Wenn es um die IT-Sicherheit und Cyberresilienz eines Unternehmens nicht gut bestellt ist, gefährdet dies den Geschäftsbetrieb. Die Rolle des CISO ist daher entscheidend.
In der Regel standen CISO (Chief Information Security Officer) in der Vergangenheit meist im Rampenlicht, wenn es zu einem schwerwiegenden Sicherheitsvorfall gekommen war, und sie in irgendeiner Form auch Verantwortung dafür übernehmen mussten. Da wurden dann manchmal kein allzu positives Bild gezeichnet.
Dieses Paradigma hat sich in den letzten Jahren aufgrund der folgenden konvergierenden Trends verschoben:
Die Zahl der Organisationen, die Opfer von Datenschutzverletzungen werden, steigt weiterhin rapide an und umfasst Unternehmen aller Art: große Konzerne, kleine Start-ups, Behörden und gemeinnützige Organisationen. Infolgedessen ist das Stigma weniger stark ausgeprägt.
Große und kleine Unternehmen sind heute auf immer komplexere hybride IT- Dienstleistungen und Datenumgebungen angewiesen, was zu neuen und sich ständig weiterentwickelnden Herausforderungen im Bereich der Sicherheit führt.
Die finanziellen Folgen von Verstößen steigen weiter an, sodass Führungskräfte in Unternehmen zunehmend daran interessiert sind, diese zu verhindern und zu entschärfen, anstatt nur jemanden zu suchen, dem sie die Verantwortung dafür zuschieben können.
Die finanzielle, betriebliche und sogar existenzielle Bedrohung durch Ransomware hat zugenommen, da die Zahl der Angreifer und die Raffinesse der Angriffe weiter zunehmen.
Als CISO ist die Verantwortung für den Schutz der Systeme und Daten eines Unternehmens gleichbedeutend mit der Verantwortung für den Schutz der Funktionsfähigkeit und sogar der Existenz des Unternehmens. Infolgedessen sind die Mitglieder der Geschäftsleitung mehr denn je bereit, dem CISO zuzuhören – und ihm wirklich Gehör zu schenken.
Das ist eine Situation, die für Sicherheitsverantwortliche eine Chance darstellt. In der Vergangenheit haben sich CISOs in erster Linie auf die Identifizierung und Minderung von Bedrohungen für IT-Ressourcen konzentriert. Um den aktuellen Anforderungen gerecht zu werden, benötigen CISOs jedoch eine breitere Perspektive und die richtigen technischen, Führungs- und Geschäftskompetenzen sowie eine Denkweise, die sich auf Risiken und Chancen konzentriert.
Wichtige technische Fähigkeiten, über die ein CISO verfügen sollte
Viele der heute erfolgreichsten CISOs positionieren sich eher als Führungskräfte im Geschäftsbereich als in der Technik. Dennoch erfordert die Minderung von Cybersicherheitsrisiken – die grundlegende Aufgabe des CISO – nach wie vor umfassende technische Kenntnisse.
Ein CISO sollte in der Regel über folgende Fähigkeiten und Kenntnisse verfügen:
Kenntnisse über die Funktionen aller wichtigen Kategorien von Sicherheitstechnologien, von Firewalls der nächsten Generation (NGFW) bis hin zu SASE-Diensten eines einzelnen Anbieters.
Verständnis der Sicherheitsfunktionen aller modernen Betriebssysteme, Hypervisor- und Containerisierungsplattformen sowie Cloud-Umgebungen.
Es ist wichtig zu verstehen, dass alle Teile der Umgebung relevante Cybersicherheitsrichtlinien durchsetzen können und sollten. Dies umfass mobile Geräte, Netzwerke, lokale Server, Storage und Anwendungen, IaaS-Ressourcen und -Instanzen sowie PaaS- und SaaS-Plattformen.
Schaffung oder Mitwirkung an der Entwicklung einer übergreifenden Cybersicherheitsarchitektur, deren Kernkonzept auf Zero Trust basiert.
Wichtige unternehmerische Fähigkeiten für CISOs
Wenn Führungskräfte Cyberbedrohungen als Risiko für IT-Systeme – und nicht für das Unternehmen – betrachten, sehen sie Cybersicherheit als Problem anderer und für hochrangige Aufmerksamkeit als unwichtig an. Um der falschen Vorstellung entgegenzuwirken, dass Cybersicherheit eher ein IT- als ein Unternehmensproblem ist, muss ein CISO in der Lage sein, Folgendes zu tun oder zu vermitteln:
Verstehen der Funktionsweise und Aufgaben der Organisation: Was ist das Tätigkeitsfeld, wie wird die Arbeit erledigt und von wem?
Die Beteiligten davon überzeugen, Cybersicherheit von Anfang an in die Geschäftsplanung einzubeziehen.
Cybersicherheit sollte als strategischer Faktor und Verkaufsargument betrachtet werden, nicht als Nebensache oder Hindernis.
Alle Aspekte kennen, an denen Betriebsabläufe für Cyberangriffe anfällig sind.
Aktuelle Cybersicherheitsrisiken in Bezug auf das Risiko für das Unternehmen darstellen.
Die potenziellen oder tatsächlichen Auswirkungen von Angriffen in geschäftlicher Hinsicht quantifizieren, beispielsweise ihre Auswirkungen auf Umsatz und Kosten.
Die potenziellen oder tatsächlichen Auswirkungen von Cyberangriffen im Hinblick auf die Fähigkeit des Unternehmens, seine geschäftlichen Ziele und finanziellen Vorgaben zu erreichen, in einen Rahmen fassen.
Als CISO ist die Verantwortung für den Schutz der Systeme und Daten eines Unternehmens gleichbedeutend mit der Verantwortung für den Schutz der Funktionsfähigkeit und sogar der Existenz des Unternehmens.
Wichtige Führungsqualitäten für CISOs
In modernen Unternehmen hat jeder eine Rolle in der Cybersicherheit zu spielen, vom Mitarbeitenden am Empfang, der weiß, dass er sein Passwort nicht an die nette Person von Microsoft weitergeben darf, bis hin zur Geschäftsführung, die versteht, dass Cybersicherheit keine Checkbox für Audits ist, sondern eine operative und strategische Notwendigkeit. Die Aufgabe des CISO besteht darin, alle bei diesen Bemühungen anzuleiten und ihnen zu helfen, ihre Rolle gut zu erfüllen. Das bedeutet, dass er die folgenden Führungsqualitäten entwickeln muss:
Die Fähigkeit, klar und überzeugend mit technischen Mitarbeitenden zu kommunizieren, um zentrale Sicherheitsmaßnahmen rund um eine einheitliche Architektur zu organisieren.
Die Fähigkeit, mit nicht-technischen Mitarbeitenden klar und effektiv darüber zu kommunizieren, wie sie Risiken für das Unternehmen mindern können. Dazu gehört auch, zu erklären, warum manche Dinge, die Nutzer tun möchten, aufgrund der Notwendigkeit, das Unternehmen zu schützen, möglicherweise nicht einfach oder sogar unmöglich sind – beispielsweise die Nutzung öffentlich zugänglicher KI-Chatbots für Arbeitszwecke.
Die Fähigkeit, klar mit dem Vorstand und anderen Führungskräften des Unternehmens zu kommunizieren, um zu erklären, warum es notwendig ist, kontinuierlich in Cybersicherheitsdienste, -Tools und -teams zu investieren, um operative und finanzielle Risiken zu minimieren.
Verständnis dafür, wie das Bewusstsein für Cybersicherheit im gesamten Unternehmen geschärft werden kann, mit besonderem Schwerpunkt auf der Schulung der Benutzer im Erkennen und Vermeiden von Social-Engineering-Angriffen.
Eine risikobezogene Denkweise
Schließlich etwas, das schon immer galt: Kein CISO sollte Cybersicherheit nur als eine Ansammlung von Schwachstellen und Abwehrmaßnahmen betrachten. Effektive Cybersicherheitsverantwortliche verstehen jede Schwachstelle im Kontext des Risikos, das sie für das Unternehmen darstellt – das heißt, im Hinblick auf das Ausmaß des Schadens, den sie verursachen könnte, und die Wahrscheinlichkeit, mit der sie auftritt.
Beispielsweise könnte ein CISO Schwachstellen mit geringem Risiko zurückstellen, um Risiken Vorrang zu geben, die zu gefährlichen und kostspieligen Sicherheitsverletzungen führen könnten. Das Verständnis von Risiken und die Nutzung dieses Wissens als Grundlage für Entscheidungen, von der Budgetierung und Planung bis hin zu den täglichen Prioritäten, gibt der gesamten Cybersicherheitsorganisation ein einheitliches Ziel und eine einheitliche Perspektive.
