Wie ein gutes Security-Team zusammengesetzt sein kann

Warum die Struktur eines Teams für Cybersicherheit wichtig ist

Wenn es um den Schutz der Systeme, Daten und Anwendungen eines Unternehmens geht, ist Teamarbeit gefragt. Um ein Cybersicherheitsprogramm ordnungsgemäß zu implementieren, zu pflegen und kontinuierlich zu verbessern, muss die Struktur des Cybersicherheitsteams eines Unternehmens seinen Sicherheits- und Geschäftsanforderungen entsprechen.

Cybersicherheitsteams sind dafür verantwortlich, Sicherheitsvorfälle, Cyberbedrohungen, Schwachstellen und Risiken zu identifizieren, zu schützen, zu erkennen, darauf zu reagieren und sie zu beheben. Außerdem müssen sie Richtlinien erstellen, Tools, Technologien und Prozesse warten und Mitarbeiter durch Schulungen und Kommunikation zum Thema Sicherheit sensibilisieren.

Um diese Aufgaben optimal zu bewältigen, müssen CISOs ihre Teamstruktur auf den Prüfstand stellen. Dazu gehören auch die Rollen und Verantwortlichkeiten sowie die Frage, wer in welcher Gruppe arbeitet und wem sie unterstellt sind. Wie dies in einer bestimmten Organisation aussehen sollte, hängt von den jeweiligen Gegebenheiten ab. Was für ein Unternehmen funktioniert, muss für ein anderes nicht unbedingt geeignet sein.

Eine gute Teamstruktur wirkt sich auf Folgendes aus:

• Operative Effizienz.
• Schnelle Entscheidungsfindung.
• Risikomanagementfähigkeiten.
• Effektive Reaktion auf Vorfälle.
• Compliance und Governance.

Dies erstreckt sich auch auf geschäftliche Auswirkungen, darunter Kultur, Arbeitsmoral, Vertrauen von Kunden und Partnern, Ressourcenzuweisung und Fremdkapitalmanagement.

Wie man die Anforderungen an ein Team für Cybersicherheit festlegt

Ein CISO muss in erster Linie die wichtigsten Ziele des Sicherheitsprogramms identifizieren und priorisieren und anschließend überlegen, wie die Teamstruktur diese Ziele am besten unterstützen kann.

Es kann durchaus sinnvoll sein, zunächst ein Venn-Diagramm zu verwenden, um Sicherheitsinitiativen, Projekte und Verantwortlichkeiten in die folgenden Kategorien zu sortieren:

1. Wichtig genug, um eine kontinuierliche Überwachung zu erfordern.
2. Komplex genug, um eine kontinuierliche und delegierte Verantwortung zu erfordern.
3. Kontinuierlich oder vorübergehend – zum Beispiel eine fortlaufende Funktion im Gegensatz zu einem zeitlich begrenzten, einmaligen Projekt.

In einigen Fällen sind diese offensichtlich. In anderen Fällen jedoch nicht so sehr. Identifizieren Sie die weniger offensichtlichen Aufgaben des Teams, indem Sie die Unternehmensziele analysieren und die damit verbundenen Sicherheitsanforderungen berücksichtigen.

Wenn CISOs die Ziele ihrer Organisation nicht kennen, sollten sie Übungen zur Zielsetzung durchführen. Formale Ansätze, wie beispielsweise die COBIT-5-Zielkaskade, ITIL oder das Balanced-Scorecard-System, können Führungskräften dabei helfen, die wichtigsten Ziele ihrer Organisation zu finden, aufzuschlüsseln und abzubilden.

Zu den entscheidenden Ergebnissen, die CISOs berücksichtigen sollten, gehören die folgenden:

• Regulatorischer Kontext, das bedeutet welche Funktionen regulatorisch bedingt und daher nicht optional sind.
• Bestehende organisatorische Richtlinien.
• Kundenvereinbarungen.
• Anforderungen der Stakeholder.
• Kontrollrahmen, die die Organisation intern verwendet, wie zum Beispiel ISO/IEC 27001 oder ISO/IEC 27002.

