Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

Rollen und Zwänge in Sicherheitsprojekten : Commedia della Sicurezza

Sicherheitsprojekte bringen die Inhaber verschiedenster Rollen in einer Organisationzusammen – oder gegeneinander auf. Letzteres lässt sich vermeiden, wenn die Akteure bereits vorab über Zwänge und Pflichten nachdenken, die mit den einzelnen Positionen verbunden sind. Genau dies hilft dabei, mögliche Diskrepanzen vorwegzunehmen und ein Projekt im eigenen Sinne voranzutreiben, sobald das unvermeidliche Feilschen ums Budget, die Ziele und den anzustrebenden Perfektionsgrad beginnt.

Lesezeit 18 Min.

Von Bettina Weßelmann und Johannes Wiele, München

Harlekin, Brighella und tolpatschiger Knecht, Colombina, Dottore und Pantalone – die Schauspieler der Commedia dell’Arte im alten Italien kamen mit immer dem gleichen Personal auf die Stegreif-Bühne. Langweilig? Offenbar nicht. Die Commedia dell’Arte hielt sich in Italien vom 16. bis ins 18. Jahrhundert und übt bis heute Einfluss auf Film und Theater aus. Ihren Witz bezogen die häufig spontan erfundenen Stücke ganz einfach daraus, dass sich die Typen des Spiels in immer neuen Situationen bewähren mussten. Und von denen gab es genug – die Straßenkomödie hatte direkten Bezug zum Leben der Zuschauer.

Auch in IT-Security-Projekten stößt man immer auf die gleichen Typen, die Rollenzwängen unterliegen. Natürlich stecken hinter den Figuren im Sicherheitstheater – CISO, Admin, Datenschützer, Controller, Vorstand und so weiter – auch individuelle Menschen mit höchst individuellen Eigenschaften, aber ein großer Teil ihres Verhaltens ist immer von der Rolle bestimmt, die sie spielen müssen. Es käme so manchem schwierigen Projekt sehr zugute, wenn sich die unfreiwilligen Akteure der jeweiligen Aufführung diese Tatsache bewusstmachen und entsprechend handeln würden. Ein kontroverses Meeting kann pures Theater sein – und zuweilen sollte man es tatsächlich so angehen, statt Widerstände persönlich zu nehmen und den Zorn darüber auf die „gegnerischen“ Individuen zu richten.

Diese Methode ist gar nicht so seltsam: Gerichtsverhandlungen funktionieren nach demselben Prinzip und ersetzen die allzu verlustbehaftete archaische Rechtsfindung mittels Streitaxt, Messer und Pistole bereits seit Jahrhunderten erfolgreich durch das Katz- und Mausspiel von Verteidiger, Ankläger und Richter. Eine echte Leistung der Kultur! Zeichen des Rollenspiels sind bis heute die Roben, hier und da Perücken und die stereotypen Pflichthandlungen, die den Akteuren zugewiesen sind (siehe auch [1]).

Zur Vorbereitung auf das Kräftemessen um Interessen und Kompromisse auf der Security-Bühne soll hier ein kleines Verzeichnis des üblichen Personals dienen, das dort auftritt. Es enthält Beschreibungen und „Gebrauchsanleitungen“ für alle zu erwartenden Mitspieler.

Für den Leser dieses Kompendiums gilt es dabei, zusätzlich zu den Ausführungen der Autoren zwei individuelle Parameter auszuloten: Welche Bedingungen statuiert die jeweilige Rolle im Spiel „an sich“ – und welche zusätzlichen Einflüsse üben der Aufführungsort (die Organisation) und das jeweilige Stück (das Projekt) auf den Verhaltensspielraum des einzelnen Akteurs aus? Wohl kaum einer Erwähnung bedarf die Tatsache, dass es auch beim Sicherheitstheater Handlungskonstanten gibt, die in jeder Aufführung wiederkehren – so, wie in der Commedia dell’Arte die Intrigen irgendeines alten, eitlen Tunichtguts gegen das allfällige Liebespaar. Die nervenaufreibendste Handlung ist wahrscheinlich das Feilschen um Personal-Budgets.

