Digitalisierung und IT-Security
Die Aufgaben des CISO ändern sich
So gelingt die Herkulesaufgabe
Die Liste an nötigen Veränderungen ist lang und alles umzusetzen mag auf den ersten Blick wie eine Herkulesaufgabe scheinen. Daher schlägt Accenture einige Schritte vor, die dem CISO helfen sollen, seine Sicherheitsstrategie fit für die zukünftige Arbeitswelt zu machen.
1. Mehr Austausch etablieren
Bevor konkrete organisatorische Veränderungen angegangen werden können, gilt es, die zentrale Bedeutung von IT-Sicherheit für das Business deutlich zu machen. In Zeiten von datengetriebenem Geschäft bedeutet eine Datenpanne einen schwerwiegenden Schaden - wirtschaftlich, aber auch für die Reputation. Dies zu verhindern hat also strategische Bedeutung für das Unternehmen. Der IT-Sicherheit sollte daher dieselbe strategische Aufmerksamkeit zukommen wie anderen Geschäftsbereichen.
Daher sollte der CISO sich ständig mit der Geschäftsführung austauschen. So erfährt er frühzeitig, wenn beispielsweise Unified Communication & Collaboration eingeführt werden soll oder eine Cloud-Migration ansteht. Entsprechend kann er die IT-Sicherheitsstrategie anpassen.
Auch in den Fachabteilungen gilt es eng zusammenzuarbeiten, indem Mitarbeiter an allen Standorten bestimmte Security-Rollen erhalten. Diese berichten in regelmäßigen Abständen an den CISO. So entsteht eine anhaltende Security-Awareness in den Prozessen aller Bereiche und das Sicherheitsniveau wird über kurz oder lang angehoben.
2. Vom Neinsager zum Enabler
Oft steht der so wichtigen Zusammenarbeit im Wege, dass der CISO für das restliche Management nicht sichtbar genug ist und als Hindernis für das Geschäft wahrgenommen wird. In der klassischen Rolle kommt die IT-Sicherheit oft erst nach der Entscheidung für eine Initiative hinzu und das Management nimmt aufkommende Einwände als Hemmnis wahr. Auf der anderen Seite priorisiert der CISO oft die Sicherheit höher als den Mehrwert für das Geschäft, was wiederum auf das Unverständnis der Geschäftsführung trifft.
CISOs sollten daher von Anfang an tiefen Einblick in businessrelevante Entscheidungen haben. Dazu bedarf es eines Vertrauensverhältnisses zwischen dem CISO und dem restlichen Management. Der Sicherheitsverantwortliche muss ein Gespür für die jeweiligen Bedürfnisse von Vorstand, CEO und den Geschäftsbereichen entwickeln. So kann er die nötigen Sicherheitsmaßnahmen an deren Anforderungen ausrichten, ohne den Geschäftsfortschritt zu behindern. Damit nimmt der CISO die Rolle eines Enablers ein, der aktiv am Vorankommen des Unternehmens mitwirkt, anstatt eines ewigen Neinsagers, der an allem etwas auszusetzen hat.
In der Praxis dreht sich also alles um Kommunikation. Der CISO sollte im Gespräch mit dem Management erörtern, welche Unternehmensbereiche die wichtigsten digitalen Assets beinhalten und wo ein erfolgreicher Angriff den meisten Schaden anrichten könnte. Ist ein formalisierter, regelmäßiger Austausch darüber nicht möglich, kann es sinnvoll sein, eine Vermittlerrolle zwischen Security, Vorstand, CEO und den Bereichen einzuführen. Diese sorgt dafür, dass Sicherheit stets im breiten Kontext des gesamten Unternehmens betrachtet und diskutiert wird und bei Business-Entscheidungen der Sicherheitsaspekt nicht außen vor bleibt.
Um die gemeinsam beschlossenen Maßnahmen für Sicherheit und Compliance überprüfen zu können, bedarf es entsprechender Metriken für die Erfolgsmessung. Traditionelle Pass/Fail-Bewertungen bei Performance-Tests sind zu technisch, um den Wert für das Geschäft widerzuspiegeln. Es sollte auch beurteilt werden können, ob die beschlossenen Maßnahmen das zukünftige Geschäft absichern und ob das ganz Unternehmen resilienter wird.
3. Mitarbeiter zum Teil der Lösung machen
So wasserdicht und zukunftssicher die Sicherheitsstrategie auch ist, der Mensch bleibt das schwächste Glied - egal ob sein Fehlverhalten fahrlässig oder böswillig ist. Es gilt also unter dem Stichwort "Awareness" die Schwachstelle Mitarbeiter aktiv anzugehen.
