5 IT-Security-Fails

Das kostet CISOs den Job

02.01.2018 von Bob Violino und Florian Maier
Ein vermeidbarer und dennoch erfolgreicher Hackerangriff kann den Chief Information Security Officer schnell arbeitslos machen. Aber es gibt auch einige weniger offensichtliche Fehltritte, die zum selben Ergebnis führen können.

Wie alle Führungskräfte sehen sich auch CISOs täglich mit Risiken konfrontiert. Für einen Chief Information Security Officer ist der Einsatz dabei besonders hoch, schließlich ist er Hüter der Kronjuwelen seines Unternehmens.

Damit der CISO nicht fliegt: Fünf Anti-Handlungsempfehlungen für Chief Information Security Officers.
Foto: Sergey Nivens - shutterstock.com

Wenn sich CISOs nicht ausreichend auf die drohenden Risiken vorbereiten oder sie schlecht managen, ist der Karriereknick vorprogrammiert - wie nicht zuletzt einige größere Sicherheitsvorfälle der letzten Monate gezeigt haben. Und ganz aktuell der Fall Uber. Wir haben fünf Anti-Handlungsempfehlungen für CISOs zusammengetragen.

1. Unfähigkeit, Hacker zu stoppen

Wie die Fälle von Equifax und Yahoo gezeigt haben, können Unternehmen durch Hackerangriffe ernsthafte Reputationsschäden erleiden. Wenn der Hack monumentale Ausmaße annimmt und sowohl finanzielle Einbußen als auch massig unvorteilhafte PR nach sich zieht, ist es fast schon unausweichlich, dass der CISO dafür seinen Hut nehmen muss. Oder zumindest in ernsthafte Schwierigkeiten gerät.

Wenn das betroffene Unternehmen dann noch beweisen kann, dass der Chief Information Security Officer beim Patch Management oder in anderen, grundlegenden Bereichen der IT-Sicherheit geschlampt hat, ist der Ofen ganz aus.

Dabei geht es in manchen Fällen aber auch einfach darum, ein Zeichen zu setzen, wie Sean Curran vom Beratungsunternehmen West Monroe Partners weiß: "Das Unternehmen muss der Öffentlichkeit beweisen, dass es nicht untätig bleibt. In einigen Fällen ist es aber durchaus so, dass der CISO einfach nachlässig und schlecht vorbereitet war. Zum Beispiel wenn kein Incident-Response- und Recovery-Plan entworfen wurde, der die Auswirkungen abgeschwächt hätte. Im Unternehmensumfeld kommt es oft vor, dass der Fokus ausschließlich auf 'protection' liegt."

Ein CISO könne aber auch seinen Job verlieren, obwohl er gar nicht direkt für einen Data Breach verantwortlich war, sagt Zach Burns, Recruiter bei Stratus Search: "In einem Unternehmen sollte der CISO die Verantwortung für alle Mitarbeiter übernehmen, die er oder sie an Bord holt. Der Job kann also auch weg sein, wenn das Team, das der CISO um sich versammelt hat, unfähig war."

Wenn Cloud Security dem CISO den Schlaf raubt
Security-Verantwortlichkeiten
Ihr Cloud-Provider ist für die IT-Sicherheit seiner Infrastruktur verantwortlich. Ihr Unternehmen ist hingegen dafür verantwortlich, welche Nutzer Zugriff auf seine Ressourcen und Applikationen erhalten. Mit anderen Worten: Sie müssen sich um das Management der Zugriffsrechte kümmern und dafür sorgen, dass sich User und Devices, die Cloud-Zugriff benötigen, authentifizieren. <br><br /> Tipp für CISOs: Erstellen Sie Security-Protokolle wie Authentifizierungs-Richtlinien, Verschlüsselungs-Schemata und Datenzugriffs-Richtlinien. Benutzen Sie IAM (Identity & Access Management) um den Nutzerzugriff auf Services und Daten abzusichern und einzuschränken. Außerdem sollten Sie ein Audit durchführen, um Compliance-Verstöße oder unauthorisierten Zugriff sichtbar zu machen.
Unmanaged Traffic
Es gab eine Zeit, da war es in Unternehmen Gang und Gäbe, dass alle User Connections durch einen allgemeingültigen Security-Checkpoint müssen. In Zeiten von Netzwerk-Vielfalt und mobilen Devices ist das nicht mehr praktikabel. Unmanaged Traffic bezeichnet im Übrigen Bandbreitennutzung, über die Sie nichts wissen. Das kann von Usern verursachter Datenverkehr sein, oder Cloud-to-Cloud-Traffic, der in der Regel signifikant ausfällt. Datenverkehr, der Ihnen nicht bekannt ist, kann auch nicht durch den Security Checkpoint geleitet werden. <br><br /> Tipp für CISOs: Cloud Services mit einem Checkpoint - also Proxy - abzusichern, sorgt für zahlreiche Sicherheitslücken. Sie sollten deshalb Nutzer und Daten des Cloud Services über APIs absichern. Unauthorisierten Zugriff decken sie über Monitoring, privilegierte Administratoren und Apps von Drittanbietern auf.
Managed Traffic
Wenn Sie sich dafür entscheiden, den Datenverkehr, über den Sie Bescheid wissen - also den Managed Traffic - durch einen zentralen Checkpoint zu leiten, kann darunter die Performance leiden. Der Grund: große Datenmengen sorgen für Stau im Netzwerk. Fällt die Performance ab, führt das wiederum dazu, dass frustrierte User Wege suchen, den Stau zu umgehen. <br><br /> Tipp für CISOs: Bewerten Sie in Frage kommende Sicherheitslösungen nach Ihren Use Cases. Einige Drittanbieter haben Security Tools im Programm, die sämtliche Cloud Services - also SaaS, PaaS und IaaS - ohne zentralen Checkpoint absichert.
User-Eigenmacht
Eigenmächtige User können für die Entstehung neuer Sicherheitsrisiken sorgen, wenn sie unbemerkt Traffic verursachen. Eine weitere Folge kann ein Erstarken der sogenannten Schatten-IT sein. In diesem Fall könnten User ohne Wissen der IT-Abteilung Applikationen und andere Ressourcen nutzen, die nicht authorisiert sind. <br><br /> Tipp für CISOs: Schatten-IT sorgt für Compliance-Verstöße und kann für ineffiziente und inkonsistente Prozesse verantwortlich sein. Sie sollten deshalb gemeinsam mit Ihrem Team die Nutzung von Schatten-IT im Unternehmen identifizieren und auf dieser Grundlage Richtlinien entwerfen, die nicht nur der IT-Abteilung, sondern auch allen anderen Abteilungen helfen, im Sinne der IT-Sicherheit produktiv und effizient zusammenzuarbeiten.
Kein Mut zur Lücke
Die meisten Cloud-Security-Lösungen legen ihren Fokus auf den Schutz von SaaS-Applikationen - was wiederum für grobe Sicherheitslücken sorgen kann. Für eine ganzheitliche Security-Strategie sollten Sie den Schutz aller Daten, User und Devices über SaaS-, IaaS- und PaaS-Applikationen forcieren. <br><br /> Tipp für CISOs: Die Risiken und Schwachstellen von IaaS-, PaaS- und SaaS-Modellen unterscheiden sich grundlegend. Sie sollten deshalb nach einer ganzheitlichen Lösung Ausschau halten, die die Cloud in ihrer Gesamtheit abdeckt.
Wahl der richtigen Security-Lösung
Derzeit gibt es zwei grundlegende Ansätze für das Deployment einer Cloud-Security-Lösung: den Proxy- und den API-Ansatz. Beide haben ihre vOr- und Nachteile - aber woher weiß man, welcher Ansatz der richtige ist? <br><br /> Tipp für CISOs: Denken Sie an die Bedürfnisse Ihres Unternehmens. Suchen Sie nach einer Proxy-Lösung, die Überwachung in Echtzeit ermöglicht? Oder ist der ganzheitliche API-Ansatz besser geeignet, der eine serviceübergreifende Absicherung aller Daten, Nutzer und Devices ermöglicht?