Eine weitere Konstante ist der Auftritt eines Schreckgespenstes namens „Cyber-Risiko“ – dieses so genau wie möglich fassen zu können und gegebenenfalls so geschickt wie möglich für die eigenen Interessen einzuspannen, ist die ständige Aufgabe jedes Teilnehmers am Spiel. Aber dazu mehr in den Abschnitten zu den einzelnen Rollen.

Bei der folgenden Aufstellung ergibt sich zwangsläufig noch eine weitere Parallele zur Commedia dell’Arte. Dort nämlich ist das Ensemble grundsätzlich aufgeteilt in „die da oben“: die „Vecchi“ – und die da unten: die „Zanni“, das gemeine Volk. Beim Security-Spiel stößt man auf eine ähnliche Konstellation, die allerdings mindestens drei Ebenen kennt: Auf der einen Seite die „Entscheider“, auf der anderen die Fachleute oder „SMEs“ (Subject Matter Experts), und dann noch diejenigen, die als „Security-Abteilungsleiter“ dazwischen eingeklemmt sind und in beide Richtungen vermitteln müssen.

Kurios ist dabei die Verteilung des eigentlich entscheidungsrelevanten Fachwissens, die selten mit der Entscheidungsgewalt selbst einhergeht: In vielen Fällen wissen die endgültigen Entscheidungsträger am wenigsten über Cybersecurity, Pantalone [3] während die Wissenden am wenigsten entscheiden dürfen. Genau das macht das Spiel interessant und bringt die unterhaltsamsten Dialoge mit dem höchsten dramatischen Potenzial hervor. Wer also tritt auf? Bühne frei!

Die Entscheider

Abbildung 1

Pantalone [3]

Vorstand oder CEO

Die Rolle: Die Unternehmensleitung muss ein Unternehmen so führen, dass es sich geschäftlich und im Sinne der Mitarbeiter
positiv entwickelt. Dazu muss sie Risiken für die Organisation abwenden, und zwar mit den vorhandenen finanziellen Mitteln. Jeder weiß das – und doch entsteht ein beträchtlicher Teil der Verwicklungen im Security-Schauspiel daraus, dass die Security-Riege in der Organisation regelmäßig vergisst oder ignoriert, dass die von ihr beobachteten Cyber-Risiken nicht die einzigen sind, mit denen Vorstand oder CEO zu kämpfen haben.

Die Gegenspieler: Die Unternehmensleitung hat sich zumeist mit dem CISO auseinanderzusetzen, der sie mit Cyber-Risiken konfrontiert und deren angemessene Beachtung und das Budget zu ihrer Bekämpfung verlangt.

Da CEO oder Vorstand selten über umfassendes Fachwissen in Sachen Informationssicherheit verfügen, müssen sie einen Weg finden, Cyber-Risiken richtig einzuschätzen und gegenüber anderen Risiken abzuwägen, deren jeweilige Vertreter auch um Berücksichtigung ersuchen.

Der daraus folgende Handlungsschritt: Um dieser Zwickmühle zu entgehen, setzen Unternehmensleiter zuweilen Risiko-Manager ein, auf die sie das Problem verlagern, oder Controller, welche die finanzielle Komponente für sie erfreulicher gestalten sollen. Oder sie fragen beim Compliance-Manager nach, was denn „wirklich sein muss“.

Unangenehm für die Geschäftsleitung ist, dass sie ein vom CISO oder gelegentlich vom Datenschutzbeauftragten vorgetragenes und womöglich gut dokumentiertes Cyber-Risiko auch nicht ignorieren darf, da dies im Falle einer Verletzung der Informationssicherheit auf die Leitungsebene zurückfallen könnte. Der sich hieraus ergebende Druck auf CEO/Vorstand kann bei bestimmten Rolleninhabern zu einer latenten Aggressivität gegenüber dem gesamten Sicherheitspersonal führen – vor allem, wenn die Akteure eine etwaige Unsicherheit in der Bewertung von Sicherheitsfragen ungern zugeben mögen. Siehe hierzu auch: CISO.

Regie-Hinweise: Je mehr Aufwand der CISO und seine Gefolgschaft treiben, um Security-Themen nachvollziehbar, vom Risikowert her einschätzbar und vergleichbar zu machen, desto eher wird die Geschäftsleitung dem jeweiligen Ansinnen gewogen sein.

