Der gewachsenen Bedeutung von IT-Systemen im modernen Betrieb entsprechend, trägt der CISO heute auch die Verantwortung für die Stärkung der Resilienz von Geschäftsprozessen und dem Unternehmen insgesamt. Und steht aktuell gleich vor mehreren großen Herausforderungen.
In den vergangenen Jahren haben sich die Aufgaben und die Verantwortung des CISO in einem Unternehmen deutlich gewandelt. Von einer rein technischen Aufgabe (Schutz der IT-Systeme und der Daten) hat sich die Verantwortung stärker in den Bereich des Risikomanagements und der Resilienz von IT-getriebenen Geschäftsprozessen verschoben.
So viele Fronten – so viel zu tun
Die besonders spektakulären Fälle erfolgreicher Attacken mit Ransomware, die es dann sogar in die Publikumspresse schaffen, stellen nur die sprichwörtliche Spitze des Eisbergs dar. Hochprofessionell vorgetragene Angriffsversuche gegen Unternehmen bedrohen deren Arbeitsfähigkeit. Die Sorge vor solchen Angriffen hat im Rahmen des Angriffskriegs gegen die Ukraine im Zusammenhang mit einem möglichen „Cyberwar“ eine zusätzliche Dimension erhalten. Und dann wäre da auch noch der Wandel der Arbeitswelt selbst: Die Pandemie mit ihrer Homeoffice-Verordnung hat der Einführung von Remote-Arbeitsplätzen eine Dynamik verliehen, die vielerorts nur mittels Improvisation erreicht werden konnte. Nicht zu vergessen, das Tagesgeschäft mit einer sich exponentiell vergrößernden Zahl an IoT-Sensoren und komplexeren IT-Strukturen (von verteilten Cloud-Lösungen bis hin zu Micro-Services), die Aufmerksamkeit in Hinblick auf die Sicherheit erfordern. Der Aufgabenzettel mit dringenden und wichtigen Tätigkeiten ist prall gefüllt, und wird immer länger. Erschwert wird dieses ohnehin umfangreiche Aufgabenfeld durch drei zusätzliche Herausforderungen.
Drei aktuell konkrete Herausforderungen für den CISO
Eine der größten Herausforderungen, denen ein CISO aktuell gegenübersteht, ist ohne Zweifel der Mangel an qualifiziertem Personal. Eine aktuelle Studie der Jobplattform Stepstone rechnet vor, dass der Fachkräftemangel die Wirtschaft allein in Deutschland bis zum Jahr 2034 etwa 326 Mrd. Euro kosten wird. Der in der „Global Information Security Workforce“-Studie des ISC prognostizierte Engpass bei Sicherheitsexperten ist eingetreten.
Die Gründe, warum es dem einzelnen CISO nicht gelingt, das dringend benötigte Personal zu gewinnen, sind so vielschichtig, wie jedes Unternehmen einzigartig ist. Ein Teil der Beschäftigten orientiert sich um und will nicht mehr im Sicherheitsbereich aktiv sein. Andere Unternehmen haben vielleicht mit einem konkreten Standortnachteil zu kämpfen oder können bei den umfangreichen Benefits, die andere Firmen bieten, nicht mithalten. Und längst nicht jedes Unternehmen ist in der Lage, hybride Arbeitsmodelle, wie sie heute gefragt sind, im gewünschten Maß anzubieten. Im Ergebnis müssen sich CISOs mit dem zufriedengeben, was der Markt hergibt. Und hier werden dann oft Kompromisse bei den eigentlich dringend notwendigen Fachkenntnissen im Bereich Cybersecurity gemacht. Es liegt auf der Hand, dass dies kaum die Sicherheit einer Organisation verbessert.
Aus dem Fachkräftemangel, der alle Branchen gemeinsam trifft, ergeben sich indes noch weitere Probleme. Denn der Mangel an qualifiziertem Personal beeinträchtigt die Zusammenarbeit mit Lieferanten und Kunden gleichermaßen. Dies beginnt bereits bei der Beschaffung von Security-Lösungen. Lange Lieferzeiten bei Hardware oder Unterstützung bei der Implementierung sind heute eher die Regel als eine Ausnahme. Zulieferer sind wegen eigener personeller Probleme nicht dazu in der Lage, die vom Auftraggeber eigentlich erwarteten Sicherheitsniveaus einzuhalten, für die der CISO aber eigentlich die Verantwortung trägt. Und so werden Übertragungsstrecken eben nicht so gesichert, wie es eigentlich nötig und wünschenswert wäre. Vor dem Hintergrund des wirtschaftlichen Schadens, den eine Abkehr eines Lieferanten oder Partners verursachen könnte, drücken CISOs dann notgedrungen ein Auge zu, wohlwissend, dass dies unter den Aspekten von Security und Compliance alles andere als optimal ist.
Die gleiche Problematik kann sich auch in der umgekehrten Richtung stellen, wenn ein Partner oder Kunde die Einhaltung eines dezidierten Sicherheitsniveaus fordert, der CISO dies aber auf Basis seiner Ressourcen nicht gewährleisten kann. In jedem Fall ergeben sich hier potenzielle Angriffsvektoren, die zum Ausfall von Produktionseinrichtungen führen können. Eine erfolgreiche Attacke mit Ransomware genügt.
Die aktuelle Lage der Weltwirtschaft erhöht die Wahrscheinlichkeit dafür, dass die Zahl von Firmenübernahmen und Verschmelzungen zunehmen wird. Viele Unternehmen kämpfen weiterhin mit Auswirkungen der Coronavirus-Krise auf das Geschäftsmodell. Liquide Mittel sind aufgebraucht – was Unternehmen als Übernahmekandidaten interessant macht. Fallende Aktienkurse lassen Branchenriesen plötzlich erschwinglich erscheinen. Die Cybersecurity im eigenen Unternehmen aufrechtzuerhalten, ist für einen CISO bereits eine gewaltige Aufgabe. Wenn es um die Verschmelzung zweier Organisationen geht, wird es noch schwieriger. Und oft genügt bereits die Erwähnung von Due-Diligence-Prozessen, um ein Unternehmen zur Zielscheibe für Attacken zu machen.
Interne Teams entlasten, mit externer Hilfe
Malware-Attacken, die inzwischen cloudbasiert und von KI unterstützt sind, sowie komplexere IT-Strukturen (Cloud, IoT) erschweren es mehr denn je, die Resilienz von Unternehmen gegen Cyberbedrohungen zu gewährleisten.
Es erscheint wirtschaftlich unvernünftig und vor dem Hintergrund des leer gefegten Arbeitsmarkts auch kaum umsetzbar, wenn jede Organisation die Erkennung und Abwehr von Cyberbedrohungen aus den am Markt erhältlichen Lösungen selbst zusammenstellt und betreibt.
Strategisch sinnvoller ist es, Komplexität zu reduzieren und einen Teil der Aufgaben auszulagern, um die Ressourcen der eigenen Sicherheitsexperten für wichtigere strategische und operative Aufgaben zu nutzen. Dieser Leitgedanke steckt unter anderem hinter der Empfehlung des Beratungsunternehmens Gartner, „Managed Detection and Response“-Lösungen (MDR) einzusetzen.
Dabei übernehmen Dienstleister die Erkennung und Behebung von Cyberangriffen. Diese verfügen bereits über die notwendigen Technologien und, viel wichtiger, über qualifiziertes Personal, das rund um die Uhr eingesetzt wird. Und da MDR-Anbieter für eine ganze Reihe anderer Firmen arbeiten, besitzen die Dienstleister zudem ein aktuelles Bild der globalen Bedrohungslage. In Kombination mit KI-Systemen identifizieren sie schneller die Bedrohungen, die für den jeweiligen Kunden relevant sind. Vorteil für den CISO: Er spart sich die Kosten für den Aufbau eines eigenen Security-Operations-Centers oder den Ausbau eines bereits vorhandenen Centers. Das ohnehin knappe Personal kann an anderer Stelle eingesetzt werden. Eine Entlastung bei Ressourcen und dem Aufbau von Fachwissen. Zu den vertraglichen vereinbarten Leistungen mit einem MDR-Anbieter gehört in der Regel auch die Reaktion auf Vorfälle in Echtzeit und das 365/7/24. Eine Leistung, die wirtschaftlich kaum mit eigenen Ressourcen zu stemmen wäre.
Das Aufgabenfeld für den CISO wird auch in Zukunft anspruchsvoll bleiben. Zeit also, ein Ventil zu suchen, um so den Engpässen beim Personal und dem Betrieb eines SOC aus dem Weg zu gehen.