Listen Sie die damit verbundenen kritischen Aufgaben auf, ordnen Sie sie entsprechend und legen Sie fest, wer die Aufsicht übernehmen soll. Diese Aufgaben bilden den Kern der spezifischen Funktionsbereiche, die CISOs in ihrer Teamstruktur berücksichtigen müssen.

Weitere zu berücksichtigende Faktoren sind die Reife der Organisation, die Komplexität des Programms, das Bedrohungsprofil, die Dynamik des Teams und des Personals, die individuellen Umstände der Mitarbeiter sowie alle besonderen organisatorischen Faktoren.

Komponenten und Rollen eines erfolgreichen Cybersicherheitsteams

Nachdem Sie die Ziele des Programms festgelegt haben, bestimmen Sie die Funktionsbereiche, die zur Erreichung dieser Ziele erforderlich sind. Die Auswahlmöglichkeiten sind nahezu uneingeschränkt. Es gibt jedoch einige häufig vorkommende Muster, die als Leitfaden für die Entwicklung der Berichtsstruktur des Sicherheitsteams dienen können.

Beachten Sie, dass dies keine Empfehlungen sind – die Entscheidungen einer Organisation sollten sich nach ihren individuellen Umständen und Anforderungen richten. Beachten Sie auch, dass Rollen oft in mehr als einem Team vorkommen. Daher ist die funktionsübergreifende Zusammenarbeit zwischen Sicherheitsexperten und -teams sowie anderen Geschäftsabteilungen und -einheiten, wie IT-, Rechts- und Risikomanagementteams, für das Risikomanagement und den Schutz der Unternehmensumgebung von entscheidender Bedeutung.

Führungskräfte

Führungskräfte müssen wissen, wie sie Sicherheit mit den Unternehmenszielen in Einklang bringen, Risikomanagement betreiben, Ressourcen zuweisen und Compliance-Anforderungen verstehen.

Die wichtigste Führungsrolle kommt dem CISO zu, der das Sicherheitsprogramm überwacht und die Strategie leitet. Zur Führungsebene können auch Teamverantwortliche und -leiter gehören, die unter anderem operative Teams beaufsichtigen, Fortschritte überwachen, Leistungskennzahlen erfassen und analysieren sowie Vereinbarungen mit Stakeholdern zu Zeitplänen und Zielen überprüfen.

Operative Teams

Zu den wichtigsten operativen Einheiten gehören das SOC-Team (Security Operations Center), das Incident-Response-Team, der Bereich Threat Intelligence und das Red Team.

• SOC (Security Operations Center). Das SOC-Team überwacht die Bedrohungsüberwachung, das Threat Hunting, die Verwaltung von Security-Tools wie SIEM und EDR sowie andere tägliche Vorgänge. Zu den Rollen im Team gehören CISOs, SOC-Manager, Sicherheitsanalysten und Security-Spezialisten.
• Vorfallreaktion (Incident Response). Das Incident-Response-Team kümmert sich um die Untersuchung, Eindämmung und Behebung von Sicherheitsvorfällen. Es überwacht, pflegt und testet regelmäßig die Incident-Response-Pläne und -Prozesse. Zu den Aufgaben können auch Forensik, Berichterstattung und Kommunikation sowie die Vorbereitung von Beweismitteln gehören, beispielsweise die Koordination mit Strafverfolgungsbehörden und die Vorbereitung von Materialien für diese. Zu den Rollen im Team gehören Incident Responder, Threat Hunter, Sicherheitsanalysten und Forensiker.
• Threat Intelligence (Bedrohungsinformationen). Das Team für Bedrohungsinformationen sammelt und analysiert Informationen über Cyberbedrohungen, um die Tools, Techniken und Vorgehensweisen von Angreifern zu antizipieren. Es koordiniert mit den relevanten Beteiligten die Erkennungsregeln, Erkennungskontrollen und die Reaktion auf Vorfälle. Zu den Aufgaben des Teams gehören Sicherheitsanalysten und Threat Hunter.
• Red Team. Das Red Team simuliert feindliche Aktivitäten, um Schwachstellen aufzudecken und auszunutzen. Zu den Teammitgliedern gehören Penetrationstester, ethische Hacker und Sicherheitsanalysten.