Der Risiko-Manager

Die Rolle: Risiko-Manager gibt es meist nur in großen Unternehmen. Sie sind normalerweise Mitglieder der Geschäftsleitung, weshalb für sie dasselbe gilt, was unter Vorstand oder CEO bereits gesagt wurde. Allerdings rangieren die Risiko-Manager auf dieser Ebene eher im unteren Bereich, da sie ja „nur“ für das Bewerten und Minimieren der diversen Risiken zuständig sind, die einer Organisation drohen. Aus diesem Grund können sie sich hier und da in einer ähnlichen Vermittler- und Prügelknabenrolle wie der CISO und der CITSO befinden, sodass die übrigen Spieler sie tunlichst in ähnlicher Weise unterstützen sollten.

Regie-Hinweise: Taucht ein Risiko-Manager auf der Bühne auf, ist man gut beraten, dessen exakte Position und Handlungsfreiheiten möglichst schnell und genau zu ergründen

Der Compliance-Manager

Abbildung 2

Dottore [3]

Die Rolle: Der Compliance-Manager sorgt dafür, dass die Security externen Anforderungen wie Gesetzen und Industriestandards gerecht wird, die für eine Organisation gelten. Damit wird er für den Vorstand oder CEO oft zum vermeintlichen Rettungsanker: „Wir tun das, was wir laut Gesetz und Norm unbedingt tun müssen, und damit gut – basta!“

Vorstand oder CEO versuchen auf diese Weise, dem aus ihrer Sicht schwammigen und schwer zu fassenden Best-Practices-Prinzip zu entgehen, dem wiederum viele CISOs, CITSOs und vor allem Security-SMEs folgen. Es besagt, dass sich Sicherheitsmaßnahmen am Stand der Technik und an all dem orientieren sollten, was man in der jeweiligen Branche anderswo so tut.

Das Problem ist, dass dem Vorstand oder CEO ein eigener Zugang zur Security-Welt oft fehlt. Die Unternehmensführung muss sich deshalb von der CISO-, CITSO- und SME-Riege erklären lassen, was zur jeweiligen Zeit als Best Practices gelten darf. Dabei entsteht oft der Argwohn, dass die Spezialisten den von ihnen ermittelten Stand der Technik womöglich nur vorschieben, um eigene Idealvorstellungen von Sicherheitsmaßnahmen durchzudrücken (siehe auch: CITSO).

Der Fluchtreflex der Geschäftsleitung, der daraufhin in das verbindlich gedruckte Wort führen soll, setzt allerdings unvermeidlich eine immer wieder unterhaltsame Konflikthandlung in Gang: Der als Rettungsanker auserkorene Compliance-Manager muss nämlich fast immer darauf hinweisen, dass die von ihm vertretenen Gesetze oder Industrienormen (Kritis, ISO 2700x, Grundschutz, PCI DSS usw.) auch den Satz enthalten, die jeweilige Organisation müsse sich zusätzlich zu den im Text enthaltenen Regeln auch an Best Practices orientieren. Ein wunderbarer Anlass, Vorstand oder CEO im Stück dumm aussehen zu lassen.

Regie-Hinweise: Gerät ein Compliance-Manager unter Druck, kann er grundsätzlich einen Joker in Gestalt des Auditors aus dem Ärmel ziehen. Dann verstummt alle Kritik, egal woher sie kommt, und alle auf der Bühne schauen sich ängstlich um. Hilfe braucht der Compliance-Manager deshalb selten und Gegenspieler lassen ihn vergleichsweise kalt.

Der Controller

Die Rolle: Controller (Buchhalter) dürften im Security-Theater, so meint man, doch eigentlich eine eher nachgelagerte Rolle spielen, da sie gewöhnlich auf die wirtschaftliche Leistung einer Organisation fokussiert sind und ansonsten der Richtigkeit der Einnahmen und Ausgaben hinterherzurechnen haben. Der eine oder andere Vorstand oder CEO setzt sie bei drohenden Security-Projekten aber auch gern dazu ein, vorab nach Einsparungsmöglichkeiten zu suchen.

Da nur wenige Controller tief genug in der Materie stecken, um grundsätzliche Sicherheitsstrategien bewerten zu können, setzen sie mit Vorliebe bei den zu erwartenden Personalkosten an: Muss das SOC-Personal denn wirklich aus teuren internen Analysten bestehen, lässt sich deren Arbeit nicht besser outsourcen oder reicht womöglich der Praktikant, der ohnehin gerade in der Sicherheit hospitiert? Entscheidungen wird ein Controller selten treffen, aber seine Einschätzungen können die Geschäftsleitungsebene nachhaltig beeinflussen.

