CISO: Die größten Herausforderungen für Sicherheitsverantwortliche

Unternehmen kämpfen oft damit, die wichtigsten IT-Bedrohungen zu identifizieren. Hier die gängigsten Probleme, denen CISOs im Alltag begegnen.

Je mehr Unternehmen die CISO-Rolle besetzen, desto mehr Verantwortung erhält diese Position im Unternehmen. Einige CISOs begegnen Herausforderungen direkt, andere stecken fest, weil sie die Kommunikationslücke zwischen der Technik und Business nicht schließen können.

In beiden Fällen müssen CISOs mit dem ständigen Wandel der Rolle zurechtkommen und sich den konstanten Herausforderungen eines CISOs stellen. Eine der größten ist dabei das Problem, dass sich wichtigsten Sicherheitsbedrohungen nicht immer 1:1 auf das abbilden lassen, was eigentlich im Hintergrund geschieht. Während einer Diskussion auf der RSA Konferenz 2016 erklärte etwa Pavel Slavin, der technische Direktor für Medical Device Cybersecurity bei Baxter International, dass Unternehmen oftmals die falschen Dinge priorisieren und so Probleme damit haben, die wirklichen Herausforderungen anzugehen.

„Wir konzentrieren uns oft darauf, einen falschen Eindruck von Sicherheit zu schaffen – etwas tolle Berichte, Grafiken oder eine Auflistung von Dingen, die erfolgreich geblockt wurden. Tatsächlich haben allerdings 63 Prozent der Leute ihre privaten Gesundheitsinformationen verloren, zudem wurden zwei Infusionspumpen im letzten Jahr gehackt“, so Slavin. „Es sieht so aus, als würden wir unsere Anstrengungen überbetonen.“

John Pescatore, der Director for Emerging Security Trends beim SANS Institut, der das Panel damals moderierte, sprach dieses Thema ebenfalls an. Das Problem sei vor allem, dass CISOs die jeweiligen Sicherheitsprobleme erkennen müssten, die ihre Unternehmen betreffen. „Die Herausforderungen für CISOs ist, eine Balance zwischen verschiedenen Faktoren zu finden. Dazu gehören die Unternehmensinformationen allgemein, die jeweilige vertikale Unternehmensstruktur, die Wichtigkeit der Daten und anderen Faktoren“, so Pescatore. „Warum tauchen einige Unternehmen nie in den Nachrichten auf? Es liegt dran, dass sie ein erfahrenes und hochwertiges Sicherheitsteam haben, das in Unternehmen die notwendigen Änderungen durchsetzen kann. Sie werden zudem von einem CISO geleitet, der die echten Herausforderungen erkennt und die Technik sowie die Leute dahinter versteht.“

Was also sind die Herausforderungen für CISOs? Hier ist eine Liste, die uns Sicherheitsexperten mitgeteilt haben. Sie reichen von einfachen Passwortrichtlinien bis hin zu komplizierten Sicherheitskonzepten.

Herausforderungen für CISOs

Manchmal sind es die einfachen Dinge, die Sicherheitsteams nicht schlafen lassen. „Passwörter, Updates, Erkennung von Problemen und die Antwortzeiten auf Probleme – das sind einige der typischen Probleme, mit denen Unternehmen kämpfen“, sagt Robert Herjavec, der CEO und Gründer der Herjavec Group, sowie ein Mit-Moderator der Reality-TV-Show Shark Tank. „Das Zurücksetzen von Kennwörtern ist wahrscheinlich eins der einfachsten Dinge, die Unternehmen übersehen können.“

Ein anderer Sprecher auf dem Panel der RSA Konferenz war Don Smyczynski. Der CISO von Rich Products, einem Unternehmen der Lebensmittelindustrie, verwaltet die Technik von 36 Produktionsstätten und mehr als 5000 Mitarbeitern rund um den Erdball. Hier ist seine Liste an Top-Problemen:

Diebstahl von Geschäftsgeheimnissen: „Die Leute denken gerne, dass die Daten ihnen gehören und sie damit machen können, was sie wollen. Wir hatten gute Erfolge damit, die Prozesse zu sichern, Daten und Rezepte können wiederhergestellt werden. Es sind also Prozesse, die wirklich wichtig sind“, so Smyczynski.

Industrielle Kontrollsysteme: „Ein Großteil unserer Produkte ist tiefgefroren, diese Kühler müssen verwaltet werden, etwa, weil sie tagsüber mehr gekühlt werden müssen als nachts“, sagt Smyczynski. „Es ist essentiell, dass wir die Risiken verstehen und die industriellen Systeme, die diese Systeme verwalten vor Attacken schützen – egal ob es sie eine Gefriertruhe oder eine Zentrifuge betreiben.“

Internet of Things: „Industrielle Ingenieure denken, dass sie alles wissen und sie nicht auf die IT-Sicherheit warten müssen, bevor sie Produkte veröffentlichen. Die IT-Abteilungen müssen sie dabei unterstützen, schnell, aber sicher neue IoT-Produkte zu veröffentlichen.“

Verwaltung von externen Dienstleistern und Anbietern: „Unsere Anlagen zur Herstellung von Produkten beschäftigen zahlreiche Leute, die Zugriff auf sensible Daten in jedem Ort haben. Es ist eine unglaubliche Herausforderung zu sehen, wer Zugriff auf welche Daten hat – vor allem, wenn diese Leute nicht mehr im Unternehmen arbeiten. Dazu kommen noch die Netzwerke externer Anbieter, die inzwischen eine Erweiterung des Unternehmensnetzes sind. Die jeweiligen Sicherheitsanstrengungen Ihrer Anbieter sind der kleinste gemeinsame Nenner für Ihre Strategien.“

Andere Herausforderungen für CISOs  sind die Vorgaben von Regularien und Compliance. Es reicht, ein neues Gerät oder System ins Netzwerk einzufügen, um einen ganz Reihe an komplizierten und notwendigen Schritten auszulösen. Diese sollen sicherzustellen, dass notwendigen Vorgaben weiter eingehalten werden. „Die meisten CISOs, und dazu zähle ich auch mich selbst, bauen ihr Budget rund um die notwendige Compliance auf, die meisten Projekte werden dann an Investments gekoppelt“, sagt Demetrios „Laz“ Lazarikos, der CISO für vArmour und ehemals CISO für Sears online.

„Das ist ein gutes Beispiel dafür, dass bei der Bewertung eines neuen Systems die Kosten für die Sicherheitsbewertung gleich mit eingeplant werden“, so Lazarikos. Laut ihm sind die wichtigen Kriterien:

  • Muss ich den Hersteller separat überprüfen?
  • Wie wird das Geräte aktuell gehalten?
  • Wer hat Zugriff auf das System beziehungsweise das Gerät?
  • Welche Art von Überwachung ist notwendig?
  • Wer überwacht das Gerät im Hinblick auf Sicherheitsprobleme? Der Hersteller oder der Endnutzer?
  • Wenn das System kompromittiert wird, wer informiert den Nutzer und wie?

Egal ob Compliance, IoT-Sicherheit oder simple Passwortverwaltung, die Herausforderungen für CISOs sind zahlreich. Dazu kommt, dass sich die Bedrohungslandschaft ständig verändert und CISOs und Unternehmen ihre Strategie ständig anpassen müssen.

Fazit

Die Verantwortung eines CISOs ist es, die Systeme und Geräte in ihrem Verantwortungsbereich zu schützen. Das klingt einfacher, als es eigentlich ist. Aber was ist mit Problemen, die eigentlich nicht im Bereich des CISOs liegen? Was ist mit toten Winkeln im Sicherheitsumfeld – den Bereichen, die niemand einsieht, die vergessen wurden oder die einfach niemand kennt?

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Erfahren Sie mehr über Identity and Access Management (IAM)

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close