2. Zu viel Last auf den Schultern

Auch CISOs, die sämtliche Risiko-Verantwortlichkeiten im Unternehmen auf sich ziehen wollen, riskieren ihr berufliches Wohl. Denn dann definiert der CISO, was das Unternehmen in Sachen IT-Sicherheit, Risikomanagement und Compliance toleriert und was nicht.

Dabei sollte er eher als kommunikativer Vermittler zwischen den Abteilungen auftreten, wie Curran erklärt: "Das Ergebnis dieser Vorgehensweise ist, dass überhaupt nicht über Risiken kommuniziert wird. Dadurch wird wiederum die Fähigkeit des Managements beeinträchtigt, über die Höhe des Investments zu entscheiden, das nötig ist, um das Risiko in Zaum zu halten. Die Kommunikation mit dem Management über Risiken und Security ist unabdingbar - und nur so wird der CISO auch die Last los, alleine für Sicherheitslücken verantwortlich zu sein."

Auch Burns ist davon überzeugt, dass ein Chief Information Security Officer abteilungsübergreifend arbeiten sollte: "Es ist von kritischer Bedeutung, dass diese Person fähig ist, mit Führungskräften und anderen Mitarbeitern effektiv zu kommunizieren. Alles andere kann nicht nur zu einem Leistungsabfall des Teams führen, das dem CISO direkt untersteht, sondern auch alle anderen Abteilungen mit in den Abgrund reißen."

Zum Video: Das kostet CISOs den Job

3. Unhaltbare Compliance

Je nach Art und Branche seines Unternehmens sowie der Art der Daten, die geschützt werden sollen, muss ein CISO mehr oder weniger Sorgfalt walten lassen, wenn es um rechtliche Standards und Compliance-Richtlinien geht. "Ein Reporting-System, das dem CISO die Überwachung und den Schutz aller Systeme ermöglicht, ist Pflicht", meint Robert Siciliano, Sicherheitsexperte bei Hotspot Shield.

Viele Unternehmen müssen bindende rechtliche Regularien beachten, um ihre Güter oder Services an Kunden ausliefern zu können. "Wenn diese keine Zertifizierung erhalten, hat das erhebliche finanzielle Konsequenzen, die unter Umständen existenzgefährdend sind", weiß Sean Curran.

Wenn bei der Compliance geschludert wird und ein interner oder externer Auditor eine beträchtliche Sicherheitslücke aufdeckt, kann das ebenfalls zu unvorhergesehenen Kosten führen. In einem solchen Fall sind Firmen schließlich dazu gezwungen, sich mit der Vergangenheit zu befassen - statt den Fokus auf die Zukunft legen zu können.

Der CISO-Check: Taugen Sie zum IT-Security-Manager?
Glauben Sie ...
... an die Möglichkeit, ihre Systeme gründlichst verteidigen zu können und versuchen Sie daher, alles dafür zu tun, alle Bereiche des Unternehmens jeden Tag ein bisschen besser zu schützen?
Schauen Sie ...
... sich nach neuen Instrumenten um, die Funktionsumfang und -tiefe der bestehenden Security-Werkzeuge verbessern?
Überwachen Sie ...
... alle Sensoren Ihres Netzes - sowohl visuell als auch mit technischen Mitteln?
Suchen Sie ...
... kontinuierlich nach neuen Wegen, um Sensordaten besser zu untersuchen und zueinander in Beziehung setzen zu können?
Widmen Sie ...
... der Sicherheit Ihrer geschäftskritischen Anwendungen samt der dort verarbeiteten vertraulichen Daten erhöhte Aufmerksamkeit?
Versuchen Sie ...
... Tag für Tag, Ihr Business besser zu verstehen, damit Sie die IT-Risikoanalyse dem anpassen und stetig verbessern können?
Behalten Sie ...
... Ihre Zulieferer im Blick, damit der Zugriff von Dritten auf vertrauliche und sensible Daten kontrolliert werden kann?
Arbeiten Sie ...
... eng mit den Geschäftsentscheidern zusammen, um die Aufmerksamkeit für das Thema IT-Sicherheit konstant hoch zu halten und über das gesamte Unternehmen hinweg eine Awareness zu erzeugen?
Bewegen Sie ...
... sich in neuen Geschäftsfeldern, in denen disruptive Technologien zum Einsatz kommen und in denen Sie Ihr Security-Wirken schon entfalten können, bevor es richtig ernst wird?
Verlieren Sie ...
... nie die Security-Grundlagen aus den Augen - wie beispielsweise das regelmäßige Patchen?

Das wird sich auch in Zukunft nicht ändern - eher im Gegenteil, meint auch Laura DiDio, Analystin bei ITIC: "In Zeiten der allumfassenden Vernetzung wird Compliance für Unternehmen immer wichtiger. Und mit jedem Monat, der verstreicht, vervielfachen sich die Regularien und werden noch stringenter und komplexer."

Der Job des CISOs sollte es sein, so DiDio weiter, die Erfüllung rechtlicher Regularien sicherzustellen. Und zwar in enger Zusammenarbeit mit anderen Security- und IT-Führungskräften, sowie internen oder externen Rechtsexperten.

4. Unprofessionelles Verhalten

Wie in jedem anderen Job ist unprofessionelles Verhalten auch für CISOs ein No-Go, das den IT-Security-Chefsessel schnell in einen Schleudersitz verwandelt. Allerdings betrifft das nicht nur das Verhalten des Chief Information Security Officers selbst, sondern auch das seiner Teammitglieder, wie Zach Burns erläutert: "Wenn der CISO auf unangemessenes Verhalten - etwa sexuelle Belästigung - nicht reagiert, ist auch er ganz schnell weg vom Fenster."

Unter unprofessionelles Verhalten kann übrigens auch fallen, wenn man sich unangemessen auf Social-Media-Kanälen zu Wort meldet und dort Firmeninterna zur Diskussion stellt oder fragwürdige persönliche Meinungen propagiert. "Der CISO ist ein höchst sichtbares Mitglied des Unternehmens", argumentiert Burns, "und sollte äußerst vorsichtig vorgehen, wenn er seine persönliche Meinung öffentlich zur Schau stellt. Denn jede Kontroverse die vom CISO ausgeht, kann sein Unternehmen in negatives Licht rücken. Und dann ist der Drops - je nach Härtegrad - gelutscht."

Zum Video: Das kostet CISOs den Job

5. Mangelnde Zuverlässigkeit und Uptime

"Zeit ist Geld. Und Systeme, Netzwerke oder Devices die nicht laufen, kosten beides," weiß Laura DiDio. "Wenn sich die Downtime zu lange hinzieht, kann das ziemlich teuer werden. Noch dazu kann das zu korrupten Prozessen und verminderter Produktivität führen. Darüber hinaus können aber auch negative Effekte für Partnerunternehmen, Kunden und Zulieferer entstehen. Bei einem Ausfall der Sicherheitssysteme können PR-Desaster und Reputationsschäden noch hinzukommen."

Doch die Expertin weiß auch, wie CISOs das vermeiden können: "Zuverlässige und stabile Systeme gehen Hand in Hand mit einem umfassenden Backup- und Disaster-Recovery-Plan. Dazu gehört übrigens auch ein internes 'operational level agreement', das die Befehlskette im Fall einer Störung festlegt."

Ein solcher Plan sollte in jedem Unternehmen existieren und eine Liste mit Ansprechpartnern bei Drittunternehmen (etwa Cloud-Providern) beinhalten. Doch damit nicht genug: "Der CISO sollte auch in jedem Fall wissen, welche 'response times' in den Verträgen seines Unternehmens mit Cloud-Anbietern, Händlern oder anderen Service-Providern verankert sind, damit er auf Sicherheitsvorfälle angemessen reagieren und die kriminellen Hacker in ihre Schranken weisen kann", erklärt DiDio.

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.