In technischer Hinsicht gibt es zwar zahlreiche Lösungsansätze, die Datenabflüsseaus dem Inneren vermeiden sollen. Je nach Unternehmensgröße, Branche und Sektor hält sich jedoch deren Einsetzbarkeit in Grenzen. So setzen viele Lösungen beispielsweise die Überwachung von individuellen Mitarbeitern voraus, was nur unter großem organisatorischen Aufwand und mit dem Risiko der Persönlichkeits- und Datenschutzverletzung durchführbar ist - wenn überhaupt.
Die Resilienz muss also antrainiert werden. Schulungen zu aktuellen Angriffsstrategien wie zum Beispiel Deepfakes bilden eine solide Grundlage. Die Sicherheitsverantwortlichen sollten den Grad der Awareness mit regelmäßigen Phishing-Test oder Ähnlichem evaluieren und die Maßnahmen entsprechend anpassen. Da es sich hierbei um einen kritischen Teil der Sicherheitsstrategie handelt, sollten auch entsprechende Budgets dafür bereitstehen.
Damit die Mitarbeiter mitzeihen, ist es ratsam, Anreize dafür zu schaffen und Werkzeuge bereitzustellen. So können verschiedene Qualifizierungsstufen bei den Weiterbildungen eingeführt werden, die mit Incentives einhergehen. Dies kann mit einem Security-Champion-Programm gekoppelt werden, das Mitarbeiter und Führungskräfte belohnt, die sich aktiv für gute IT-Hygiene in ihren Abteilungen einsetzen. Damit wird auch die nötige Verlagerung der IT-Sicherheitsaufgabe in die Abteilungen vorangetrieben.
4. Kunden schützen
Die zunehmende Digitalisierung des Geschäfts führt dazu, dass die personenbezogenen Daten, die gesammelt und verarbeitet werden, explodieren. Naturgemäß steigt die Sensibilität bei den Kunden dafür, was mit ihren Daten passiert. Vertrauen in den Datenschutz spielt, auch mit der Einführung der DSGVO, eine entscheidende Rolle für das Kundenengagement und somit für das Business als Ganzes.
Nach dem Motto "Tue Gutes und rede darüber" sollte der CISO dafür Sorge tragen, dass die Bemühungen um den Schutz sensibler Informationen von den Mitarbeitern proaktiv nach außen getragen werden. Das geht über die vom Gesetzgeber geforderte Datenschutzerklärung hinaus. Informieren Sie Kunden in verständlicher, klarer Form darüber, was genau mit ihren Daten geschieht und wie sie geschützt werden.
Darüber hinaus kann es sinnvoll sein, eine leicht auffindbare Plattform mit weiterführenden Informationen, Mehrwerten und direkten Kommunikationsmöglichkeiten aufzubauen. Dort erhalten Kunden Informationen darüber, wie sich das Unternehmen schützt und wie sie selbst ihr Sicherheitslevel erhöhen können. Erarbeiten Sie eine formale Policy, wie Kunden gefundene Schwachstellen an Ihre Sicherheitsteams kommunizieren können! So werden die Anwender aktiv in die Verbesserung des Produkts mit einbezogen, was sowohl das Engagement als auch Vertrauen in das Unternehmen steigert.
5. Das Ökosystem härten
Partner, Dienstleister und Lieferanten sind heute ebenso wichtig für die IT-Sicherheit wie die Mitarbeiter. Unternehmen stehen in ständigem digitalen Austausch mit ihnen, sodass eigentlich externe Schwachstellen schnell zu internen Datenpannen werden können. Auch hier gilt also: Sicherheit ist geschäftsrelevant. Daher sollten die Drittparteien aktiv in die IT-Sicherheitsstrategie miteinbezogen werden.
Der CISO sollte sichere Kanäle zum Informations- und Datenaustausch bereitstellen, damit Unternehmen und Kunden verlässlich zusammenarbeiten können. Zudem sollte ein formales Framework für die Zusammenarbeit erarbeitet und implementiert werden, dass die nötige Resilienz auf technischer und organisatorischer Ebene definiert. Schließlich gilt es, die Compliance der Partner mit diesen Vorgaben regelmäßig zu prüfen und zu bewerten.
Natürlich bietet rege Kommunikation auch hier Mehrwerte. Austausch über die Unternehmensgrenzen hinweg gewährt Einblicke in neue Angriffsvektoren und Abwehrstrategien. Dadurch verbessert sich wiederum das eigene Sicherheitsniveau und das der Partner.
Fazit
Mit der Digitalisierung hat sich auch die Bedrohungslandschaft grundlegend verändert und vergrößert. Um den aktuellen und kommenden Gefahren die Stirn zu bieten, muss der CISO seine Rolle neu definieren und vom Neinsager zum Enabler werden. Dazu sollte IT-Security ebenso dezentral wie die moderne Unternehmenslandschaft aufgestellt werden. Interne und externe Kommunikation spielen eine zentrale Rolle, wenn es gilt, nicht nur die bekannten, sondern auch die neuen Bedrohungen in den Griff zu bekommen.