Es gibt immer mehr Erwartungen, die an CISOs gestellt werden: Vom Vorstand bis zu den Verantwortlichen für die Geschäftseinheiten sind die Augen auf sie gerichtet. CISOs sollen Antworten darauf geben, wie die wachsende Datenmenge genutzt und dabei geschützt werden kann.
Auf CISOs lastet ein hoher Erwartungsdruck und aus dem Vorstand bis zu den einzelnen Geschäftsbereichen prasseln zahlreiche Fragen auf sie ein: Wie können wir mehr Daten generieren und nutzen? Aber auch: Wie schützen wir sie im Ernstfall? Wer jetzt weitermacht wie bisher, wird straucheln. Das CISO Advisory Board von Rubrik hat jedoch einige kleine Änderungen identifiziert, mit denen CISOs ihre Ausgangslage verbessern können.
Es gibt viele Gründe, weshalb CISOs eine schwere Zeit durchmachen: Einer davon heißt Daten. Die Ergebnisse des Zero Labs Reports verdeutlichen unter anderem, dass die Datenmenge in Unternehmen immer schneller wächst und Daten immer diverser werden. Dazu kommt das Thema künstliche Intelligenz (KI): Erstens hängt KI vollständig von Daten ab, daher ist es umso wichtiger, dass die Daten gegen Bedrohungen geschützt werden. Zweitens erzeugen auch KIs Daten – zahlreich und automatisch. Deshalb wird es immer schwieriger, den Überblick zu behalten, wie viele Daten das eigene Unternehmen wo speichert. Ganz zu schweigen davon, herauszufinden, wie wichtig und sensibel die gespeicherten Daten für das eigene Geschäft tatsächlich sind.
Der Zero Labs Report thematisiert jedoch auch den Optimismus und seine Rolle bei der Entscheidungsfindung in Unternehmen. Einerseits wird Cybersicherheit mittlerweile bis in den Vorstand thematisiert, jedoch neigen dieselben Unternehmen dazu, ihre Zukunft zu optimistisch einzuschätzen. Die Teams in der Cybersicherheit sind nach wie vor mit fehlenden Ressourcen und Talenten konfrontiert, während die Herausforderungen wachsen.
Aber zuletzt gewinnt die CISO-Rolle immer mehr Sichtbarkeit. Damit einher geht jedoch immer häufiger, dass dem CISO Entscheidungen abgefordert werden, die über seine Kernkompetenzen hinausgehen. In der Folge fehlen ihm für diese Entscheidungen oft ebenfalls Ressourcen, um diese treffen und bewältigen zu können. Mit der Ausweitung des Digital Operational Resilience Act (DORA) könnte sich diese Situation noch verstärken.
Datenschutz beginnt mit dem Überblick über die Daten
Die bittere Wahrheit ist: Wenn CISOs so weitermachen wie bisher, werden sie ihr Unternehmen in den nächsten fünf Jahren nicht mehr ausreichend schützen können. Bereits heute sind die CISOs für den Schutz der Daten verantwortlich, haben jedoch oft keine Kontrolle darüber, wie die Daten generiert, gespeichert und verwaltet werden. Gute Entscheidungen über den Schutz der Unternehmensdaten beginnen bei einem guten Überblick. Besonders in hybriden Umgebungen ist das ein herausforderndes Unterfangen, das sich auf drei Fragen herunterbrechen lässt:
- Wie viele Daten gibt es im Unternehmen?
- Wo befinden sich diese Daten?
- Wie wichtig sind die konkreten Daten für das Unternehmen?
Mit den Antworten auf diese Fragen gehen Optionen und Geschwindigkeit einher, wenn es im Falle eines Sicherheitsvorfalls darauf ankommt. Dann ist Zeit Luxus und genau dann ist es am wichtigsten zu wissen, welche Daten betroffen sind und wie wichtig die Daten sind. Die Antworten verkürzen im Ernstfall die Reaktionszeiten und verbessern nachweislich die Qualität der Entscheidungsfindung in einer Krise.
Hinter den schlechten Nachrichten warten gute Fragen
Die auf Prävention ausgerichtete Perimetersicherheit kann nie ganz erreicht werden. Selbst als sehr sicher geltende Organisationen wurden bereits kompromittiert, und das bedeutet: Es kann jedes Unternehmen treffen. Die Nachricht klingt pessimistisch, ist aber positiv. Wenn CISOs akzeptieren, dass das eigene Unternehmen mit dem Schlimmsten rechnen muss, dann können sie die Frage stellen: „Wie können wir die Auswirkungen eines negativen Ereignisses begrenzen und so schnell wie möglich beheben?“
Der nächste Schritt besteht darin, die Menge der zu schützenden Daten zu reduzieren. Unternehmen, die weniger Daten speichern, müssen weniger Daten schützen. Das bedeutet einen besser definierten Schutzumfang und spart sowohl bei der Speicherung als auch der Wiederherstellung Geld und Zeit. Diese Ressourcen können in ein höheres Schutzniveau für die kritischeren Datensätze sowie Anwendungsworkflows investiert werden und schaffen Spielraum für Engpässe.
