Kämpfer oder Wächter: CISO im Zwiespalt

Unser Autor befasst sich mit den Herausforderungen, vor denen CISOs stehen, um die Balance zwischen Brandbekämpfung und Unternehmenssicherheit zu erhalten, und er erörtert, wie sich diese meistern lassen.

CISOs spielen eine immer wichtigere Rolle in Unternehmen, da das Risiko von Cyberangriffen und Datenverlusten zunimmt. Ihre Aufgabe besteht darin, die Informations- und Datensicherheit des Unternehmens zu gewährleisten. Das bedeutet, dass sie ein umfassendes Verständnis der aktuellen Bedrohungslandschaft haben und Maßnahmen ergreifen müssen, um das Unternehmen vor diesen Bedrohungen zu schützen.

Ein CISO ist verantwortlich für die Entwicklung und Umsetzung von Sicherheitsstrategien, die die Einhaltung der geltenden Vorschriften und Standards sicherstellen. Dazu gehört auch die Überwachung von Netzwerken und Systemen, um potenzielle Angriffe oder Schwachstellen zu erkennen. Bei einem Sicherheitsvorfall ist es seine Aufgabe, zügig zu handeln, um den Schaden zu minimieren. Er ist somit Brandbekämpfer und Unternehmenswächter zugleich.

Herausforderung Nr. 1:

Das Spannungsverhältnis zwischen Brandbekämpfung und Unternehmenssicherheit

Ein großer Teil der Aufgabe des CISOs besteht darin, schnell und effektiv auf Sicherheitsvorfälle zu reagieren. Das kann jedoch im Widerspruch zur langfristigen Sicherheitsstrategie des Unternehmens stehen, die darauf abzielt, potenzielle Bedrohungen zu identifizieren und zu minimieren, bevor es zu einem Vorfall kommt.

Das Spannungsverhältnis zwischen Brandbekämpfung und Unternehmenssicherheit und das Finden eines passenden Gleichgewichtes zwischen beiden Themen stellt CISOs vor eine große Herausforderung. Denn die Brandbekämpfung erfordert schnelle Entscheidungen und Maßnahmen, um den Schaden für das Unternehmen so gering wie möglich zu halten. Die Ressourcen spielen hierbei nur eine untergeordnete Rolle, da es darum geht, die Sicherheit wiederherzustellen. Die Unternehmenssicherheit
erfordert jedoch eine langfristige Strategie, die sich auf die Identifizierung und Minimierung von Risiken konzentriert.

Gleichzeitig muss darauf geachtet werden, dass sämtliche Maßnahmen möglichst kosteneffizient, aber dennoch zügig umgesetzt werden. CISOs müssen daher in der Lage sein, schnell auf Sicherheitsvorfälle zu reagieren, während sie gleichzeitig dafür sorgen, dass die langfristige Sicherheitsstrategie des Unternehmens nicht beeinträchtigt wird.

Herausforderung Nr. 2:

Der Umgang mit verschiedenen Interessen und Prioritäten

In der Rolle des CISOs muss man oft mit verschiedenen Interessen und Prioritäten umgehen. Während es sein Job ist, sich auf die Gewährleistung der Informationssicherheit zu konzentrieren, können die Fachabteilungen möglicherweise andere und im schlimmsten Fall sogar völlig entgegengesetzte Schwerpunkte haben. So muss sich beispielsweise die IT-Abteilung auf die Bereitstellung von Diensten und die Unterstützung von Geschäftsprozessen fokussieren, während die Geschäftsführung eventuell mehr die finanzielle Leistung des Unternehmens im Blick hat.

Die Herausforderung für den CISO besteht nun darin, eine Balance zwischen diesen Interessen zu finden und sicherzustellen, dass die Sicherheitsstrategie mit den Gesamtzielen des Unternehmens in Einklang steht. Das erfordert ein gutes Verständnis der Geschäftsprozesse und -ziele sowie ein gutes Verhältnis zu den verschiedenen Abteilungen. Nur Lösungen, die auch im Arbeitsalltag Bestand haben und entweder voll automatisiert funktionieren oder für die Mitarbeitenden keinen oder nur einen geringen Mehraufwand bedeuten, werden in der Regel akzeptiert und angewandt.

Umständliche Lösungswege oder Lösungen, die viel Aufwand für alle Beschäftigten mit sich bringen, erfordern beinahe immer eine enorme Gewöhnungszeit und können so nur wenig effizient und zielführend umgesetzt werden. Pragmatismus im Sinne einfacher, möglichst belastungsarmer, aber dennoch hochgradig effektiver Lösungen ist hier das Gebot der Stunde.

Herausforderung Nr. 3:

Die Verwaltung von Risiken in einer sich schnell verändernden Bedrohungslandschaft

Die Bedrohungslandschaft verändert sich ständig, und CISOs müssen in der Lage sein, sich schnell an diese Veränderungen anzupassen. Neue Gefahren und Angriffsmethoden erfordern neue Sicherheitsmaßnahmen und -strategien. Gleichzeitig müssen CISOs sicherstellen, dass sie nicht zu viel Zeit und Ressourcen in die Bekämpfung von Bedrohungen investieren, die möglicherweise unwahrscheinlich oder irrelevant sind.