Die Gegenspieler: Für den Controller ein Stachel im Fleisch sind alle Mitspieler, die in Sachen Security fachlich argumentieren. Er muss dann seiner Aufgabe nachkommen, ohne den Kasus wirklich ergründen zu können.

Regie-Hinweise: Hier gilt umso mehr, was zu den anderen Akteuren auf der Ebene von Vorstand oder CEO bereits gesagt wurde: Erklären, erklären und nochmal (geduldig) erklären. Das wird sehr wohl honoriert, denn selbst der schärfste Controller will ungern der Grund dafür sein, dass die Geschäftsleitung einem Cyber-Risiko am Ende unzureichende Mittel entgegensetzt. Und: Jeder Controller weiß, dass man ihn ungern mitspielen lässt. Tief durchzuatmen und anzudeuten, dass man seine Rolle versteht, hilft bei der Durchsetzung der eigenen Position im Stegreif-Spiel ungemein.

Die Vermittler

Der CIO

Die Rolle: Der CIO ist im Security-Spiel erstaunlich oft die große Unbekannte. Da er dafür verantwortlich ist, mittels IT möglichst effizient und störungsfrei zum Geschäftserfolg beizutragen, kann er Security-Projekte mal als hinderlich, mal als Beitrag zur Stabilität betrachten. Das eigentliche Security-Personal sollte von Fall zu Fall ermitteln, welche Stellung der Inhaber dieser Rolle im konkreten Fall vermutlich einzunehmen gedenkt.

Der CISO

Abbildung 3

Colombina [3]

Die Rolle: Der CISO ist für die hinreichende Sicherheit der Informationen in einer Organisation zuständig. Das klingt einfach – gerade die Inhaber der technischeren Security-Rollen vergessen aber oft zwei wichtige Aspekte dieser Pflicht: Erstens, dass die Sicherheitsanforderungen nicht absolut, sondern „angemessen“ zu erfüllen sind, und zweitens, dass nicht jeder CISO primär technisch denkt. Dies nämlich decken der CITSO (Leiter IT-Security) und die weiteren technischen Rollen ab.

Die Gegenspieler: Der CISO berichtet (manchmal mit einem Umweg über den CIO) an den CEO oder Vorstand – und dort nimmt man, wie schon erläutert, selten eine reine Security-Perspektive ein, sondern bewertet die Arbeit des CISO auch danach, ob er Budgets in einem vertretbaren Rahmen einsetzt und ob er die eigentliche Geschäftstätigkeit des Hauses im Blick hat. Wie angenehm oder unangenehm die Rolle des CISO dabei ausfällt und welche Entscheidungsspielräume er überhaupt hat, hängt davon ab, welches Vertrauen ihm die Geschäftsleitung entgegenbringt und wie stark er in dieselbe eingebunden ist. Manche CISOs sind stark, manche müssen auf der Security-Bühne den obersten Prügelknaben abgeben. Dieser Fall tritt insbesondere dann ein, wenn tatsächlich eine Verletzung der Informationssicherheit eintritt oder wenn eine Sicherheitsmaßnahme ein konkretes Geschäft verhindert.

Alle Sicherheitsspezialisten in einem konkreten Security-Stück tun gut daran, dem CISO zu helfen. Sie sollten jeden Wunsch oder jede von ihm eingeforderte Expertise mit anschaulichen Begründungen untermauern, die im Zweifelsfall auch für die Geschäftsleitung verständlich sind. Besonders hilfreich sind Daten, die zweifelsfrei erkennen lassen, dass eventuelle neue oder verschärfte Sicherheitsmaßnahmen auch anderswo gelten. Vorstand oder CEO neigen nämlich dazu, vor der Zustimmung zu kostenträchtigen oder lästigen Maßnahmen bei Kollegen in der eigenen Branche nachzufragen, ob man dergleichen auch dort in Betracht zieht oder ob der eigene CISO womöglich überzogene Perfektionsgrade anstrebt. Liefert der CISO allerdings tragfähige Bewertungsgrundlagen für eigene Forderungen gleich mit, sinkt die Wahrscheinlichkeit einer zusätzlichen Prüfung.

