Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

Management komplexer CyberSicherheit in IT, OT, (I)IoT : Teil 3: Interviews zur Praxis und zum wissenschaftlichen Hintergrund

Wie müssen Organisation und Prozesse aussehen, die neben den Risiken des klassischen IT-Betriebs auch internetfähige Geräte, Produktionsanlagen, ferngewartete Produkte und soziale Vernetzung beherrschbar machen sollen? Im dritten und letzten Teil dieser Miniserie überprüft unser Autorenteam die aufgestellten Thesen im Gespräch mit Fachleuten aus Wissenschaft und Praxis.

Lesezeit 12 Min.

Von Bettina Weßelmann und Johannes Wiele, München

Um die im zweiten Teil dieser Serie [2] vorgestellten Lösungsansätze mit Fachleuten aus Wissenschaft und Praxis zu diskutieren, hat das Autorenduo mit Uwe Kolk (CIO) und Dr. Tim Sattler (CISO) von der Jungheinrich AG sowie mit Prof. Dr. Lutz Becker gesprochen, der als Studiendekan für Sustainable Marketing & Leadership an der Kölner Hochschule Fresenius – Business School tätig ist.

Herr Kolk, Herr Dr. Sattler, was sind die größten Herausforderungen im Sicherheitsmanagement – also die, die Ihnen zuerst einfallen, wenn Sie an den eigenen Arbeitsalltag denken?

Sattler: Wir stecken in einem Spannungsfeld zwischen einer Bedrohungslage, in der die Angreifer immer professioneller agieren, und der wachsenden Komplexität der eigenen IT-Umgebungen. Das Risiko steigt, die Vielschichtigkeit des Arbeitsfelds aber auch – mit OT, IoT, Cloud und so weiter. Hinzu kommt, dass Kunden und Gesetzgeber nicht immer in unterstützender Weise auf diese Entwicklung reagieren: Wir sehen uns einem Regulariengeflecht ausgesetzt, das für die Praxis immer weniger Spielraum lässt. Wir bräuchten aber mehr Spielraum, um mit den verfügbaren Ressourcen risikogesteuert die für uns wichtigsten Security-Aufgaben angehen zu können. Stattdessen müssen wir auf Anforderungen und Kriterien eingehen, die formal ausgestaltet sind und formal gelten, ob sie nun auf uns sinnvoll anwendbar sind oder nicht. Das kostet viel Zeit, die wir besser in konkrete, individuell austarierte Maßnahmen und Prozesse stecken sollten.

Kolk: Aus CIO-Sicht sieht es ähnlich aus, hinzu kommt dann noch die Suche nach einer Balance zwischen Innovation und Sicherheit. Immer wieder möchte das Unternehmen gern neue Ansätze schnell nutzen, muss dann aber auch die Bedrohung sehen, die in der Neuerung stecken könnte. Am Ende des Tages führt dies häufig dazu, dass Risiken nicht wirklich einschätzbar sind, aber eingegangen werden – Kompromisse, die zuweilen ein schlechtes Gefühl hinterlassen.

Ein Informationssicherheits-Managementsystem (ISMS) verlangt letzten Endes, dass jemand in einer Organisation die Verantwortung für die Behandlung von Cyber-Risiken übernimmt, die er selbst nur anhand von Informationen und Einschätzungen von Spezialisten bewerten kann. Das gibt es zwar nicht nur in der IT, aber dort aufgrund der Dynamik des Themas in besonderem Maße. Wie geht man als CISO und CIO mit diesem Problem um – erstens, um selbst die richtigen Entscheidungen zu finden, und zweitens in der Kommunikation mit der Geschäftsleitung?

Kolk: Zum Glück erleben wir, dass das Bewusstsein für fachliche Zusammenhänge in den Bereichen IT und Informationssicherheit steigt – und die Bereitschaft, sich damit auseinanderzusetzen. Für unsere Organisation gilt dies jedenfalls. Eine früher häufiger anzutreffende Blauäugigkeit im Herangehen an das Cyber-Thema scheint jedoch auch generell auf dem Rückzug zu sein. Ansonsten gilt: Wir müssen aus unseren Positionen heraus strategisch kommunizieren. Dazu gehört es, unterschiedliche Kanäle in hoher Frequenz zu benutzen. Wenn wir Aufmerksamkeit erzielen wollen, hilft oft der Verweis auf andere Unternehmen, die bereits von schweren Cybersecurity-Vorfällen getroffen wurden.

Herr Dr. Becker, wie lässt sich diese Situation aus der wissenschaftlichen Perspektive einschätzen?

Becker: In der Wissenschaft gibt es dafür den Begriff „Wicked Problems“ – soziale oder kulturelle Probleme, die sich nur mit Mühe oder gar nicht „lösen“ lassen. Meist nennt man dafür vier mögliche Gründe, die hier tatsächlich zutreffen:

  • Man kann auf keine umfassenden oder widerspruchsfreien Erkenntnisse zum Sachverhalt zurückgreifen.
  • Es gibt eine hohe Zahl von Anspruchsträgern mit eventuell unterschiedlichen Meinungen.
  • Das Problem hat eine beträchtliche ökonomische Tragweite.
  • Man bekommt es mit gleich mehreren ineinander verwobenen Herausforderungen zu tun.

Auf Akteure wirkt solch eine Problemkonstellation wie der Versuch, einen Eisberg zu bewegen: Sie sehen nur das, was aus dem Wasser herausragt und können mit ihren Management-Aktivitäten nur an der Oberfläche kratzen. Man hat somit zwar Kontrollziele, aber bei genauerem Hinsehen nur eine Kontrollillusion und muss tatsächlich mit Workarounds zurechtkommen. Dabei sind die Unternehmen im Security-Bereich oft schlecht ausgestattet.

Und wie „managt“ man unter solchen Bedingungen?

Becker: Patentrezepte gibt es nicht. Outsourcing bietet einen Ansatz, Teilbereiche Profis zu überlassen, aber selbst dann muss man ja Planung und Kontrolle selbst bewältigen. Es kommt durchaus darauf an, wie eine Organisation in IT und Informationssicherheit aufgestellt ist. Dort, wo IT nur ein Anhängsel ist und der IT-ler auch noch die Druckerpatronen selbst austauscht, kommt man nicht weit. Je mehr echte Fachkräfte man hat, desto besser wird es. Man braucht Know-how und Professionalität, auf die man wirklich zugreifen kann. Spezialisten müssen also erstens vorhanden sein und dürfen zweitens nicht von zu viel Overhead vereinnahmt werden.

Ansonsten gilt: Automatisieren, was automatisiert werden kann! Sicherheit sollte so wenig wie möglich vom Anwender und seinem Verhalten abhängen. Automatisierung soll entlasten, und zwar auch von den leidigen, formalen Compliance-Aufgaben wie der Dokumentation. Werkzeuge, die hier den Alltag erleichtern, werden eine immer größere Bedeutung erhalten. Die Bereitschaft zu permanenter, dynamischer Organisationstätigkeit zusammen mit Automatisierung zeitfressender Nebenaufgaben hilft am stärksten.

Für die Vorstandsebene gilt übrigens das Prinzip „Flying und Diving“: Nicht ständig alles im Detail kontrollieren wollen, aber informiert bleiben und dort, wo es sich anbietet, eintauchen und mit Plausibilitätsprüfungen und Konsistenzfragen nachbohren.

Im zweiten Teil unserer Serie hatten wir gezeigt, wie genau dieses Vorgehen in eine „peinliche Befragung“ abgleiten kann, welche die Professionalität der Security-Teams völlig missachtet [2]. Lässt sich das verhindern?

Uwe Kolk (CIO, Jungheinrich): „Man versteht heute immer besser, welch wesentlichen Beitrag die IT leistet, und sieht deshalb die Notwendigkeit eines starken CIOs, der nicht mehr einfach ‚Leiter IT‘ ist, sondern die IT-Governance strategisch verantwortet.“

Becker: Da spielt mehr das „Wie“ eine Rolle als das „Was“. Nachhaken müssen beispielsweise Vorstände unbedingt – das liegt in ihrer Rolle begründet. Wenn das schiefgeht, hat das mehr damit zu tun, dass sich auf Vorstandsebene manchmal Persönlichkeiten finden, deren Konstitution in der Psychologie mit dem Begriff „dunkle Triade“ beschrieben wird: Da kommen Narzissmus, Machiavellismus und ein gewisser Anteil Psychopathie zusammen – natürlich unterhalb klinisch relevanter Ausprägungen. Ich würde noch die Angst vor Kontrollverlust addieren. Mit Personen dieser Kategorie fällt die Zusammenarbeit dann tatsächlich schwer.

Werden CIOs und CISOs in modernen Unternehmen hinreichend gehört? Ihr Einfluss hat sich ja – historisch gesehen – immer mal wieder verkleinert und dann wieder vergrößert.

Kolk: Ja, da ging es immer mal bergauf und bergab. Ein CIO muss nicht Mitglied der Geschäftsleitung sein, wenn sein Bereich nicht im Zentrum der Wertschöpfung steht. Aber man versteht heute sehr gut und immer besser, welch wesentlichen Beitrag die IT leistet, und sieht deshalb die Notwendigkeit eines starken CIOs, der nicht mehr einfach „Leiter IT“ ist, sondern die IT-Governance strategisch verantwortet.

Foto 1

Uwe Kolk (CIO, Jungheinrich): „Man versteht heute immer besser, welch wesentlichen Beitrag die IT leistet, und sieht deshalb die Notwendigkeit eines starken CIOs, der nicht mehr einfach ‚Leiter IT‘ ist, sondern die IT-Governance strategisch verantwortet.“

Sattler: Bei den CISOs gibt es aus meiner Sicht keine Wellenbewegung – seit es sie gibt, steigt ihre Bedeutung. Allerdings ist die tatsächliche Positionierung unternehmensabhängig. Man findet „echte“ CISOs mit einem tragfähigen Mandat, aber auch „vergrabene“ CISOs mit wenigen Chancen, etwas zu bewegen. Ideal ist es, wenn der CISO als akzeptierter Berater gilt, der vor allem eine Frage beantworten kann: Wie bekomme ich Innovation „auf die Straße“, ohne von Risiken eingeholt zu werden? Dem Management wird die Abhängigkeit von der Sicherheit immer deutlicher – der Informationsbedarf ist deshalb groß.

Die beiden ersten Beiträge dieser Reihe behaupten, dass „Vertrauen“ in Fachleute und ihre Professionalität notwendig ist, um mit der geschilderten Problematik zurechtzukommen. Wie weit kann Vertrauen in einer Umgebung, die von Complianceanforderungen geprägt ist, überhaupt gehen? Und welche Rolle spielt dann in der Praxis das Subsidiaritätsprinzip?

Kolk: Vertrauen gehört dazu – und zwar in Menschen, Fachwissen und in Methoden, die einem selbst fremd sind! All das sollte in iterative Vorgehensweisen eingebunden sein, in denen unterschiedliche Perspektiven und Ansätze zum Zuge kommen.

Sattler: Ich bin ein Freund des Subsidiaritätsprinzips in der Informationssicherheit, wobei dies Vertrauen voraussetzt. Man erzielt bessere Ergebnisse, wenn die Verantwortung nah an den Orten der Umsetzung liegt und dort auch Entscheidungen getroffen werden. Wer in einem bestimmten Geschäftsbereich arbeitet, ist den Anwendern und Prozessen dort näher und kennt die Bedürfnisse und die Situation vor Ort aus eigener Anschauung. Solche Menschen werden auch eher gehört und nicht als Akteure empfunden, die vom Elfenbeinturm herab hineinregieren. Und: Sie kennen die relevanten Ansprechpartner am besten.

Welchen Beitrag leistet das ebenfalls in dieser Serie beschriebene St. Gallener Management-Modell zum Sicherheitsmanagement?

Becker: Es passt deshalb gut, weil es in komplexen Systemen denkt. Es akzeptiert die Existenz externer Faktoren, die man aus einer Position in einem Unternehmen heraus nicht steuern kann, und liefert damit gute Ansatzpunkte für eine Integration der Informationssicherheit in moderne Organisationen.

Welche Anstrengungen sollte eine Organisation in Sachen „Kommunikation“ von Sicherheitsthemen unternehmen? Manche Zusammenhänge in den Bereichen Bedrohung, Abwehr und technische Mittel sind ja nicht unbedingt leicht nachvollziehbar. Schaffen es die Techniker, ihre Sicht fürs Management nachvollziehbar aufzubereiten?

Sattler: Die CISO-Rolle ist vor allem die eines Übersetzers! Er muss zwischen verschiedenen Anspruchsgruppen vermitteln und möglichst allen verständlich machen, worum es bei Informationssicherheit geht. Security für das Management nachvollziehbar aufzubereiten, ist eine Herausforderung, der man sich aber stellen muss. Wenn es um schwierige Konzepte wie komplexe Cyber-Bedrohungen oder -Risiken geht, versuche ich so weit wie möglich eine technische Fachsprache zu vermeiden und stattdessen mit Analogien zu arbeiten.

Becker: Interdisziplinäre Kommunikation und „Übersetzung“ sind tatsächlich ganz zentrale Elemente eines erfolgreichen Sicherheitsmanagements. Neben Technik, Organisation und Kommunikation muss außerdem ein Sinn-System treten, das der Führungsarbeit und den Zielsetzungen einer Wirtschaftsorganisation eine Basis gibt.

Aber genau darauf bereiten die Hochschulen doch kaum vor. Wir haben die Erfahrung gemacht, dass auf CISO-Ebene häufig Menschen besonderen Erfolg haben, die Quereinsteiger sind oder aus irgendeinem Grund fachübergreifendes Wissen oder Interessen mitbringen. Wie bekommt man so etwas in die Studiengänge?

Becker: Im Moment nur, indem man die Spielräume der Vorgaben bis an die äußersten Grenzen ausreizt und zum Beispiel Studentinnen und Studenten zulässt, die für das Thema eigentlich durchs Raster fallen würden. Ansonsten können nur die Unternehmen selbst darauf achten, Bewerber mit entsprechend weiter gefächertem Hintergrund oder der Bereitschaft zum Grenzgängertum zu bevorzugen.

Kann bei konkreten Problemen in heiklen Entscheidungsfindungs-Prozessen das in einem früheren Beitrag [3] vorgestellte Konzept helfen, beispielsweise innerhalb einer Budget-Diskussion die Teilnehmer vornehmlich in ihren Rollen wahrzunehmen? Wir haben von Beratungsunternehmen gehört, dass sie den <kes>-Text verwenden, um junge Teammitglieder auf schwierige Security-Diskussionen vorzubereiten. Lässt sich eine Auseinandersetzung so von persönlichen Komponenten entlasten?

Foto 2

Prof. Dr. Lutz Becker (Hochschule Fresenius, Köln): „Bei Cyber-Themen finden wir oft sogenannte ‚Wicked Problems‘ – soziale oder kulturelle Probleme, die sich nur mit Mühe oder gar nicht lösen lassen. Das ist dann wie bei einem Eisberg: Man sieht nur das, was aus dem Wasser herausragt, und kann mit Management-Aktivitäten nur an der Oberfläche kratzen.“

Becker: Ja – wo es hilft, hilft es! Soll heißen: Man muss kommunikative Probleme eines Unternehmens ernst nehmen, für die Organisation analysieren und dann mit Kreativität nach passenden Lösungsansätzen suchen. Das setzt aber voraus, dass man sich den Schwierigkeiten überhaupt stellt. Wenn dies der Fall ist, dann ist jede Methode wie ein neuer Scheinwerfer, der weitere Aspekte ans Tageslicht bringt und vielleicht Auswege zeigt.

Wie schafft man es, dass technische Securityexperten auch mit Businessgeleiteten Entscheidungen zurecht kommen und nicht demotiviert reagieren, wenn man etwa ihrer Argumentation nicht ganz folgt oder ihr Budget beschnitten wird? Hilft es dabei, die Rollen und die damit verbundenen Pflichten bei der Entscheidungsfindung in den Vordergrund zu stellen?

Sattler: Der Weg, um damit umzugehen, hängt von den Umständen ab, wobei es im Wesentlichen zwei Möglichkeiten gibt:

Das Risiko oder die Business-Anforderungen wurden unzureichend verstanden: Dann muss man den Sachverhalt noch einmal mit den Beteiligten klären, also hat man wieder eine Kommunikationsaufgabe.

Die Rahmenbedingungen wurden verstanden und es wurde eine informierte Entscheidung getroffen, welche die Chancen eines Vorhabens höher bewertet als das damit verbundene Risiko: Das kann und muss man als Profi dann auch akzeptieren.

Becker: Dazu gehört auch eine gewisse Grundhaltung, die nicht nach absoluter, perfekter Sicherheit sucht. Es gilt der Grundsatz: „Hacker“ sind 24 Stunden aktiv und haben den Angreifervorteil auf ihrer Seite – da mag der Krieg zwar verloren sein, aber man kann noch Kämpfe gewinnen.

Helfen Prozesse, um Entscheidungsfindungen und Risikomanagement zu erleichtern? Etwa zur Pflicht erklärte Sicherheits- und Risikobetrachtungen bei der Einführung neuer IT-Systeme?

Kolk: Ja, das verbindet sich für mich mit dem bereits angesprochenen „iterativen Vorgehen“. Das Vehikel dafür sind explizit festgelegte Prozesse mit Dokumentation – implizit bilden sich auch oft Prozesse heraus, aber da hapert es an der Regelbarkeit.

Sattler: Das sehe ich auch so: Funktionale Vorhaben, etwa die Entwicklung eines neuen Produkts, laufen schon einmal ab wie der Bau einer Holzhütte – da gibt es auch eine definierte Vorgehensweise, aber die muss man sich nicht extra vergegenwärtigen. Bei der Sicherheit, die ja ein „Beiwerk“ darstellt, ist das anders: Sie muss explizit in den Prozessen verankert werden – sonst besteht die Gefahr, dass sie nicht hinreichend berücksichtigt wird.

Welche Rolle spielen Berater in der geschilderten Gemengelage?

Sattler: Mir ist beim Einsatz von Beratern das Wissen aus vergleichbaren Projekten wichtig, das die Organisation selbst nicht hat. Oft geht es außerdem um eine unabhängige Bestätigung von Entscheidungen und Vorgehensweisen – oder unabhängige, fundierte und konstruktive Kritik daran.

Kolk: Ich sehe ähnliche Aspekte. Über Berater lässt sich tieferes Fachwissen erschließen, das wir intern nicht aufbauen können. Berater kennen mehr konkrete Fälle und haben eine größere Chance, unterschiedliche Einblicke zu gewinnen. Außerdem brauchen wir Spezialisten für Bereiche, die wir selbst nicht vollständig abdecken können. Hinzu kommt die Neutralität – und die Möglichkeit, mit externen Perspektiven der Betriebsblindheit zu entkommen.

Die <kes> und das Autorenteam bedanken sich herzlich für den Gedankenaustausch und die Mitarbeit der Gesprächspartner.

Bettina Weßelmann ist freie Fachjournalistin, berät Unternehmen bei Kommunikationsthemen im Bereich Cyber-Security und deckt dabei Felder wie Security-Awareness, Social-Engineering und zielgruppengerechtes Security-Marketing ab. Johannes Wiele ist Manager OT Security bei der Jungheinrich AG und war zuvor als IT-Fachjournalist, Berater für Informationssicherheit sowie Hochschuldozent für Managementlehre und Informationssicherheit aktiv.

Foto 3

Dr. Tim Sattler (CISO, Jungheinrich): „Viele Kunden und der Gesetzgeber setzen uns einem Regulariengeflecht aus, das immer weniger Spielraum lässt. Den bräuchten wir aber, um mit den verfügbaren Ressourcen risikogesteuert die für uns wichtigsten Security-Aufgaben angehen zu können!“

Diesen Beitrag teilen: