Predictive Security?

Wie Sie Hackerangriffe vorhersagen

12.09.2017
Von Alyson  Behr und


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.

"Die Entscheidungsfindung in Unternehmen können Sie vergessen"

Ein Interview, das die Kollegen unserer Schwesterpublikation CSO Online mit R.P. Eddy geführt haben, bringt interessante Einschätzungen zum Prognose-Gebahren von Unternehmen und Institutionen (nicht nur im Bereich der IT Sicherheit) hervor, die wir Ihnen nicht vorenthalten wollen:

In Ihrem neuen Buch entwerfen Sie Strategien für eine Regierungsbehörde mit dem Namen ‚National Warning Office‘. Dessen Aufgabe ist es, Probleme der Zukunft vorherzusehen und auf Grundlage derer Warnungen auszusprechen, um möglicherweise drohende Katastrophen abzuwenden. Wie sollten CSOs und CISOs vorgehen, um ähnliche Prozesse im Unternehmen abzubilden?

R.P. Eddy: Das Buch erzählt die Geschichten von Katastrophen und der Cassandras, die anerkannte Experten auf ihren jeweiligen Gebieten darstellen und ihre Warnungen mit datenbasierten Beweisen anreichern. Dieses Cassandra-Phänomen war zuvor völlig unbekannt - erst mein Co-Autor Dick Clarke hat es identifiziert. Hierbei handelt es sich um eines der ganz wenigen, wirklich nützlichen Prognose-Tools die ich kenne.

Es herrscht ein haarsträubender Mangel an reglementierten Erkenntnissen darüber, wie man Prognosen stellt. Wir sind furchtbar schlecht darin. Die einzige Ausnahme dabei bilden Wettervorhersagen. Die Entscheidungsfindung in Unternehmen können Sie diesbezüglich vergessen. Zwar gibt es Tools, aber deren Einsatz ist nicht sonderlich verbreitet.

Die wenigsten Menschen auf dem C-Level machen sich Gedanken über überraschende Umstände und die meisten CEOs denken schlicht nicht darüber nach, was da - eventuell mit einem Knockout Punch - um die Ecke kommen könnte. Gute CEOs streben hingegen nach Informationen, um sich gegen jedwede Überraschung abzusichern. Besonders problematisch wird das dann, wenn man von einem Unternehmen kommt, wo letztere Sichtweise vertreten wurde, während die neue Organisation diesbezüglich in den Kinderschuhen steckt.

Das ist in der Regel deshalb so, weil die Entscheider in solchen Unternehmen/Organisationen 1. Gar nicht die Möglichkeit bekommen, so etwas zu tun, weil sie dazu weder die richtigen Leute noch die richtigen Tools oder das nötige Mandat haben; 2. Die richtigen Tools nicht einsetzen können, weil diese nicht existieren oder die notwendige Schulung dafür fehlt; 3. strategisch überrascht werden, weil sie sich der Warnungen gar nicht bewusst sind oder nicht ausreichend über diese informiert sind;

Ich ermutige alle Unternehmen dazu, ein ‚Warning Office‘ oder ‚Futures Office‘ einzurichten. Im Unternehmensumfeld müssen die Prognostizierenden - wie auch bei den Regierungen - auf einem hohen Level positioniert sein, um eine bereichsübergreifende Perspektive einnehmen zu können und dabei nicht von Bürokratie behindert zu werden.

Wer sollte diese Rolle in einem Unternehmen idealerweise einnehmen?

R.P. Eddy: Ich würde meinen Chief Risk Officer, meine Berater und meinen CSO, beziehungsweise CISO, an einen Tisch holen und sagen: ‚Ich möchte verstehen, wie wir überraschende Entwicklungen vorhersagen können. Ich möchte nicht, dass einer von Euch sich in Utopien darüber ergeht, wann die Roboter die Welt übernehmen - ich will, dass ihr nach strategischen Überraschungen Ausschau haltet‘. Die Herausforderung liegt darin, dass dies in vielen Unternehmen eigentlich die Aufgabe des Chief Risk Officers wäre. In der Praxis sind die aber oft viel zu beschäftigt damit, zu reagieren.

Ein Chief Futures Officer sollte an den Vorstand und die Geschäftsführung berichten, sämtliche Abteilungen perspektivisch miteinbeziehen und dabei nicht nur an die kurzfristigen, sondern vor allem auch die langfristigen Entwicklungen (also die, die mehrere Jahre in der Zukunft liegen) denken. Dazu brauchen sie natürlich auch die richtigen Tools.

Wichtig ist dabei, dass diese Menschen alles, was sie erzählen, in eine Story verpacken. Ansonsten werden sie sich schwer tun, CEOs und Vorstände von etwas zu überzeugen, das in der Zukunft stattfindet und nicht greifbar ist. Menschen lernen anhand von Geschichten. Unternehmen müssen dringend besser darin werden, Tools wie grundlegende Analysen, virtuelle Märkte und Geschichtswissenschaften einzusetzen. Denn die stehen damit in direktem Zusammenhang. In Kombination mit anwendbarer, taktischer Intelligenz lassen sich Bedrohungen abwehren. Taktische Intelligenz befähigt die Entscheider darüber hinaus, die Bedrohung als real anzuerkennen und ausreichend Ressourcen für ihre Abwehr bereitzustellen.

Zur Startseite