Technische Spezialisierungen

Technische Teams in einem Unternehmen können Folgendes umfassen:

Netzwerksicherheit. Das Netzwerksicherheitsteam verwaltet die Netzwerkinfrastruktur und -architektur. Zu den Teammitgliedern können Netzwerkspezialisten, -architekten und Netzwerksicherheitsanalysten gehören.

Anwendungs- und produktbezogene Sicherheit. Dieses Team arbeitet mit Anwendungsentwicklern und DevSecOps-Teams zusammen, um Folgendes zu erreichen:

• Sicherheit in den Softwareentwicklungszyklus (SDLC) integrieren.
• Bedrohungsmodellierung für Anwendungen durchführen.
• Sichere Codierungspraktiken etablieren.
• Sicherheit in Pipelines für kontinuierliche Integration/kontinuierliche Bereitstellung (CI/CD) integrieren.
• An Sicherheitstests für Produkte und Anwendungen teilnehmen.

Zu den Teammitgliedern gehören Application Security Engineers und Manager, Product Security Engineers und Manager, Entwickler und DevSecOps-Experten.

Cloud-Sicherheit. Das Cloud-Sicherheitsteam verwaltet die Cloud-Sicherheitsinfrastruktur und Cloud-Sicherheitsimplementierungen und schützt Cloud-Workloads. Zu den Teammitgliedern gehören Cloud-Sicherheitsarchitekten, Techniker und Analysten.

Identitäts- und Zugriffsmanagement (IAM). Das IAM-Team kontrolliert den Zugriff auf Ressourcen wie Systeme, Anwendungen, Infrastruktur und Daten. Es entwirft, verwaltet und überwacht in einigen Fällen die Autorisierung, Authentifizierung und den privilegierten Zugriff. Zu den Teammitgliedern gehören IAM-Administratoren und Sicherheitstechniker.

Sicherheitsarchitektur. Das Team für Sicherheitsarchitektur entwirft Sicherheitssysteme und -infrastrukturen. Es legt grundlegende Kontrollen und sichere Designmuster fest und implementiert diese, führt formelle oder informelle Planungen zur Sicherheitsarchitektur durch und arbeitet mit anderen technischen Teams zusammen, um technische Risikobereiche zu verstehen und anzugehen. Zu den Teammitgliedern gehören Sicherheitsarchitekten und Sicherheitstechniker.

Governance, Risikomanagement, Richtlinien und Compliance

Das Governance-, Risiko- und Compliance-Team überwacht Governance-Strukturen und -Richtlinien, dokumentiert Risikobewertungen und stellt die Einhaltung und Angleichung an regulatorische Anforderungen und Standards sicher. Zu den Teammitgliedern gehören Compliance-Beauftragte, Risikoexperten, Security-Auditoren und andere Spezialisten. Dieses Team arbeitet eng mit den Rechts- und IT-Teams zusammen.

Das Team für Sicherheitsbewusstsein und -schulungen klärt die Mitarbeiter über Sicherheitsverantwortlichkeiten, Richtlinien, akzeptable Nutzung und andere Auflagen auf. Es konzipiert, implementiert und überwacht die Durchführung von Sicherheitsschulungen, Phishing-Simulationen und Maßnahmen zum Aufbau einer Sicherheitskultur in den Teams.

Beide Teams arbeiten mit den Personal- und Datenschutzteams zusammen, darunter Personalmanager, Compliance-Beauftragte und Rechtsabteilungen, um sicherzustellen, dass die Datenschutzanforderungen erfüllt werden.