Regie-Hinweise: Viele CISOs fahren gut damit, den übrigen Security-Spielern die Zwänge und Zwickmühlen offenzulegen, in denen sie stecken. Die Colombina ist in der Commedia dell’Arte eine der wenigen Figuren, die ohne Maske auftritt. Als Schwäche wird solche Offenheit selten interpretiert – während der Versuch, Aufoktroyiertes als eigene Entscheidung zu tarnen, zumeist misslingt. Wenn es um die Argumentation „nach oben“ geht, ist die schon mehrfach erwähnte Verständlichkeit das Mittel der Wahl, während das SOC möglicherweise den einen oder anderen realen Vorfall zum Wachrütteln der Geschäftsleitung beisteuern kann. Was die Budgetfragen betrifft, hilft – wenn der Compliance-Manager nicht mit einem „Das muss sein!“ zur Seite steht (speziell seit Gültigkeit der DSGVO) – eventuell ein Schulterschluss mit einem alten Feind: dem Datenschutzbeauftragten, der neuerdings auch mit technischen Mitteln Risikobegrenzung betreiben muss.

Der CITSO

Die Rolle: Der CITSO (auch: Leiter IT-Security) ist dafür verantwortlich, dass zur Herstellung der Informationssicherheit in einer Organisation die richtigen und hinreichenden technischen Mittel bereitstehen. Er wählt also auch Produkte und Verfahren aus, wobei ihn die Security-SMEs unterstützen. Seine Vorgaben bekommt er vom CISO, der diese wiederum aus den Wertungen des CEO oder Vorstands oder des Risiko-Managers ableitet.

Die Gegenspieler: Das Dumme an seiner Rolle ist, dass der CITSO unbedingt eine gewisse Leistung erzielen muss, zugleich aber unweigerlich dahingehend unter Druck gesetzt wird, das Ziel doch bitte „etwas preisgünstiger“ zu erreichen – nein, noch etwas billiger bitte. „Da gibt es doch bestimmt noch eine andere Lösung?!“ Regie-Hinweise: Der CISO sollte es sich verkneifen, den „von oben“ gern ausgeübten Kostendruck ungefiltert an den CITSO weiterzugeben. Die Security-SMEs als Mitarbeiter des CITSO wiederum tun gut daran, ihrem Chef mit einem simplen Trick zu helfen. Bei jedem Design einer Security-Lösung gilt es nämlich, drei Varianten ins Spiel zu bringen: Eine über-perfekte, die viel zu teuer ist und somit abgeschmettert werden kann, eine bodenlos billige, die aber ein viel zu hohes Restrisiko belässt, und die eigene Wunschkonstruktion als Modell dazwischen, die dann mit hoher Wahrscheinlichkeit ausgewählt wird. Der CITSO kann sich positiv profilieren, wenn er zusammen mit seinem Team Lösungen propagiert, die den Betrieb wenig stören und wenig Änderungen an der eingespielten Praxis erfordern. Damit kann er auf der Bühne ungeahnte Überraschungseffekte landen.

Der Datenschutzbeauftragte

Abbildung 4

Isabella [3]

Die Rolle: Nein, als Buhmann oder Lachnummer im Sicherheitszirkus taugt diese Figur längst nicht mehr. Früher oft als weltfremder „Verhinderer“ verschrien, wird der Datenschutzbeauftragte entweder selbst oder mithilfe eigener Mitarbeiter mehr und mehr zum Zweit-CISO für den Sonderfall „personenbezogene Daten“, dessen Budget man heute gern mit dem der übrigen Informationssicherheit vereint. Seine Besonderheit: Er muss IT- und Rechtskenntnisse zugleich mitbringen und
redet deshalb gern einmal ein wenig seltsam daher, zumindest aus Sicht der Techniker-Fraktion.

Die Gegenspieler: Bei aller neuen Harmonie bekommt es der Datenschutzbeauftragte zuweilen mit Vorstand oder CEO zu tun, die aus personenbezogenen Daten allzu gern maximales Kapital schlagen wollen – und mit CISOs oder CITSOs, die den gewöhnlichen Mitarbeitern im Betrieb gern mittels technischer Werkzeuge auf die Finger schauen möchten. Das alles taugt aber nur für Nebenhandlungen.