Entscheidungen können demokratisiert werden
Der Fachkräftemangel ist keine Neuigkeit. Weit weniger Beachtung findet jedoch der wachsende Umfang der CISO-Rolle und der entsprechenden Teams. Führungskräfte und Vorstände wollen wissen, wie sicher das Unternehmen ist, aber sie wollen auch wissen, welche Auswirkungen ein Verstoß auf das Unternehmen hat. Die Bewertung und das Management von Risiken sollte nicht allein in den Händen des CISO liegen. Vielmehr sollte der CISO proaktiv mit seinen Kollegen zusammenarbeiten, um verschiedene Szenarien zu bewerten, Verantwortliche für Entscheidungen zu benennen und an der Lösung der damit verbundenen Risiken zu arbeiten.
Es ist eine Sache, ein Bild des astronomischen Datenwachstums zu zeichnen. Es ist eine andere, eine Zahl dahinter zu setzen und einen Kollegen zu fragen: „Wie wird sich das in den nächsten fünf Jahren auf unsere Cloud-Kosten auswirken?“ Deshalb sind aktuelle Berichte und Studien zur Lage der Cybersicherheit wichtig. Eine realistische Darstellung der Risiken wird dabei helfen, sinnvolle und gemeinsame Lösungen zu finden. Dadurch können auch Situationen entstehen, in denen verschiedene Führungskräfte für verschiedene Entscheidungen in der Datensicherheit und das anschließende Risikomanagement verantwortlich sind. Dazu kann der CISO einen Teamplan erstellen. Dieser hilft den Führungskräften, die richtigen und bessere Entscheidungen für ihr jeweiliges Team zu treffen und die Verantwortlichkeiten für Entscheidungen nachzuvollziehen.
Die Rolle der KI für CISOs
KI generiert nicht nur Daten und befeuert damit die Herausforderung, sondern bietet auch Vorteile, um große Datenmengen zu bewältigen. Der CISO eines jeden Unternehmens sollte die richtigen Anwendungsfälle für KI in seinem Unternehmen identifizieren. Insbesondere generative KI eignet sich zum Beispiel dafür, eine ganze Reihe von Aufgaben zu automatisieren und die Effizienz der Verteidiger zu erhöhen. Für einen einzelnen CISO gestaltet es sich jedoch mühsam, alle Möglichkeiten zu sammeln und zu bewerten. Sinnvoller ist es, mit anderen CISOs zusammenzuarbeiten und Best Practices ebenso wie gescheiterte Ansätze auszutauschen. Da Unternehmen in einer vernetzten Welt existieren, sind unterschiedliche Organisationen nicht vollständig unabhängig. Der Austausch von Anwendungsfällen und Erfahrungen hilft deshalb der Cybersicherheit als Ganzes, wenn Unternehmen passende Fälle für sich finden und die eigenen Teams entlasten können.
CISOs sollten sich jedoch unter zwei Gesichtspunkten auch damit beschäftigen, wie Angreifer KI nutzen. Zum einen sollten sie die wahrscheinlichsten Wege antizipieren, wie Angreifer die Technologie nutzen können, um bisher erfolgreiche Sicherheitsmaßnahmen in der Infrastruktur zu überwinden. Zum anderen sollten sie sich jedoch auch die Frage stellen, wie Angreifer KI einsetzen können, um nach einem Sicherheitsvorfall die gestohlenen Daten zu verstehen und zu nutzen.
Schritt zu halten, ist fordernd, aber möglich
Die Rolle des CISO entwickelt sich manchmal schneller weiter, als CISOs darauf vorbereitet sind. Aber die Sichtbarkeit von Daten, Cyberresilienz, demokratisierte Entscheidungsprozesse und die richtigen Gedanken zum Einsatz von KI können viel ausmachen. Einige der kommenden Risiken können so schneller reduziert werden, während Unternehmen gleichzeitig lernen, sicherheitsbewusster mit ihren Daten umzugehen. Dabei kann die Zusammenarbeit von Führungskräften helfen: im eigenen Unternehmen, aber auch auf externen Plattformen.