der heutigen Welt geht es ebenso sehr um Unternehmensführung und Kommunikation wie um den Sicherheitsaspekt selbst. Ein CISO muss seinen Auftrag transparent machen können, um den Vorstand zu erreichen und dazu die Notwendigkeit zur Umsetzung erforderlicher Maßnahmen effizient kommunizieren.
Das Skill-Set eines CISOs ist heute mehr denn je einem Wandel unterworfen. Gerade in den letzten zehn Jahren hat eine fundamentale Veränderung des Aufgabengebiets stattgefunden. Die Funktion war lange Zeit als Verhinderer des Fortschritts verrufen und wurde für die Suche nach dem Verantwortlichen für vermeintliche oder reale Sicherheitsvorfälle benutzt. Derzeit steht bei einem modernen CISO nicht ausschließlich der sichere Cyberspace im Mittelpunkt der Arbeit, sondern die Umgestaltung zu einer effizient abgesicherten Geschäftsumgebung. Dabei nimmt die Fähigkeit der Kommunikation mit verschiedenen Ebenen innerhalb einer Organisation großen Raum ein, um zwischen den wachsenden Bedürfnissen der Geschäftsanforderungen und der Belegschaft zu vermitteln. Angesichts einer sich schneller als je zuvor entwickelnden Bedrohungslandschaft ist für jeden CISO das Gewährleisten der Sicherheit seines Unternehmens unabdingbar, aber dazu muss er viel mehr in alle Richtungen über das Risikoniveau kommunizieren als jemals zuvor.
Kommunikation mit dem Vorstand
Ein wichtiger Eckpfeiler für jeden CISO bildet die Kommunikation mit dem Vorstand. Hier nimmt der Head of Security die Rolle des Aufklärers ein, der auch anstehende Gesetzesinitiativen rund um Cybersicherheit in ihrer Bedeutung für das eigene Unternehmen aufbereiten und umsetzen muss. Vor zehn Jahren noch beschränkte sich die Kommunikation mit der Firmenleitung auf Transaktionsebene. Heute wird der CISO als Berater in die Pflicht genommen, um Sicherheitsdirektiven mit ihrer Bedeutung für das Unternehmen zu übersetzen und Maßnahmen zur Umsetzung zu ergreifen, die deren Compliance gewährleistet.
Dementsprechend muss der CISO im Hinblick auf gesetzliche Neuerungen auf dem Laufenden sein und den Überblick bewahren, welche rechtlichen und finanziellen Auswirkungen mit neuen Cybersicherheitsvorschriften für das Unternehmen einhergehen. Viele der jüngsten europäischen Direktiven für Sicherheit wie beispielsweise SREN in Frankreich wurden einerseits nur auf Landesebene erlassen oder haben wie NIS-2 EU-weite Auswirkungen. Manche gelten einerseits nur für Regierungsbehörden, haben aber ebenfalls Folgen für die Privatwirtschaft. Wenn die Regierung eine Vorschrift erlässt, lehnt sie in der Folge nicht selten die Zusammenarbeit mit Organisationen ab, die den geforderten Standard nicht erfüllen oder Unternehmen fordern Compliance für die Auswahl ihrer Lieferanten. In diesem Sinne unterliegen auch Unternehmen, die sich um staatliche Aufträge bemühen, den Cybersicherheitsvorschriften für den öffentlichen Sektor.
Zudem soll die EU NIS-2-Richtlinie das allgemeine Niveau der Cybersicherheit in der EU erhöhen. Im Rahmen dieser Direktive müssen Unternehmen, die von den Mitgliedstaaten als Betreiber kritischer Infrastrukturen und Dienstleistungen eingestuft werden – einschließlich wichtiger digitaler Anbieter wie Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze -, nach dem innerhalb des nächsten Jahres anstehenden NIS-2-Umsetzungsgesetz im Lauf der Karenzfrist angemessene Sicherheitsmaßnahmen ergreifen und nach Inkrafttreten die zuständigen nationalen Behörden über schwerwiegende Vorfälle informieren.
In diesen Teilaufgabenbereich der Einhaltung sich stetig wandelnder Auflagen und Direktiven kann viel Zeit fließen. Die Herausforderung für CISOs besteht darin, dem Vorstand das tatsächliche Risiko und Anforderungsprofil für das Unternehmen verständlich zu machen und Anforderungen rechtzeitig zu kommunizieren. So lassen sich Panikmomente vermeiden, die Vorstandsmitglieder dann erleben, wenn Bedrohungsrisiken oder Veränderungen zu spät oder ohne einen Reaktionsplan kommuniziert werden. Da sich das Tempo der regulatorischen Veränderungen nicht verlangsamen wird, wird die Fähigkeit der CISOs in der Kommunikation nach oben zukünftig für den Geschäftserfolg noch größere Bedeutung einnehmen.
