aregfly - stock.adobe.com

Vom taktischen zum transformativen Ansatz: Der moderne CISO

Der CISO agiert als Bindeglied zwischen der Cybersicherheit und der Geschäftsführung. Im Hinblick auf Bildung der Cyberresilienz und digitale Transformation eine entscheidende Rolle.

Mit der Entwicklung der Cyberbedrohungslandschaft hat sich auch die Rolle des modernen Chief Information Security Officer verändert. Vorbei sind die Zeiten des isolierten CISO, der von einem Elfenbeinturm aus operierte und bei wichtigen Unternehmensentscheidungen nicht einbezogen wurde. Heute, da sich die digitale Transformation ausweitet und die geschäftlichen Anforderungen steigen, hat sich die Rolle des modernen CISO von einer rein taktischen zu einer vollständig transformativen Rolle gewandelt. Der CISO nimmt eine zentrale Rolle im Unternehmen ein, indem er strategische Planung, Richtlinien und Prozesse innerhalb einer wertorientierten Sicherheitsarchitektur zur Minderung von Cyber- und Geschäftsrisiken aufeinander abstimmt.

Der Schutz einer Organisation vor Cyberbedrohungen liegt nicht mehr allein auf den Schultern des CISO. Es handelt sich um eine kollektive Verantwortung, die sich über die gesamte Organisation erstreckt, beginnend an der Spitze mit der Unternehmensführung und bis hinunter auf jede Ebene des Unternehmens. Gartner prognostiziert, dass bis 2026 mehr als 50 Prozent der Führungskräfte auf der Geschäftsführungsebene in ihren Arbeitsverträgen Leistungsanforderungen in Bezug auf Cyberrisiken haben werden. Es wird erwartet, dass in den USA neue SEC-Vorschriften börsennotierte Unternehmen dazu verpflichten werden, ihre Bemühungen im Bereich der Cybersicherheits-Governance offenzulegen, insbesondere die Überwachung des Cyberrisikos durch den Vorstand im Rahmen der allgemeinen Geschäftsstrategie. Die Positionierung von CISOs als transformative Führungspersönlichkeit ist heute mehr denn je entscheidend für die Gesundheit des Unternehmens.

Cybersicherheit zur Geschäftspriorität machen

Der transformative CISO ist die Brücke zwischen der Cybersicherheit und der Geschäftsführung. Daher muss er in der Lage sein, den Zusammenhang zwischen Cybervorfällen und Geschäftsunterbrechungen so darzustellen, dass er bei den verschiedenen Interessengruppen des Unternehmens ankommt. Dies erfordert ein ganzheitliches Verständnis der drei Grundprinzipien von Cyberrisiken: Bedrohungen, Schwachstellen und Auswirkungen.

In der Vergangenheit konzentrierten sich CISOs hauptsächlich auf die taktischen Aspekte des Cyberrisikos, ohne das Gesamtbild zu berücksichtigen. Der Einsatz von Sicherheitstools zur Identifizierung von Bedrohungen und zur Behebung von Schwachstellen war unser tägliches Brot, aber die Bewertung des Gesamtbildes war uns eher fremd. Mit der Verbreitung von Cyberangriffen auf globaler Ebene sind jedoch unzählige neue Variablen in die Gleichung eingeflossen. Von nationalstaatlichen Gegnern, die von geopolitischen Spannungen angetrieben werden, bis hin zu digitalen Erpressern, die von der organisierten Kriminalität angetrieben werden, ist die Cyberbedrohungslandschaft heute bösartig und hoch entwickelt - und sie entwickelt sich in diesem Moment weiter. Im Gegenzug muss der moderne CISO über das Tagesgeschäft hinaus agieren und den Blick auf das große Ganze richten.

Um die Auswirkungen von Cyberrisiken zu entschlüsseln, ist ein Einblick in die „Kronjuwelen“ des Unternehmens erforderlich. Dies sind die Prozesse und Anlagen, die den größten Marktvorteil, das Umsatzwachstum und den nachhaltigen Erfolg schaffen. Ein solches Verständnis ist nur durch eine gezielte Kommunikation mit der Unternehmensführung möglich. Anstatt die Führungsetage lediglich zu fragen, welche Cyberbedrohungen sie nachts wachhalten, könnte eine effektivere Fragestellung lauten: „Von welchen Produkt- oder Dienstleistungsangeboten hängt unser Markterfolg derzeit ab? Welche wichtigen Unterscheidungsmerkmale sind entscheidend, um sich von der Konkurrenz abzuheben?“

Mit einem tieferen Einblick in die wertvollsten Vermögenswerte des Unternehmens können CISOs dann eine Sicherheitsarchitektur aufbauen, die kritische Prozesse schützt und Geschäftsunterbrechungen minimiert.

Schaffung einer teamorientierten Sicherheitskultur

Der transformative CISO ist dafür verantwortlich, eine unternehmensweite Kultur der Cyberresilienz zu fördern, in der alle Mitarbeiter eine Rolle beim Schutz des Unternehmens spielen. Die Schaffung einer solchen Kultur kann jedoch nicht durch statisches Engagement und Einheitsschulungen erreicht werden, denen es an kontextbezogenem Bewusstsein fehlt. Es ist vergleichbar mit den Herausforderungen bei der Erziehung eines Teenagers. Nur weil wir wissen, was das Beste für unsere Kinder ist, heißt das nicht, dass sie immer das tun werden, was wir ihnen sagen. Aber wenn wir den Wert unserer Ratschläge effektiv verdeutlichen können - und dass wir sie in ihrem besten Interesse geben -, ist die Chance, dass sie auch in die Tat umgesetzt werden, viel größer.

