Mit angezogener Handbremse : Wie Sicherheits-Organisation und Management für unnötige Reibung sorgen können
Wer eine Security-Stelle besetzen (oder seine berufliche Position verändern) will, ist gut beraten, genauer zu ergründen, welchen Stellenwert die Security in der betreffenden Organisation besitzt und wo es möglicherweise problematische „Reibung“ zwischen verschiedenen Beteiligten oder Abteilungen gibt – eine gelegentliche Selbstreflexion und -positionierung kann einem Unternehmen an dieser Stelle ebenfalls nicht schaden.
Problematische Aspekte bei der Beschäftigung von IT-Security-Experten haben bereits verschiedene <kes>-Beiträge beleuchtet – zuletzt hinsichtlich der Vor- und Nachteile der Einstellung von Quereinsteigern [1]. Doch nicht nur die unmittelbare Personalpolitik, sondern auch der Aufbau der Sicherheitsorganisation, das Management und die Unternehmenskultur beeinflussen die Attraktivität entsprechender Stellen – diese Punkte können unnötige Reibungsverluste verursachen und entscheiden letztlich über Erfolg oder Misserfolg der Security-Abteilung.
Security-Motivation
Zynisch gesagt, gibt es genau drei Gründe, warum eine Firma eine Securityabteilung hat, die ja in der Regel hohe Kosten verursacht: Noch immer ist für die Geschäftsführung meist ein konkreter Vorfall (zumindest mit) entscheidend, eine IT-Security-Abteilung zu etablieren. Ein weiterer Auslöser ist das sogenannte KRITIS-Gesetz, dass jedes Unternehmen im Bereich der kritischen Infrastruktur zwingt, einen Verantwortlichen für Cybersicherheit zu benennen. Eine dritte, noch immer eher seltene, Motivation ist einfach, dass Sicherheit „State of the Art“ ist – man kümmert sich darum aus Einsicht, ohne dass es einen ersichtlichen Vorfall gegeben hätte, der aufgefallen wäre (viele Angriffe wie ein Diebstahl von Kundendaten bleiben verborgen), und ohne konkrete rechtliche Anorderungen.
So unbequem die Frage nach dem ursprünglichen Grund für das Forcieren von IT-Sicherheit in einer Firma auch sein mag, so wichtig ist sie: Denn für die Effizienz einer Abteilung macht es viel aus, ob sie „nur“ geschaffen wurde, weil man das rechtlich tun musste oder es einen schweren Vorfall gab, der vielleicht finanzielle Verluste mit sich brachte oder das Ansehen schädigte – oder weil man tatsächlich daran glaubt, ein „Prüfsiegel IT-Security“ auf der Website erzeuge höheres Kundenvertrauen. Auch der Grad erwartbarer Unterstützung durch Management und Mitarbeiter:innen dürfte je nach Motivation deutlich variieren.
CISO & Co.
Vor bald zwei Jahren versuchte der Autor bereits, die vielfältigen Aufgaben des CISOs in der <kes> abzugrenzen [2] – mittlerweile ist es noch komplizierter geworden: Allein über die Frage, ob ein „Chief Information Security Officer“ (CISO) dasselbe ist wie der Informationssicherheitsbeauftragte (ITSiBe) oder nicht, findet man im Netz ganze Abhandlungen. Manche Firmen verknüpfen den Job des CISO auch mit anderen Berufen, vermutlich um Geld zu sparen. So wurden dem Autor über die Jahre schon CISO-Jobs angeboten, bei denen er gleichzeitig entweder Datenschutzbeauftragter oder Lizenzmanager sein sollte – analog könnte man einen Lungenfacharzt suchen, der parallel als Orthopäde oder Gehirnchirurg arbeitet. Letztlich handelt es sich um völlig andere Berufe! Bei einem seiner Arbeitgeber übte der Autor parallel den Job des IT-Risk-Managers aus – hier gab und gibt es zumindest gewisse Überschneidungen.
Oft ist selbst dem, der das Bewerbungsgespräch führt, das Rollenverständnis nicht ganz klar. Ebenfalls im langen Erfahrungsschatz des Autors liegt die Erinnerung an eine Bewerbung als IT-Risk-Manager, bei der im Gespräch angemerkt wurde, dass der ausgeschriebene Job zwar schon weg sei, aber es gäbe ja noch ein Angebot als Mitarbeiter in einem SOC – inklusive Bereitschafts- und Schichtdienst und Firewallkonfiguration. Fast dasselbe, oder?!
