Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

CISO versus Rest der Welt?

Wie man Widerstände abbaut und Cybersecurity als Motor für die Wirtschaftlichkeit eines Unternehmens etabliert

Ilona SimpsonAllgemein
Lesezeit 9 Min.

Die Rolle der/des CI[S]O eines Unternehmens hat sich in den vergangenen Jahren rasant gewandelt. Als Risikomanager muss es ihr/ihm heute umso mehr gelingen, bestehende Ressentiments und Dysfunktionen innerhalb von Teams zu überwinden, um Cybersecurity als das zu etablieren, was sie ist: Garant und Motor für die Wirtschaftlichkeit eines Unternehmens. Unsere Autorin empfiehlt hierzu eine zweiteilige Strategie, die neben einer intelligenten zeitgemäßen (Netzwerk-) Sicherheit auch Veränderungen in der Zusammenarbeit von Teams und Abteilungen einer Organisation erfordert.

Die Wirtschaft befindet sich seit rund drei Jahren in einem permanenten Krisenmodus: Zunächst kam die Pandemie mit all ihren Begleiterscheinungen wie Schließungen, Homeoffice-Pflicht und Störungen in den Lieferketten für dringend benötigte Rohstoffe und Bauteile. Diese Einschränkungen wirkten noch nach, als der völkerrechtswidrige Angriffskrieg Russlands gegen die Ukraine begann, die Politik, Gesellschaft und Wirtschaft vor neue Herausforderungen zu stellen. Dazu kommen die Risiken aus Cyberbedrohungen, die weiter zunehmen: Das Schlachtfeld des Krieges ist längst nicht mehr geografisch begrenzt. Und unter Risikogesichtspunkten spielt es für Unternehmen keine Rolle, ob die Sicherheit ihrer IT und Prozesse nun von kriminell oder politisch motivierten Täter:innen bedroht wird.

CI[S]O im Wandel

Das Aufgabenfeld von CISOs und besonders CIOs hat sich nicht zuletzt durch die permanenten Krisen in den vergangenen Jahren stark gewandelt. Waren sie einst lediglich technische Enabler, die für die Beschaffung von IT-Systemen, deren Skalierung sowie die Digitalisierung von Prozessen die Verantwortung trugen, hat sich ihre Tätigkeit doch stark in Richtung Risikomanagement verschoben: Business-Continuity-Management (BCM) und die Stärkung der Resilienz der eigenen Organisation spielen jetzt eine viel bedeutendere Rolle. Und so arbeiten CI[S]Os heute auch daran, Logistikabläufe, Lieferketten, Geschäfts- und Dienstleistungsmodelle, Partnerschaften und Standorte aufrechtzuerhalten, zu verändern oder zu stärken – und all dies unter dem Eindruck von Krisen und sich schnell wandelnden Anforderungen an zeitgemäße IT-Architekturen.

Unzählige Studien unterstreichen die wachsende Bedeutung von Cybersecurity für Unternehmen – in Deutschland ist demnach in den vergangenen Jahren jedes zweite Unternehmen zumindest einmal das Opfer einer Cyberattacke geworden. Cybersecurity muss und wird also auf der Agenda der CIOs weiter oben stehen bleiben – trotz der Erweiterung ihres Aufgabenfelds. Und dabei werden CI[S]Os auch nach wie vor gegen interne Widerstände ankämpfen müssen.

Cybersecurity vs. Produktivität?

Klassische Sicherheitskonzepte sehen vor, einen sicheren Bereich um die Unternehmensressourcen zu ziehen und den Datenverkehr zu überwachen. In diesem Sinne nutzten auch eingesetzte Tools einen eher schlichten Ansatz, bei dem es in der Regel um rein binäre Entscheidungen über den Zugang zu Daten und Systemen ging. Daraus erwuchs den CI[S]Os aus der Sicht anderer Abteilungen eine Machtposition: Als „Gatekeeper“ waren (und sind) sie in der Lage, die Anschaffung von Programmen oder Entwicklungsprozesse zu genehmigen oder mit dem Hinweis auf die Sicherheit respektive den Datenschutz einzuschränken oder anzupassen.

Eine Konfrontation mit anderen Abteilungen wie Development oder Marketing scheint dabei unausweichlich: Im Spannungsfeld zwischen technischer Machbarkeit und Informationsbedürfnissen anderer Bereiche einerseits sowie Compliance und Sicherheitserfordernissen andererseits erscheinen CI[S]Os und Sicherheitsteams vielen als regelrechte Bremsklötze, die als „Bedenkenträger“ Produktivität, Agilität und Innovationen ausbremsen. Obwohl alle Mitarbeiter:innen letztlich die gleichen Ziele im Sinne der Organisation verfolgen, ergeben sich daraus oft dysfunktionale und teils „kämpferische“ Beziehungen zwischen verschiedenen Teams (vgl. [1,2,3]). Und diese bremsen ein Unternehmen tatsächlich aus! Mit einer zweigeteilten Strategie können CI[S]Os und Sicherheitsteams diese Bremse lösen – am Erfolg wird dann die gesamte Organisation partizipieren.

Friktionen und Dysfunktionen abbauen

Bedauerlicherweise gibt es kein Patentrezept für den Weg dorthin – hier muss jedes Unternehmen und damit jede:r CI[S]O eine eigene, angepasste Vorgehensweise entwickeln. Die Basis bildet jedoch immer die mühselige Arbeit, die Bedeutung der Cybersecurity transparent und offen zu kommunizieren – und zwar gegenüber allen Beschäftigten in allen Abteilungen. Hier bedarf der/die CI[S]O gerade auch der Unterstützung der (erweiterten) Geschäftsleitung, um die folgenden Gesichtspunkte im Bewusstsein der Mitarbeiter:innen zu verankern:

  • Digitale Geschäftsmodelle können nicht ohne digitale Sicherheit gedacht werden: Apps, Online-Dienste und digitale Lösungen interagieren eben an vielen Stellen direkt mit den Kund:inn:en und tauschen teilweise sehr kritische Daten aus. Ohne Cybersecurity ist dies schlicht und ergreifend nicht möglich und kann das Geschäft nachhaltig schädigen.
  • „New Work“ fordert Mobilität und Flexibilität: Auch das kann ohne Sicherheit nicht funktionieren, schließlich hantieren die Beschäftigten mit schützenswerten und geschäftskritischen Informationen.
  • Compliance und Regulierung geben einen engen Rahmen vor: CI[S]Os sind auch gegenüber der Geschäftsleitung für die Einhaltung der Compliance mitverantwortlich. Daraus ergeben sich Zwänge und Rahmenbedingungen, die stellenweise unter sehr strengen Auflagen umzusetzen sind. Und Verstöße gegen die Compliance können existenzbedrohend für eine Organisation sein, wie zahlreiche Beispiele eindrucksvoll demonstrieren – egal ob es um Bußgelder bei Verstößen gegen die Datenschutzgrundverordnung (DSGVO) geht oder das Verbot, Neukund:inn:en zu akzeptieren, das die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in der jüngsten Vergangenheit gegenüber bestimmten Fintechs ausgesprochen hat.
  • Fahrlässiges Handeln im Bereich der Sicherheit hat eine vermeidbar breite Angriffsfläche sowie eine erhöhte Wahrscheinlichkeit der Ausbreitung eines potenziellen Angriffs zur Folge: Denn Cyberkriminelle ruhen nicht und auch der Schaden infolge kleiner Fehler kann bis zur Betriebsunterbrechung führen.

Um das Bewusstsein für die Risiken, die Bedeutung der Sicherheit und die Notwendigkeit der genannten Aspekte in der Organisation zu verankern, sind teamübergreifende Gespräche eine vielversprechende erste Maßnahme. CI[S]Os müssen die Führungskräfte aller Abteilungen – wie Entwicklung, Operations und Sicherheit, aber auch Vertrieb und Marketing – auf das gemeinsame Sicherheitsziel ausrichten.