Der Abteilungsleiter (produktiv)

Abbildung 5

Brighella [3]

Die Rolle: Hat eine geplante Security-Maßnahme Auswirkungen auf die Praxis in einem bestimmten Unternehmensbereich, tritt auch dessen Chef auf den Plan. Ihm geht es darum, „dass der Laden läuft“, wird er doch daran vom ––>Vorstand oder CEO gemessen. Wenn nicht der seltene Fall eintritt, dass ein Abteilungsleiter selbst eine Security-Maßnahme fordert (etwa, weil er störende Eingriffe von außen befürchtet), sieht er neue Sicherheitsanforderungen eventuell als störenden Faktor an und wird nach Wegen suchen, sie zu verhindern.

Dem Abteilungsleiter helfen und ihn zugleich positiv stimmen kann die Security-Phalanx, indem sie wenig störende Security-Werkzeuge und -Verfahren bevorzugt – dazu mehr unter ––>CITSO. Wichtig ist, das entsprechende Entgegenkommen
auch explizit publik zu machen, denn das bringt wohlwollende Aufmerksamkeit bis hin zur Geschäftsleitungsebene.

Wissende Nicht-Entscheider

Der Second-Line-SME

Abbildung 7

Pagliaccio [3] u

Die Rolle: Den Second-Line SME gibt es in vielen Varianten: Als Administrator eines Sicherheitswerkzeugs (Virenschutz, Firewall, Intrusion-Protection und so weiter), als Verantwortlichen für ein Teilverfahren (Verschlüsselung, Zugriffssicherung, Awareness und anderes) oder als internen Spezialisten für besondere Einsatzzwecke. SME steht für „Subject Matter Expert“ und weist darauf hin, dass in dieser Gruppe vermehrt das zu finden ist, was weiter oben immer dünner wird: relevantes Wissen. Wie unter „Gegenspieler“ zu lesen ist, sind die SMEs mangels diplomatischer Einstellung allerdings nicht immer die besten Anwälte ihrer berechtigten Anliegen. Ein tragisches Element! Die SMEs sehen aus eigener Anschauung, was ihre Tools und Teams können und wo diese an Grenzen stoßen – und sie bekommen zu spüren, ob die technischen und personellen Ressourcen reichen oder nicht.

Darüber hinaus gilt für die meisten, dass sie sich über den Stand der Technik auf dem Laufenden halten. All dies führt dazu, dass sie Forderungen stellen oder zumindest Anregungen weiterreichen. Der Weg zur Entscheiderebene ist allerdings lang und führt mindestens über CITSO und CISO.

Die Gegenspieler: Security SMEs neigen zum Perfektionsdenken in Sachen Sicherheit – positiv ausgedrückt: Sie sind für Security Feuer und Flamme. All die Ignoranten „da oben“ (Vorstand oder CEO, Controller, CIO), gegebenenfalls CISO, die ständig mit Kosten und Kompromissen argumentieren, sind ihre Feinde. Da muss der CITSO doch mal durchgreifen! Hin und wieder allerdings trifft man auch SME-Figuren, die an den eigenen Ansprüchen verzweifeln Pagliaccio und den desillusionierten „Ist-doch-Mezzetino“- oder „Das-wird-doch-eh-wieder-nichts“-Typen geben.

Regie-Hinweise für SMEs: Mit dem CITSO ein Bier trinken gehen und den Drei-Lösungen-Trick besprechen.

Der Chor der „Owner“

Abbildung 6

Mezzetino [3]

Die Rolle: Ein Owner ist für ein einzelnes „Asset“ auf der Security-Bühne verantwortlich: Eine produktive Hardware (System-Owner), eine Software (Application-Owner) oder einen irgendwie abgrenzbaren Typ von Informationen (InformationOwner). Ein Owner muss über den Status des ihm zugeteilten Assets Auskunft geben können – und dabei sowohl über den Betriebszustand als auch über das Risiko, das dem Gegenstand droht.

Wie sich „Owner“ im Security-Spiel verhalten und welcher Position sie zuneigen, ist schwer vorhersehbar. Zuweilen betrachten sie Security als Feind, weil sie die Produktivität ihrer Assets einschränken könnte, zuweilen verfallen sie in Security-Panik. Letzteres kann vor allem dann geschehen, wenn einzelne Owner, die in Unternehmen gern einmal „einfach so“ ernannt werden, nach dem Cyber-Risiko befragt werden, dem die ihnen anvertraute Sache ausgesetzt ist. Wenn sie dann unsicher sind, aber sich absichern wollen, setzen die Owner den Risikowert zuweilen so hoch an, dass selbst perfektionistische SMEs nicht mehr folgen wollen.

Owner sind deshalb hervorragend dazu geeignet, einem langweiligen Stück ungeahnte Wendungen zu geben – vor allem, wenn sie den CIO für sich vereinnahmen können.

Die Joker

Der Auditor

Abbildung 8

Arlecchino [3]

So manche Security-Komödie kommt nur deshalb überhaupt in Gang, weil der Joker namens „Auditor“ bereits vor der Tür steht
und unheilvoll breit grinst. In anderen Fällen wird sein Kommen von nahezu beliebigen Angehörigen der Vermittler und Nicht-Entscheider oder vom ––>Compliance-Manager heraufbeschworen, um die Entscheider in Angst und Schrecken zu versetzen. Festgefahrene Handlungen bekommen dann neuen Schwung.

Kurios ist, dass im Security-Spiel wirklich jeder weiß, wie man einen Auditor zufriedenstellt und wie man seinem Auftreten deshalb jeden Schrecken nehmen könnte: mit Offenheit und guter Dokumentation. Die Umsetzung ist es, die die Dramen produziert.

Das SOC

Das Security-Operations-Center (SOC) ist neben dem Auditor der zweite potenzielle Joker oder „Deus ex Machina“ in einer Security-Komödie oder -Tragödie. Das SOC-Team, sofern es in der Organisation existiert, hat einen stets aktuellen Überblick über die tatsächlichen Bedrohungen, denen ein Unternehmen ausgesetzt ist, und liefert deshalb potenziell wertvollen Input für die Einschätzung des Cyber-Risikos in Form von Fakten.

Prinzipiell könnte der Output des SOC fast jede Auseinandersetzung um Security-Maßnahmen auf eine solide Basis stellen und damit die meisten Dramen um Budgets und Verfahren komplett unnötig machen. Weil aber viele SOCs unterbesetzt, mit unzureichenden Tools ausgerüstet oder schlicht nicht in der Lage sind, die eigenen Ergebnisse für alle Gruppen im Security-Spiel „genießbar“ zu machen, kann die Commedia della Siccurezza noch lange fröhlich weiterspielen.

Der Berater

Abbildung 9

Meneghino [3]

Ach ja, den Berater gibt es auch noch – und oft genug tritt er sogar mitten im Pulk auf. Sein Beitrag zum Fortgang des Stücks hängt aber weitgehend davon ab, wer sein Auftraggeber oder „Sponsor“ ist – und das kann vom ––>CITSO aufwärts nahezu jeder Rolleninhaber aus dem Haupt-Ensemble sein.

Natürlich gibt es Berater, die es schaffen, eigene Ideen durchzusetzen. Wenn sie gut sind, wird aus der Komödie dann fast schon ein langweiliges Lehrstück – und wenn sie schlecht sind: siehe oben.

Bettina Weßelmann (bettina@wesselmann.com) ist Beraterin für Unternehmenskommunikation und Fachautorin mit dem Spezialgebiet Informationssicherheit. Dr. Johannes Wiele (johannes@ wiele.com) ist freier Autor sowie GDDgeprüfter Datenschutzbeauftragter und arbeitet als Senior-Manager in der Cybersecurity-Beratung.

Literatur

[1] Johan Huizinga, Homo Ludens, Vom Ursprung der Kultur im Spiel, Rowohlt, 1981, ISBN 978-3-499- 55435-3
[2] Maurice Sand, Masques et bouffons; comédie italienne by Maurice Sand (1862), Wikimedia Commons, https://commons.wikimedia.org/wiki/Category:Masques_et_bouffons;_com%C3%A9die_italienne_by_Maurice_Sand_(1862)?uselang=de
[3] Wikipedia, Figuren und Masken der Commedia dell’arte, https://de.wikipedia.org/wiki/Commedia_dell%27arte#Figuren_und_Masken

Diesen Beitrag teilen: