Fünf Stufen auf dem Weg zur Cyberresilienz: Die Evolution des CISO
Chief Information Security Officers (CISOs) müssen heute eine zentrale Rolle bei der Entwicklung wirksamer Cyberresilienz einnehmen. Der Weg dorthin folgt einem fünfstufigen Evolutionsprozess, der die Position des CISO von einem einfachen Sicherheitsbeauftragten zu einem strategischen Entscheider transformiert. Angesichts steigender Cyberbedrohungen wird diese Entwicklung für Unternehmen überlebenswichtig.
Laut einer Studie von Check Point steigt die Verantwortung der CISOs mit den neuen Rekordausmaßen der globalen Cyberangriffe.[1] So haben globale Cyberangriffe im dritten Quartal 2024 um 75 Prozent zugenommen. Gleichzeitig fühlen sich viele Unternehmen unzureichend vorbereitet: Eine Commvault-Umfrage vom Juni 2024 zeigt, dass nur 13 Prozent der befragten Organisationen sich die nötige Reife attestieren, um einen Angriff effektiv abzuwehren und sich schnell davon zu erholen.[2]
Einige Unternehmen stellen Systeme und Daten deutlich schneller wieder her als andere. Der Grund liegt oft in der richtigen Haltung zur Cybersicherheit: Reife Firmen kalkulieren das Scheitern der IT-Abwehr ein und schaffen präventiv Strukturen und Maßnahmen. Sie setzen Tools ein, die Bedrohungen frühzeitig erkennen, und arbeiten nach definierten Prozessen und Rollen, um Vorfälle gezielt einzudämmen.
Unverzichtbar für eine resiliente IT ist eine isolierte Backup-Umgebung – oft als „Dark Site“ bezeichnet – die als sicherer Aufbewahrungsort für nicht manipulierbare Sicherungskopien unternehmenskritischer Daten und Anwendungen dient. Echte Reife erreichen Organisationen jedoch erst, wenn sie ihre Wiederherstellungsprozesse regelmäßig testen.
Den Evolutionsgrad der Cyberresilienz bestimmen
Es ist die Aufgabe der CISOs, notwendige Maßnahmen zur Stärkung der Cyberresilienz umzusetzen und regelmäßig auf ihre Wirksamkeit zu überprüfen. Doch nicht jeder CISO verfügt im Unternehmensgefüge über die gleichen Entscheidungsbefugnisse und Kompetenzen. In Organisationen mit geringer Widerstandsfähigkeit im Krisenfall wird die Sicherheitsverantwortung häufig Mitarbeitern übertragen, die lediglich Anweisungen ausführen können und dürfen. Das notwendige Idealbild einer fortgeschrittenen Abwehrstruktur sind hingegen CISOs, die eng mit der Geschäftsführung zusammenarbeiten und dafür sorgen, dass Cybersicherheit im gesamten Unternehmen eine feste und zentrale Rolle spielt.
Die Evolutionsgrade der Cyberresilienz lassen sich idealtypisch in fünf Stufen beschreiben.
Stufe 1: Sicherheit zum Abhaken
Auf dieser niedrigen Entwicklungsstufe fehlt ein dedizierter CISO. Cybersicherheit wird lediglich als Teilaufgabe eines ohnehin ausgelasteten IT-Teams behandelt. Sicherheitsverantwortliche haben kaum Entscheidungskompetenzen und folgen meist einem Checklisten-Ansatz.
Stufe 2: Neue Planstelle CISO
Mit dem Unternehmen wächst auch seine Angriffsfläche. Aus einer wachsenden Zahl an Mitarbeitern, Kunden, Partnern und einer Supply Chain resultieren immer neue und komplexe Prozesse, die wiederum potenzielle Angriffspunkte für Angreifer sind. Auf dieser Stufe stellen viele Unternehmen einen eigenen Cybersicherheitsexperten ein, der auch mit Entwicklern und Programmierern zusammenarbeitet.
Nicht selten hat ein CISO nur wenig Ressourcen in Reserve, um eine umfassende Cyberabwehrstrategie zu planen – geschweige denn umzusetzen. Die Verantwortlichen für IT einerseits und für Sicherheit andererseits haben die Aufgabe, effektive Kommunikationskanäle zu etablieren, um sicherzustellen, dass sie gemeinsame Sicherheitsziele definieren und verfolgen.
Stufe 3: CISO mit erweitertem Aufgabenfeld
Auf dieser Stufe hat ein CISO hinreichend Autonomie, um Abwehrtechnologien unternehmensweit zu bewerten, einzusetzen und zu überwachen. Ohne die Kompetenz, umfassendere Maßnahmen zum Schutz sensibler Bereiche wie der Cloud-Sicherheit zu implementieren und den Zugriff auf alle Unternehmenssysteme zu kontrollieren, kann er seine Aufgaben nicht wahrnehmen. Auch wenn andere C-Level-Führungskräfte Bedenken hinsichtlich der Sicherheitsinitiativen äußern, weil sie etwa die Time-to-Market von Produkten oder Angeboten hinauszögern können, ist es ihre Aufgabe, den
CISO zu unterstützen und unternehmenskritische Initiativen zur Cybersicherheit zu fördern.