Abteilungsübergreifende Kommunikation
Mit der zunehmenden Bedeutung der Cybersicherheit im Unternehmen hat sich auch das Ansehen der Sicherheitsverantwortlichen gewandelt. Mit einem „C“ in seinem Titel nimmt der CISO heute auch eine Funktion auf Geschäftsleitungsebene ein, die allerdings auch mit einer seitwärts gerichteten Anforderung an die Kommunikation einhergeht.
Der CISO hat heute einen umfangreichen Zuständigkeitsbereich: Er ist für die Sicherheit des gesamten Unternehmens sowie für alle digitalen Identitäten, Geräte und Systeme verantwortlich. Sollte die Sicherheit eines dieser Elemente ausfallen, wäre der Geschäftsbetrieb des Unternehmens gefährdet oder die Stabilität beeinträchtigt. Es ist jedoch selten, dass ein CISO diese Verantwortung alleine trägt. Denn die Zuständigkeit für die Endpunkte wie beispielsweise Geräte, Systeme, Kontrollfunktionen und Verwaltung ist meist an anderen Stellen angesiedelt, sodass diese Stabstellen auch für die Sicherheit sorgen müssen. Häufig fällt diese Aufgabe in den Zuständigkeitsbereich des Chief Information Officers, aber auch andere Mitglieder der Geschäftsleitung wie beispielsweise der Chief Digital Officer (CDO) oder der Chief Technologie Officer (CTO) werden einbezogen, je mehr die Digitalisierung Einzug in den Geschäftsbetrieb hält.
Um diesem Umstand Rechnung zu tragen, müssen CISOs mit ihren C-Level Kolleginnen und Kollegen über die gemeinsam zu tragende Verantwortung und die vereinbarten Ziele kommunizieren. Hier ist eine Kombination von Fertigkeiten im Storytelling, Verhandeln und Verkaufen gefordert, um eine gemeinsame Vision und Mission zu erfüllen, die in allen Abteilungen greifen. Es gilt, fundierte Beziehungen auf horizontaler Ebene zu etablieren, so dass alle Führungsverantwortlichen einheitlich an einem Strang ziehen. Nur auf diese Weise lassen sich gemeinsame Sicherheitsziele erreichen, die in die übergreifenden Geschäftsziele des Unternehmens einfließen.
Kommunikation nach unten
Nicht zuletzt ist der Informationsfluss nach unten die wohl wichtigste Art der Kommunikation, denn alle Teams der IT-Security Organisation müssen für bestimmte Ziele zu begeistert werden. Es gibt viele Mitarbeitende im Sicherheitsbereich, allen voran Sicherheitsanalysten, die nicht den ganzen Tag mit der Durchsicht von Ereignisprotokollen verbringen wollen, oder Hardware-Administratoren, die mit Patch-Management beschäftigt sind. Anstelle dieser monotonen Art der Kontrollfunktion sind Security-Analysten in der Regel viel mehr daran interessiert, ihren Unternehmen tiefe Einblicke in die Risikolage zu gewähren. So können sie bei der Aufdeckung von potenziellen Schwachstellen und damit in der Verteidigung helfen oder dazu beitragen, Sicherheitsverletzungen aufzuspüren.
Die regelmäßige CISO-Kommunikation und der Austausch mit den Teilen der Belegschaft, die in den Betrieb von Sicherheitslösungen involviert sind, trägt zudem zur Mitarbeiterbindung bei. In einem hart umkämpften Markt an Sicherheitsfachkräften ist dieser Dialog nicht zu unterschätzen. Der CISO ist sich bewusst, dass die Konsistenz der Belegschaft zu dem Ergebnis eines übergeordneten Sicherheitspostulats beiträgt. Ein CISO, der es versteht, seine Ziele nach unten zu kommunizieren und dafür zu sorgen, dass sein Team gesteckte Ziele mit Begeisterung umsetzt, leistet seinen langfristigen Beitrag zur Mitarbeiterbindung und verhindert Schwankungen in der Sicherheitslage, die mit einem Wechsel der Teammitglieder einhergehen können.
Kommunikationsmanagement als übergeordnetes Ziel
Die klassische Rolle des CISOs wurde zu einer Zeit geschaffen, als Unternehmen eine Funktion für die IT-Sicherheit brauchten. Durch die Weiterentwicklung von Technologien ist Cybersicherheit zu einem zentralen Faktor für den Geschäftserfolg geworden und die Verantwortung und die erforderlichen Fähigkeiten eines CISO unterlagen dem gleichen Wandel. Neben Lösungsansätzen, Cyberbedrohungen und dem Risikomanagement ist es für einen modernen CISO ebenso wichtig, ein Unternehmen durch eine starke Kommunikation effizienter, vernetzter und damit leistungsfähiger zu gestalten. Während früher das Verständnis der Technologie im Mittelpunkt der Rolle stand, benötigt der CISO von heute Verständnis für den gesamten Geschäftsbetrieb und die Fähigkeit mit allen Stakeholdern zu interagieren.
Marc Lueck ist CISO EMEA bei Zscaler.