Frank Kim, SANS Institute, YL Ventures

„Der transformative CISO ist dafür verantwortlich, eine unternehmensweite Kultur der Cyberresilienz zu fördern, in der alle Mitarbeiter eine Rolle beim Schutz des Unternehmens spielen.“

Frank Kim, SANS Institute, YL Ventures

Das Gleiche gilt für CISOs, die mit dem Aufbau einer Kultur der Cyberresilienz beauftragt sind. Wir können nicht erwarten, dass Standardrichtlinien oder Routineschulungen automatisch zu einer 100prozentigen Einhaltung der Sicherheitsvorschriften durch die gesamte Belegschaft führen. Damit die internen Maßnahmen auf Resonanz stoßen, müssen sie auf den einzelnen Endbenutzer zugeschnitten und personalisiert sein, das heißt, sie müssen stichhaltige Argumente liefern, die auch für nicht technisch versierte Mitarbeiter verständlich sind. Wenn man den Mitarbeitern einen festen Weg mit bewährten Protokollen vorgibt, sind sie eher geneigt, die Protokolle zu befolgen und die Sicherheit des Unternehmens zu gewährleisten. Auf der Makroebene entsteht so eine Dynamik, bei der das Sicherheitsbewusstsein als Teil einer übergreifenden Unternehmenskultur in die täglichen Arbeitsabläufe integriert wird.

Fünf Schlüssel zum CISO-Erfolg

Als CISO bin ich der Erste, der zugibt, dass es nicht immer einfach ist, die Geschäftsführung in Fragen der Cybersicherheit einzubeziehen. Ich habe mich einmal mit einem CFO getroffen, um ihre Zustimmung zu einem bestimmten Sicherheits-Business Case einzuholen, den wir einführen wollten. Schon nach wenigen Minuten unterbrach sie mich und sagte: „Frank, wir haben es verstanden. Wir wissen, dass unsere Cybersicherheitsmaßnahmen an erster Stelle stehen müssen“. Für einen kurzen Moment hatte ich das Gefühl, dass das Treffen in die richtige Richtung ging. Doch dann kam das gefürchtete „A“-Wort. Sie fuhr fort: „ABER, was wir wirklich wissen wollen, ist: Geben wir zu viel aus? Geben wir zu wenig aus?“ Wenn ich nicht darauf vorbereitet gewesen wäre, auf ihre Bedenken einzugehen, hätte der gesamte Business Case, den wir vorschlugen, entgleisen können - mit dem Ergebnis, dass die Probleme, die wir nicht gelöst haben, unser Geschäft gefährden könnten. Dies sind die Fragen, die Führungskräfte ihren Sicherheitsverantwortlichen täglich stellen. Um sie effektiv zu beantworten, sollten CISOs die folgenden fünf Bereiche im Auge behalten.

Wählen Sie das richtige Rahmenwerk: CISOs sollten ein branchenweit anerkanntes Rahmenwerk wählen, das nicht nur mit dem Risikoprofil Ihres Unternehmens übereinstimmt, sondern auch die Cybersicherheitsmaßnahmen für die Führungsebene und den Vorstand entmystifiziert. Das NIST Cybersecurity Framework oder der IT-Grundschutz vom BSI zum Beispiel helfen, die Komplexität der Sicherheit so zu vereinfachen, dass sie von Führungskräften leichter verstanden werden kann.

Den Reifegrad messen: Es reicht nicht aus, einen Sicherheitsrahmen einfach zu übernehmen und zu nutzen. Während CISOs die verschiedenen Kontrollen implementieren, sollten sie den Reifegrad ihrer wichtigsten Sicherheitsfunktionen ermitteln und messen. Auf diese Weise kann der Fortschritt im Laufe der Zeit überwacht werden.

Benchmarking mit Branchenkollegen: Die Höhe der Cyberausgaben eines Unternehmens sollte relativ zu seinem Risikoprofil sein. Während sich das Reifegrad verbessert, sollte ermittelt werden, wie die Sicherheitsarchitektur des Unternehmens im Vergleich zur gesamten Branche abschneidet - so lässt sich feststellen, ob ein Unternehmen zu viel oder zu wenig investiert.

Optimales Ziel setzen: Unternehmen, die sich am oberen Ende des Reifespektrums befinden, können sich mit einer reiferen Branche vergleichen, um ein höheres Ziel zu erreichen. Aber selbst, wenn sie zu Vergleichszwecken innerhalb der eigenen Branche blicken, sollten sie sich ein Reifeziel setzen, das immer auf einem tiefen Verständnis des Geschäftsrisikos basiert.

Effektivität fortlaufend messen: Selbst, wenn ein klar definiertes Rahmenwerk, Reifegradmodell, Benchmarking und Ziel vorhanden sind, bleibt eine wichtige Frage: Werden die begrenzten Ressourcen effektiv eingesetzt? Während Unternehmen ihr Sicherheitsprogramm einrichten, pflegen und betreiben, sollten kontinuierliche Messungen und Bewertungen nicht verhandelbar sein.

Über den Autor:
Frank Kim ist Instructor beim SANS Institute und CISO-in-Residence bei YL Ventures.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über IT-Berufe und Weiterbildung