Auch wenn IT und Sicherheit getrennte Teams bleiben, sollten CIO und CISO eng zusammenarbeiten, um die Ziele von IT-Betrieb und IT-Sicherheit zu harmonisieren. Die ständige Kommunikation
ist für die Sicherheit und für einen reibungslosen Geschäftsbetrieb unerlässlich.
Stufe 4: CISO mit strategischen Kompetenzen
In Unternehmen mit einer weiterentwickelten Resilienz ist der CISO bei den strategischen Meetings mit dem Vorstand präsent. Hier berät er unmittelbar zu Cybersicherheitsrisiken und Resilienz.
Zusammen mit dem C-Level ermittelt er proaktiv die Risikotoleranz des Unternehmens. Seine Analysen zeigen das sich verändernde Risikoprofil. Zudem entwickelt er die relevanten Strategien und Sicherheitsrichtlinien, um vereinbarte und vertretbare Toleranzen einzuhalten.
Auf dieser Stufe geben CISOs dem Vorstand auch ihr Gutachten über die Vorteile oder Risiken neuer Technologien – wie aktuell künstliche Intelligenz. Cybersicherheit ist nun ein festes Element
der strategischen und operativen Planung.
Stufe 5: Sicherheit als Teil der Unternehmens-DNA
Den höchsten Grad haben Organisationen erreicht, wenn sich Beschäftigte unternehmensweit nach den Grundsätzen von „Secure by Design“ an Sicherheitsprozesse und -richtlinien halten. Cybersicherheit ist auf dieser Stufe das Fundament aller Unternehmensaktivitäten. Kontinuierliche Tests der Systeme werden erwartet. Alle Abteilungen und Teams sind auf Sicherheitsereignisse und eine Wiederherstellung von Daten, Systemen, Applikationen und Infrastrukturen vorbereitet.
Individuelle Entwicklungspfade
Jede Organisation hat ihre eigene technische Infrastruktur, Arbeitsweise und strategische Ausrichtung. Der Entwicklungsstand in Sachen Cybersicherheit lässt sich daher nicht pauschal bestimmen. CISOs mit den nötigen Fähigkeiten können jedoch gemeinsam mit den CIOs die Evolution der Cyberresilienz vorantreiben. Die Kenntnis der eigenen Position im Entwicklungsprozess hilft, Lücken bei Kompetenzen und Rollenverständnis zu identifizieren und zu schließen.
Kommunikationsprobleme zwischen CISO und Management
Das Verankern von Schutz und Resilienz in der Unternehmensorganisation scheitert oft an Missverständnissen und Fehlkommunikationen zwischen den CISOs und der höchsten Management-Ebene.
Das belegen die Ergebnisse einer im März 2024 veröffentlichten Studie der FTI Consulting.[3] Rund 800 C-Level-Manager aus neun verschiedenen Ländern und sieben Branchen sahen für ihr Unternehmen den wesentlichen Risikofaktor in bestehenden Kommunikationslücken zwischen CISO und Top-Management.
Ein Mangel an Vertrauen und Unverständnis erzeugen jedoch Schwachstellen. Laut den Autoren der Studie geht jeder dritte Befragte in den Führungsetagen davon aus, dass Cybersicherheitsverantwortliche ihr Top-Management über potenzielle Schwachstellen nur zögerlich informieren. Gleichzeitig meinten 66 Prozent der CISOs, dass die oberste Entscheiderebene Schwierigkeiten habe, ihre Rolle innerhalb des Unternehmens vollständig zu verstehen. 31 Prozent im C-Level haben Probleme, den konkreten Nutzen von Cyberinvestitionen nachzuvollziehen.
98 Prozent der befragten Top-Manager sprachen sich dafür aus, mehr Mittel für Kommunikations- und Präsentationstrainings für CISOs bereitzustellen, wobei fast die Hälfte diesen Bedarf als dringend bezeichnete.
Literatur
[1] Check Point: A Closer Look at Q3 2024: 75% Surge in Cyber Attacks Worldwide, 2024. Online verfügbar unter: https://www.checkpoint.com.
[2] Commvault: Cyber Recovery Readiness Report, Juni 2024.
[3] FTI Consulting: CISO Redefined – Navigating C-Suite Perceptions & Expectations. Studie, März 2024.
Christian Kubik ist Manager Field Advisory Services Team EMEAI bei Commvault.
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