In der Tat ist die Aufgabe eines CISO aber gar nicht einfach abzugrenzen. So listet ein Beitrag auf „The Hub for Scholars“ [3] gleich 25 verschiedene „bestbezahlte“ Jobs im Bereich IT-Security auf. In einem solchen Umfeld können sowohl die ausschreibende Personalabteilung als auch die/der das Bewerbungsgespräch führende Manager:in schnell den Überblick verlieren.
Die Anforderungen für diesen Beruf sind ebenfalls eher diffus: Einige Firmen verlangen als Voraussetzung ein abgeschlossenes Informatikstudium, andere stellen auch mal einen Juristen (wegen des Bezugs zum Datenschutz) oder einen kompletten Quereinsteiger als CISO ein (vgl. [1]). In den USA spielt ein Ph. D. keine Rolle, in Europa haben jedoch immerhin 11 % der CISOs einen Doktortitel [4].
Sogar über die wichtigste Fähigkeit eines CISO sind sich die Unternehmen nicht einig: 44 % betonen hier „technische Kompetenz“, aber immerhin 16 % halten „gute Beziehungen zu den Bereichen“ für die wichtigste Eigenschaft. Braucht ein CISO also mehr Hirn oder mehr Herz? Auch der Einfluss der CISOs auf die höheren Führungsebenen schwankt sehr stark regional: In der „Gemeinschaft Unabhängiger Staaten“ (GUS) sind nur 5 % der CISOs an der Führungsebene beteiligt, im westlich orientierten Europa 64 % – international gemessen, sind 34 % der CISOs Teil des Vorstands ihres Unternehmens.
Ist das „C“ also vielerorts trügerisch? Ist das der Grund, warum viele Firmen stattdessen nur noch einen Informationssicherheitsbeauftragten suchen? „Den CISO“ definieren verschiedene Organisationen zumindest sehr unterschiedlich. Daher geht die „Stellenausschreibung“ oft über den direkten Vorgesetzten und die HR-Abteilung hinaus. Jedes Unternehmen, das einen CISO sucht, sollte auch drüber nachdenken, wie er eingesetzt wird, wenn er eingestellt worden ist: Die bereits zitierte Kaspersky-Befragung [4] ergab, dass sich der Vorstand zu 58 % bei Sicherheitsvorfällen an den CISO wendet – leider bleibt es der Spekulation überlassen, was mit den restlichen 42 % ist. Erfahren diese CISOs nie vom Vorfall? Oder deren Vorstand nicht?
Personalpolitik
Ein Thema, das wichtige Auswirkung auf die Security-Organisation hat, sind naturgemäß auch die Bezahlung der Expert:inn:en sowie die indirekten Kosten, etwa für Schulungen oder die Anschaffung von Security-Governance-Tools. Beim Gehalt sind die oft genannten Zahlen scheinbar völlig aus der Luft gegriffen: So behauptet die Seite gehalt.de, dass das Durchschnittsgehalt eines CISO in Deutschland 177.000 € pro Jahr beträgt – in Hessen würden sogar Spitzenwerte von 192.000 € erreicht. Dies widerspricht allerdings allen Beobachtungen, die der Autor in den letzten Jahren, trotz hoher Nachfrage und 20 Berufsjahren Erfahrung in der IT-Security, gemacht hat – sollten Sie, werte:r Leser:in, andere (oder auch gleichlautende) Erfahrungen gemacht haben, schreiben Sie gern an redaktion@kes.de.
Selbst eine Wohnungsbaugesellschaft, die den Autor „unbedingt haben“ wollte, war zwar bereit, ihm außerplanmäßig das Gehalt seines Chefs zu zahlen – doch auch das lag nur ungefähr bei der Hälfte des von der genannten Website kommunizierten Durchschnitts. Und eine Stellenausschreibung bei gehalt.de, über die ein CISO für eine Waffenfabrik gesucht wird, liefert nur eine Gehaltsschätzung zwischen 65.000–95.000 € (je nach Erfahrung usw.). Hier liegt die untere Grenze also bei rund einem Drittel des auf derselben Seite genannten angeblichen Durchschnittsgehalts für einen CISO.