Die Verwaltung von Risiken erfordert daher eine ständige Überwachung der Bedrohungslandschaft und eine Risikobewertung, um festzustellen, welche Bedrohungen am wahrscheinlichsten sind und welche Maßnahmen erforderlich sind, um sie zu minimieren. Dies erfordert zudem detaillierte Kenntnisse über aktuelle Techniken und Sicherheitsbedrohungen sowie eine gute Zusammenarbeit mit anderen Sicherheitsfachleuten und -organisationen.

Auch der Blick in die Zukunft und ein gesundes Abschätzen von technologischen Entwicklungen, um diese bei der strategischen Planung der Unternehmenssicherheit mit einfließen zu lassen, ist eine wichtige Fähigkeit für CISOs.

Lösungsansätze für den CISO im Zwiespalt

Trotz der enormen Herausforderungen gibt es Lösungsansätze, die CISOs dabei helfen können, das aufgezeigte Spannungsverhältnis zwischen Brandbekämpfung und Unternehmenssicherheit sowie den unterschiedlichen Interessen und Prioritäten im Unternehmen zu bewältigen.

Eine Möglichkeit besteht zum Beispiel darin, eine klare Sicherheitsstrategie zu definieren und sicherzustellen, dass diese mit den Gesamtzielen des Unternehmens übereinstimmt. Die Strategie sollte regelmäßig überprüft und aktualisiert werden. Nur so ist gewährleistet, dass sie den sich ändernden Bedrohungen und Anforderungen des Unternehmens entspricht.

Ein weiterer Lösungsansatz ist die Verbesserung der Zusammenarbeit mit den Fachabteilungen im Unternehmen. CISOs sollten regelmäßig mit anderen Abteilungen kommunizieren und sicherstellen, dass sie die Bedeutung der Informationssicherheit
verstehen. Sie sollten auch darauf achten, dass die Sicherheitsmaßnahmen des Unternehmens die Geschäftsprozesse nicht beeinträchtigen.

Umgekehrt ist es wichtig, dass der CISO die Prozesse in den anderen Abteilungen versteht, damit alle über das Gleiche sprechen
und kommunikative Diskrepanzen aufgrund unterschiedlicher Definitionen auf beiden Seiten vermieden werden. Sollte sich das aufgrund der starken Fachsprachlichkeit des CISOs als schwierig gestalten, können auch erfahrene Berater als Dolmetscher fungieren und dabei helfen, kommunikative Abgründe zu überwinden.

Ein weiterer Baustein und Lösungsansatz ist die Durchführung einer umfassenden Risikobewertung, um die für das Unternehmen relevantesten Bedrohungen zu identifizieren und sicherzustellen, dass die Schutzmaßnahmen des Unternehmens auf diese Bedrohungen abgestimmt sind. CISOs müssen über die neuesten und realistischsten zukünftigen Technologien und Bedrohungen auf dem Laufenden sein, damit ihre Sicherheitsstrategie immer auf dem aktuellen Stand ist.

Schließlich ist es wichtig, eine Kultur der Informationssicherheit im Unternehmen zu schaffen. CISOs sollten regelmäßig Schulungen und Sensibilisierungskampagnen für Mitarbeitende durchführen, damit diese die Bedeutung der Informationssicherheit
verstehen und dazu beitragen, Risiken zu minimieren.

Hilfreich sind dazu beispielsweise gut konzipierte Schulungen, die sich auf die gelebte Praxis beziehen und Sicherheitsvorfälle simulieren, bei denen die Mitarbeitenden dann auf die notwendigen Tätigkeiten trainiert werden. Zudem hilft es durchaus, ein wenig Verständnis für die Materie „IT“ an sich zu erzeugen und den ein oder anderen gedanklichen Sprung in die private IT-Umgebung zu
machen, um das Sicherheitsbewusstsein im Unternehmen, aber auch bei den Mitarbeitenden zu Hause zu erhöhen. Beides geht Hand in Hand und ergänzt sich im besten Fall.

Solche Schulungen sind zwar etwas aufwendiger als ein Standard-E-Learning, schaffen aber in der Regel ein sehr viel nachhaltigeres Bewusstsein und damit mehr Sicherheit im gesamten Unternehmen, da auch die Menge der wachsamen Augen plötzlich vervielfacht wird.

Fazit: Der CISO als Partner des Unternehmens

Der CISO ist mit zahlreichen Herausforderungen konfrontiert und muss sich oft im Spannungsfeld zwischen Brandbekämpfung und Unternehmenssicherheit sowie zwischen verschiedenen Interessen und Prioritäten innerhalb des Unternehmens behaupten. Eine klare Sicherheitsstrategie, eine verbesserte Zusammenarbeit mit anderen Abteilungen, eine umfassende Risikobewertung und eine Kultur der Informationssicherheit können dazu beitragen, diese Herausforderungen zu bewältigen.

Letztlich ist der CISO jedoch kein Gegner, sondern ein Partner im Unternehmen. Indem er die Sicherheit des Unternehmens gewährleistet, trägt er zum Schutz der Unternehmenswerte und zum Erfolg des Unternehmens bei. Daher ist es wichtig, dass CISOs in der Lage sind, die Bedeutung der Informationssicherheit innerhalb des Unternehmens zu kommunizieren und zu gewährleisten, dass alle Abteilungen und Mitarbeiter ihren Teil dazu beitragen. Denn nach wie vor gilt: Die Frage ist heute nicht mehr, ob es zu einem Cyberangriff kommt, sondern nur noch, wann!