Wie die Teamstruktur in der Praxis funktioniert

Nachdem die Ziele festgelegt und die Rollen im Team verteilt sind, ist es an der Zeit, die Organisationsstruktur aufzubauen.

Führungskräfte einbeziehen, Abstimmung mit Unternehmenszielen

Die Zustimmung der Führungskräfte ist unerlässlich. Um diese zu erhalten, muss der Entwurf mit soliden, stichhaltigen Argumenten begründet werden.

Unter der Annahme, dass der CISO die oben genannten Empfehlungen befolgt hat, sollten die übergeordneten Geschäftsziele des Unternehmens maßgeblich in die Funktionsbereiche einfließen. Dies trägt dazu bei, eine überzeugende, geschäftsorientierte Erzählung zu entwickeln, die die Struktur des Sicherheitsteams erklärt.

Übersetzen Sie Sicherheitsanforderungen in einen geschäftlichen Kontext. Widerstehen Sie der Versuchung, detailliert auf regulatorische Rahmenbedingungen, spezifische Kontrollen und andere Einzelheiten einzugehen. Seien Sie transparent in Bezug auf Kompromisse – beispielsweise wenn Sicherheitsverantwortliche aufgrund von Ressourcenengpässen oder anderen praktischen Einschränkungen Funktionen gebündelt oder Verantwortlichkeiten angepasst haben.

Personaleinsatz und Schulungen berücksichtigen

Überlegen Sie sich die Einzelheiten der Berichterstattung und Personalbesetzung. Stellen Sie folgende Fragen:

• Sind Mitarbeitende verfügbar, die entweder sofort in die Struktur passen oder entsprechend umgeschult werden können?
• Sind neue Mitarbeitende erforderlich?
• Gibt es Situationen, die eine Matrixberichterstattung oder atypische Berichtsstrukturen erfordern?
• Sollten Spezialisten wie Anwendungssicherheitsexperten zentralisiert oder in bestimmte Geschäftseinheitsteams eingebunden werden?
• Kann das Unternehmen interne Weiterbildungen anbieten, beispielsweise Schulungen für branchenspezifische Zertifizierungen?

Berücksichtigen Sie auch den Bedarf an internem Personal im Vergleich zum Outsourcing an Managed Services. Je nach Ressourcen- und Personalbeschränkungen müssen Unternehmen möglicherweise einige Aufgaben oder Positionen auslagern.

Ein Security-Team für die Zukunft

Beachten Sie zwei Dinge: Kein Team ist statisch, und Menschen machen Fehler.

Die perfekte Teamstruktur von heute ist möglicherweise in einem Jahr nicht mehr optimal oder sogar überholt. CISOs müssen ihre Pläne im Laufe der Zeit unter folgenden Gesichtspunkten überprüfen:

• Achten Sie auf die Einhaltung sich ändernder Unternehmensziele. Ziele ändern sich im Laufe der Zeit. Stellen Sie sicher, dass sich das Team entsprechend anpasst.
• Überprüfen Sie den Plan im Hinblick auf technologische Veränderungen. Neue Technologien und Weiterentwicklungen bestehender Technologien werden sich auf die Teamstruktur auswirken. Berücksichtigen Sie Automatisierung, KI und Quantencomputing. Beides verändert nicht nur die Arbeitsweise von Teams, sondern auch die Bedrohungen, denen sie sich stellen müssen.
• Bewerten Sie die Leistung der Organisation und des Teams. Messen Sie die Effektivität des Teams im Laufe der Zeit anhand von Schlüsselkennzahlen und Leistungspunkten. Aktualisieren Sie diese bei Bedarf. Einige Änderungen werden sich zwangsweise oder durch äußere Einflüsse ergeben – beispielsweise um mit Branchen- oder Compliance-Vorschriften Schritt zu halten.

Es gibt kein per se zukunftssicheres Team, aber regelmäßige Neubewertungen und die Bereitschaft, sich auf der Grundlage der tatsächlichen Leistung anzupassen, kommt dem am nächsten.