Doch das Gehalt ist längst nicht der einzige Kostenfaktor in Sachen Personal: Alle IT-Security-Mitarbeiter:innen (egal ob im SOC oder als CISO) wollen und müssen in der Regel Schulungen und Kongresse besuchen, um sich auf dem neuesten Stand der Entwicklungen zu halten. Auch die ISO 27001 sieht angemessene Schulungen für IT-Security-Personal als wichtig für die Security-Organisation an. Bei einem der als weltweit führend angesehenen Schulungsunternehmen kostet eine Security-Schulung derzeit circa 8000 US-$, plus Reisekosten für die meist im Ausland stattfindende Kurse. Das führt dazu, dass manch ein Unternehmen versucht, hier Kosten zu sparen – sei es mit mehr oder weniger ähnlichen Angeboten anderer, nicht selten völlig unbekannter und kaum einschätzbarer Anbieter oder (noch schlimmer) mit sinnfreien Trainings („Excel für Anfänger“ oder „IPv6-Grundlagen“), die einfach im internen Schulungssystem der Firma vorhanden sind und somit nur intern verrechnet werden. Auch Kongresse sehen viele Organisationen als völlig unnötig an. Dabei ist die Information, die ein CISO von einem anderen bei einer Tasse Kaffee bekommt, oft mehr wert als jeder offizielle Vortrag.
Die bereits monierte Kombination teils völlig verschiedener Stellen kann ebenfalls dem Versuch entspringen, die anscheinend unnötig hohen Kosten für einen CISO zu kompensieren. Solcher Geiz kann aber sehr kontraproduktiv sein: Wer nicht bereit ist, vernünftige Gehälter zu bezahlen, zahlt womöglich kurz darauf durch erlittene Schäden oder verlorene Reputation. Bei einem leer gefegten Security-Markt sollte klar sein, dass man Expert:inn:en eine angemessene Vergütung bezahlen muss, wenn man die Besten (oder auch nur die Guten) rekrutieren will. Ein Security-Vorfall kostet immer viel Geld, Mühe und auch Zeit – das haben viele Organisationen offenbar noch immer nicht begriffen. Natürlich ist es schön, wenn etwa im Pausenraum eine Playstation oder ein großer Obstkorb stehen – aber auch die Zahl auf dem Gehaltszettel muss „stimmen“ (gerade angesichts aktueller Verbraucherpreisentwicklungen). Schon Oscar Wilde sagte einmal treffend: „Heute kennt man von allem den Preis, von nichts den Wert.“
CISO und SOC – oft kompliziert
Zu Beginn des Jahrtausends, quasi in der Frühzeit der IT-Security, erlebte der Autor bei seinem damaligen Arbeitgeber den Konflikt zweier parallel existierender Sicherheitsabteilungen: Die eine war „Governance-orientiert“, die andere eher einem CERT vergleichbar. Da nie richtig definiert worden war, wer wann zum Einsatz kommen sollte, gab es oft unnötige Streitigkeiten, vor allem wenn es um „prestigeträchtige“ Aktionen ging – beispielsweise die Incidentbekämpfung auf hoher Managementebene.
In der Tat ist es aber auch heute noch bei vielen Unternehmen so, dass die IT-Security-Abteilung um den CISO herum als „Schreibtischtäter“ und „Paragrafenreiter“ abgetan werden, während die Leute vom SOC die „coolen Techies“ sind, die das Recht haben, bei einem Incident den Stecker der Produktionsanlage zu ziehen. In der Kaspersky-Studie [4] berichteten 20 % der CISOs, dass unklare Zuständigkeiten für sie eine hohe oder sehr hohe Herausforderung bei Incidents darstellen.
Meist hat dieses Problem mehrere Aspekte: Traditionell ist die CISO-Abteilung die „ältere“, oft schon seit über einem Jahrzehnt in der Firma etabliert, während „moderne“ Konzepte wie CERT oder SOC häufig erst mit dem KRITIS-Gesetz an Bedeutung gewannen und dann eher langsam implementiert wurden: zum einen, weil sie vom Vorgehen her neu waren, zum anderen aber auch, weil sie teuer sind und der Arbeitsmarkt hierzu vollkommen leer gefegt ist. Das führt automatisch zu Konflikten.
Hinzu kommt, dass eine operativ wirksame Abteilung gerne die schriftliche Absegnung durch den CISO hätte, Dinge tun zu dürfen, die entweder tief in den Betrieb eingreifen (z. B. Produktionsserver bei Virenbefall abklemmen) oder aus rechtlichen Gründen nicht so einfach zu vertreten sind (z. B. eine Abfrage zu machen, welche konkreten Mitarbeiter eine viröse E-Mail geöffnet haben). Aus verständlichen Gründen ist ein CISO hingegen in der Regel nicht daran interessiert, so etwas zu unterschreiben. Denn eine ausgefallene Produktionsstraße kann in kurzer Zeit hohe finanzielle Schäden mit sich bringen und auch der Ärger mit einer nachträglichen Information des Betriebsrats über dringend notwendige Sofortmaßnahmen, die jedoch aus Überwachungssicht bedenklich waren, ist nicht erstrebenswert.
Ein dritter Grund ist die Überschneidung eines – obschon kleinen – Teils der Aufgaben: Ist etwa die Implementierung eines Anomalie-Detektors für ungewöhnliches Verhalten eher Sache des SOC oder des CISO? Ein weiteres Problem ist, dass ein SOC meist dem CIO zugeordnet wird, an den der CISO nur in 38 % der Fälle einen Security-Incident berichtet [5] – auch hier sind Interessenkonflikte zu erwarten.
Psychologie und Management
Bereits im Herbst 2019 berichtete der Autor über geistige Fallstricke im Management [6] – in den Corona-Jahren hat sich hier wenig geändert: Ein Security-Incident ist noch immer ein schwerer „Makel“ für den CIO oder den CISO. Dabei sollte heute eigentlich jedem Vorstand klar sein, dass schon ein:e einzige:r Mitarbeiter:in, die/der auf eine verseuchte E-Mail klickt, bewirken kann, dass innerhalb von wenigen Tagen das gesamte Netzwerk von Angreifern übernommen wird.
Natürlich können auch hier Führungskräfte Fehler gemacht haben – seien das fehlende Patches auf den Rechnern (CIO) oder fehlende Vorgaben (CISO) oder fehlende Schulungen (HR? IT? CISO?). Aber erfolgreiche Cyberangriffe sind heutzutage schlicht „normal“, egal ob bei KMUs oder großen Unternehmen – interessante Zahlen findet man etwa beim Bitkom [7]. Ein „Blaming“ ist jedenfalls längst nicht mehr zeitgemäß! Ganz im Gegenteil: So wurde etwa vor vier Jahren der Heise-Verlag von der Ransomware Emotet hart getroffen – er ging damit offen um und veröffentlichte sogar die Forensik-Ergebnisse [8], damit andere sehen können, wie schnell sich eine solche Attacke ausbreitet und dabei nach und nach alle Schutzmaßnahmen überwindet.
Bei einem Incident sollte bei einer guten Security-Organisation im Mittelpunkt stehen, die Auswirkungen zügig zu begrenzen, die Produktivität wiederherzustellen und eine Wiederholung des Vorfalls zu verhindern. Mit diesem Ziel vor Augen sollte man das oft praktizierte „Schaulaufen der Eitelkeiten“ klar dem Wohl der Firma unterordnen.
Risikoentwicklung
IT-Security ist etwas Dynamisches – würde man das auf die Medizin übertragen, dann müssten Ärzte (CISOs) überspitzt gesagt jeden Tag neue Krankheiten behandeln, die es so noch nie gab. Einige Dinge ändern sich zwar nur wenig: Vor 20 Jahren brachten Angreifer Menschen dazu, einen Anhang in einer Mail zu öffnen, indem sie „I love you“ in die Betreffzeile schrieben – heute steht dort „Rechnung“. Aber gleichzeitig kommen täglich neue Themen hinzu: Jüngere Beispiele hierfür sind Docker-Security, betrügerische Anrufe angeblicher Microsoftmitarbeiter:innen oder lügende KIs.
CISOs und Security-Abteilungen müssen bei diesem Wettrennen mithalten können. Dazu braucht es sowohl Zeit als auch Kreativität und Bauchgefühl. In der Kaspersky-Studie [4] äußerten immerhin 17 % der Befragten, dass Kreativität zu den wichtigsten oder zweitwichtigsten Eigenschaften eines CISO gehört.
Fazit
Bisweilen wird IT-Security als völlig planbar angepriesen: Inzwischen gibt es Anbieter, die Leih-CISOs anbieten (vCISO), und auch Überlegungen, künstliche Intelligenz im SOC oder als CISO einzusetzen [9]. Doch so einfach ist es nicht: Denn es gibt eine Menge Parameter, die nicht nur Lexikonwissen voraussetzen, sondern ein tiefes Verständnis der Zusammenhänge erfordern. Das beginnt mit der Frage, warum ein Unternehmen überhaupt Security betreibt, geht über die Definition des CISOs, die Größe, Dotierung, Zusammensetzung und fachlichen sowie überfachlichen Kompetenzen des Security-Teams, über scharfe Abgrenzungen zu anderen Bereichen (wie SOC oder CERT) weiter zum Umgang des Unternehmens mit Incidents (Wegsehen oder Lösen) und endet (?) bei Fragen, wie die Security mit der enorm schnell wachsenden Zahl an neuen Themen klarkommen kann.
Viele dieser Punkte gehen über eine Abteilung hinaus. Möglicherweise versteht eine Personalabteilung nicht, was das Sparen am Gehalt eines guten Security-Experten andernorts kosten kann. Und auch Führungskräfte sollten zumindest so viel wissen, dass sie nicht in Bewerbungsgesprächen mit völliger Unwissenheit glänzen. Nicht zuletzt ist die Zusammenarbeit von SOC und CISO bei Notfällen ein Thema, das viele Bereiche und Aspekte betrifft – auch die Mitbestimmungspflicht.
Es bleibt wieder einmal die Erkenntnis, dass IT-Security deutlich mehr ist als die Summe der Teile – und diese Erkenntnis darf sich nicht nur auf die Köpfe der Security-Abteilung beschränken, sondern muss auch das Management erreichen und sollte möglichst integraler Bestandteil der Unternehmenskultur werden.
Literatur
[1] Dr. Sebastian Broecker, Lateral Movements, Wie geht man mit Quereinsteigern in der IT-Sicherheit um?, <kes> 2023#3, S. 6
[2] Dr. Sebastian Broecker, That’s not my job?!, Wo liegen die Grenzen der Security? Wie kann man der Flut von ausufernden Aufgaben begegnen?, <kes> 2021#6, S. 6
[3] Emmanuel Nwosu, Die 25 bestbezahlten Cybersecurity-Jobs, die Sie kennen sollten, The Hub for Scholars, Januar 2023, https://worldscholarshub.com/de/highest-paid-cybersecurity-jobs-you-should-know-about/
[4] Kaspersky / Pierre Audoin Consultants (PAC), Was macht einen CISO aus: Erfolg und Führungsverhalten im Bereich IT-Sicherheit in Unternehmen, Entscheiderbefragung, Oktober 2018, https://go.kaspersky.com/rs/802-IJN-240/images/180919_Kaspersky%20CISO%20White%20Paper_Final_web_DE.pdf
[5] Heinrich Vaske, 11 Fakten über den Job eines CISO – Aufgaben, Gehälter, Chancen, CSO, Juli 2022, www.csoonline.com/de/a/10-fakten-ueber-den-job-eines-ciso,3671911
[6] Dr. Sebastian Broecker, Geistige Barrieren, Was Führungskräfte falsch machen und wie sich das ändern lässt, <kes> 2019#5, S. 6
[7] Bitkom, 203 Milliarden Euro Schaden pro Jahr durch Angriffe auf deutsche Unternehmen, Presseinfo, August 2022, www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2022
[8] Jürgen Schmidt, Trojaner-Befall: Emotet bei Heise, c’t 13/2019, https://heise.de/-4437807 [9] Melanie Staudacher, Wäre GPT ein guter CISO?, Interview mit der KI von OpenAI, CSO, März 2023, www.csoonline.com/de/a/waere-gpt-ein-guter-ciso,3674447
Dr. Sebastian Broecker war lange Jahre als CISO tätig und arbeitet derzeit als freiberuflicher Autor und Referent