CI[S]Os sollten dazu den Beschäftigten eine Plattform zum Austausch von Erfahrungen und Wissen rund um das Thema Cybersecurity bieten. Dort wäre auch der Ort, an dem Bereiche, Abteilungen und Teams regelmäßig Erfolge und Best-Practice-Beispiele präsentieren.

Um den Sicherheits- und Compliance-Gedanken noch tiefer in das Unternehmen zu tragen, bietet es sich an, in jedem Team eine:n Sicherheitsexperten/in zu identifizieren oder Mitarbeiter:innen aufgrund ihrer Skills in diese Rolle zu entwickeln. Damit sollte sich die Konfrontation auf lange Sicht auflösen, weil hier sprichwörtlich Betroffene zu Beteiligten gemacht werden. An der Schnittstelle zwischen Entwicklung und Operations kann die Weiterentwicklung von DevOps zu DevSecOps ein aussichtsreicher Weg sein (vgl. [4,5]).

Ein weiterer Hebel ist auch die Verlagerung von Risiko- und Nutzenanalyse direkt in die jeweiligen Teams der verschiedenen Bereiche. Bei diesem Ansatz werden die Beschäftigten zwar zunächst wahrscheinlich ein Coaching benötigen, um belastbare Aussagen zu Eintrittswahrscheinlichkeiten, Schadenswirkungen und zu tolerierenden Risiken zu gewinnen. Aber die gemeinsame Entscheidung mit CI[S]O oder beauftragten Personen erhöht letztlich die Akzeptanz der Sicherheit und baut Barrieren ab.

Die Adressierung und Einbeziehung der Mitarbeiter:innen stärkt die IT-Sicherheit selbst – doch erst mit einer zeitgemäßen Sicherheits-Strategie und unterstützenden Tools kann diese ihr Potenzial als Treiber für Wachstum und Innovationen richtig entfalten. Denn relevantes „An-Ort-und-Stelle“-Coaching – der einzige Ansatz, der nachhaltig funktionieren kann – ist nur systemgestützt realisierbar, was zum zweiten Teil der übergeordneten CI[S]O-Strategie führt:

Intelligente Sicherheit hilft Agilität und Innovation

In vielen Unternehmen bildet der erwähnte klassische Sicherheitsansatz auch weiterhin den Kern der Sicherheits-Strategie, die mit der Investition in Hardware-Appliances und allerhand Tools implementiert werden soll. Die deutlich sichtbaren Veränderungen in Systemarchitekturen und Anwendungskonzepten machen es allerdings immer schwieriger, eine solche Strategie wirksam umzusetzen: Das Computing wandert immer stärker an den Netzwerkrand, etwa durch den intensiveren Einsatz von IoT-Devices und künstlicher Intelligenz (KI).

Wenn es in Industrie 4.0 oder im Automotive-Sektor um die Lösung komplexer Aufgaben in Echtzeit geht, werden Daten nicht erst den Weg in ein Unternehmensrechenzentrum finden können, sondern müssen zumindest in Teilen bereits „am Rand“ verarbeitet werden. Mikroservices und ihre Komponenten liegen ebenfalls verteilt in der Cloud vor und Beschäftigte wollen im Zeichen von „New Work“ ortsunabhängig und mit eigenen Geräten arbeiten. So muss ein zentralisiertes Sicherheitskonzept zwangsläufig löchrig werden.

Mit dem 2019 vom Branchenanalysten Gartner vorgestellten Ansatz Secure-Access-Service-Edge (SASE) bietet sich CI[S]Os ein mächtiges Werkzeug, um die wirtschaftlichen Ziele ihres Unternehmens aktiv zu unterstützen (siehe auch [6,7]). Das cloudbasierte Sicherheitsarchitektur-Framework umfasst mit der Komponente „Security-Service-Edge (SSE)“ eine Reihe von Sicherheitsdiensten zum Schutz von Remote-Mitarbeiter:innen, cloudbasierter Technologie, bestehender Anwendungen und Infrastrukturen vor Ort. Zu diesen Services zählen unter anderem auch Zero-Trust-Network-Access (ZTNA, vgl. [8]) oder die SD-WAN-Integration (vgl. [9]). SASE verlagert die Sicherheit in die Cloud und macht sie intelligenter, weil KI bei der Erkennung von Anomalien unterstützt und in Abhängigkeit des jeweiligen Kontexts den Zugang und den Zugriff auf Daten oder die Nutzung von Ressourcen steuert.

Wenn Cybersecurity cloudbasiert und datenzentriert ist, dann sind Benutzer:innen und Datenstandort keine limitierenden Faktoren mehr. Das bedeutet, dass es erheblich einfacher wird, neue Filialen zu eröffnen oder flexiblere Arbeitsmodelle zu implementieren. Das kontextbezogene Verständnis von Datentypen und ihrer Verwendung hat zur Folge, dass Richtlinien mit einer viel höheren Granularität entworfen werden können. Der Fokus auf die Daten und nicht auf eine Anwendung bedeutet mehr Flexibilität und Agilität – denn Geschäftseinheiten können innovativ arbeiten und Produktivitätssteigerungen erzielen, ohne sich durch zeitaufwendige Sicherheitsgenehmigungen kämpfen zu müssen.

Damit kann Sicherheit zum Enabler von mehr Agilität und Flexibilität werden. Zudem trägt intelligente Sicherheit gleichermaßen zum unmittelbaren wirtschaftlichen Erfolg des Unternehmens bei, denn mit der Umsetzung von SASE gehen in der Regel Konsolidierungen von Sicherheitsservices, Anbietern, Tools und Technologiemanagement und Wissen Rolle des CI[S]O einher – mit anderen Worten: Kosteneinsparungen in beträchtlicher Höhe. Dazu zählen auch geringere Netzwerkkosten, weil der Datenverkehr nicht länger zuerst zu Appliances im Rechenzentrum umgeleitet werden muss.

Fazit

Der vermeintliche Widerspruch zwischen Cybersecurity und Agilität im Unternehmen löst sich bei Licht besehen auf, wenn man die passende Strategie wählt. Dazu gehört, neben einer zeitgemäßen Security-Strategie und Netzwerksicherheit, aber auch eine Veränderung in der Zusammenarbeit zwischen den Teams, wozu CIOs und CISOs aktiv beitragen können (und müssen).

 

Ilona Simpson ist CIO EMEA von Netskope.

 

Literatur

[1] Bettina Weßelmann, Johannes Wiele, Rollen und Zwänge in Sicherheitsprojekten, Commedia della Sicurezza, <kes> 2020# 2, S. 10
[2] Ralph Dombach, (K)ein normaler Tag im Security-Theater, Ein völlig fiktiver (?) Dialog unter Fortbildungsteilnehmern – oder: Was Sie schon immer über Sicherheit hören wollten, aber nie zu fragen wagten, <kes> 2021 #3, S. 38
[3] Johannes Wiele, Stolperstein „Reaktanz“, in: Kommunikation führt zu Kultur, Das erfolgreiche Beispiel der Erste
Group Card Processor, <kes> 2015#5, S. 66
[4] Stefan Beißel, DevOps aus Sicherheitsperspektive, <kes> 2014#6, S. 6
[5] Evren Eren, DevSecOps (1+2), <kes> 2021#6, S. 25 und 2022#1, S. 20
[6] Laurence Pitt, Am Rand kommt alles zusammen, Wie Netzwerkmanagement und Security mit SASE in der Cloud zusammenwachsen, <kes> 2020#6, S. 60
[7] Hugo Vliegen, One SASE Fits All? Mitnichten!, Warum modernes SASE maßgeschneidert sein muss, <kes> 2021#4, S. 32
[8] Evren Eren, Der Weg zum Zero-Trust-Networking (1+2), <kes> 2020#6, S. 52 und 2021#1, S. 50
[9] Tim Cappelmann, Sichere und stabile Netzwerke, SD-WAN vorausschauend planen, <kes> 2019 #5, S. 17

Diesen Beitrag teilen: