Das größte Problem innerhalb der Informationssicherheit liegt nicht darin, die Angreifer zu identifizieren, Systeme zu patchen oder Phishing-Angriffe zu stoppen. Diese Phänomene sind zwar alle höchst real und sozusagen das tägliche Brot unseres Joballtags. Das eigentliche Hauptproblem für die IT-Sicherheit liegt aber in der mangelnden Abstimmung innerhalb des Unternehmens.
Dafür gibt es viele Ursachen, denen wir nachgehen werden. Der Schlüssel für eine bessere Abstimmung aber liegt in einem kontinuierlich geführten Risikodialog innerhalb des Unternehmens. Dabei geht es nicht um Berichte zur Anzahl der im letzten Monat gestoppten Viren oder darum, die richtigen KPIs nachzuhalten (was man durchaus tun sollte). Es geht vielmehr um einen Dialog, der wirklich zu Verhaltensänderungen auf beiden Seiten führt, angefangen bei der Sicherheit.
Die meisten Sicherheitsspezialisten haben sich aufgrund ihrer Expertise auf die Führungsebene hochgearbeitet. Und siehe da, kaum haben sie den C-Level erreicht oder sich der Führungsebene auch nur angenähert, stellen sie fest, dass sich hier niemand mit dem Thema Sicherheit zu beschäftigten scheint. Die erste Einführung in die neue Rolle ist ganz entscheidend, denn sie hinterlässt auf der Ebene des Top-Managements meist einen bleibenden Eindruck. Damit die betreffende Person sich wirklich beweisen kann, bekommt sie meist ordentlich Gegenwind und muss jetzt auf eine grundlegend andere Art und Weise demonstrieren, dass sie ihr Metier beherrscht. Auch unter CxOs.
Für viele frischgebackene CISOs ist das nicht ganz einfach. Das liegt an der verbreiteten Berufskrankheit „Sicherheits-FoMO“ (Fear of Missing Out = Angst, etwas zu verpassen): CISOs lieben IT-Sicherheit, sie wollen auf dem neuesten Stand bleiben, innovativ sein und weiterhin ihre Kompetenz in Sicherheitsfragen unter Beweis stellen. Das ist ein Fehler.
Die eigentliche Aufgabe eines CISO besteht darin, sich in den Dienst des Unternehmens zu stellen und eine wichtige logistische und leitende Funktion für die Sicherheitsdisziplin innerhalb der gesamten Firma auszuüben. Das bedeutet, dass Feinheiten des Personalmanagements, der Budgetierung und die Abstimmung mit anderen Unternehmensprioritäten aktuell die wichtigsten Dinge sind, die ein CISO zu tun hat, von den Soft Skills in den C-Level-Büros bis hin zu Hard Skills in Finanzen und Vertrieb. All das hängt davon ab, dass man auf Unternehmensebene über das Thema Risiko spricht und wirklich versteht, dass viele Mitarbeiter Risikoträger sind, wie z. B. diejenigen, die rechtliche, Markt-, Finanz-, Betriebs- und IT-Risiken managen. Das betrifft die komplette Ebene des Top-Managements. Das sollte ein CISO bedenken, wenn er sich angemessen positionieren will.
Auf der anderen Seite bestehen für die meisten Unternehmen Risiken erster Ordnung, die nicht unbedingt etwas mit Sicherheit in unserem Sinne zu tun haben: Risiken, die sich nicht intelligent anpassen und die auch nicht zurückschlagen. Das Wetter ist ein gutes Beispiel für ein Risiko erster Ordnung: Wie Sie sich vor einem Sturm schützen, hat keinen Einfluss auf den Kurs des Sturms. Doch wie man es im Verkauf mit Konkurrenten zu tun hat oder bei einem Rechtsstreit mit gegnerischen Anwälten, so beschäftigt sich die Sicherheitsabteilung, mit Risiken zweiter Ordnung und einem intelligenten, motivierten und fähigen Gegner. In der Sicherheit ändert der Sturm definitiv seinen Kurs, je nachdem, was und wie Sie etwas innerhalb des Unternehmens schützen. Viele Führungskräfte, die nicht aus dem Sicherheitsbereich kommen, sind zutiefst frustriert darüber, dass es für Sicherheitsprobleme keine einfache Lösung gibt, die man implementiert und über die man anschließend nicht mehr nachdenken muss.
Das heißt schlicht und ergreifend, es wird immer ein wichtiges Problem beim Thema Sicherheit geben. Wenn Sie zufällig drei Probleme lösen, ergeben sich fast zwangsläufig die nächsten drei. Zudem verändert und verschiebt sich die Reihenfolge der Prioritäten ständig. Für einen COO oder CIO oder Leiter F&E, der an ein einfaches Risikoregister gewöhnt ist und diese Risiken dann mit einem Arsenal von Management-Tools und entsprechenden Budgets auf ein akzeptables Niveau senkt, kann das tatsächlich zutiefst desillusionierend sein. Eine Verfügbarkeit von 99,999 % erreichen zu wollen, wird beispielsweise dann zur Herausforderung, wenn eine Abteilung einen höchst aktiven und bösartig agierenden Geist in einer Maschine als Feind Nummer eins hat, statt sich um Dinge wie die Qualität der Lieferkette oder die Beseitigung von Prozessabfällen zu kümmern.
Die Antwort, wenn nicht die Lösung, liegt im Setzen von Erwartungen. Unabhängig davon, ob der CISO gerade seine Position angetreten hat oder schon ein alter Hase in seinem Geschäft ist, er muss eine Erwartungshaltung vorgeben, die von einer sich verändernden Risikolandschaft ausgeht und einen kontinuierlichen Dialog innerhalb des Unternehmens etablieren. KPIs sind wichtig, Abfallbeseitigung ist wichtig, Automatisierung ist wichtig. Aber sie sind zweitrangig, wenn es darum geht, anpassungsfähig und flexibel zu agieren und sich auf momentan mögliche Verbesserungen zu konzentrieren.
All das macht es erforderlich, dass ein CISO tatsächlich nicht auf sämtliche der auftauchenden Sicherheitsprobleme anspringt. Es ist weiterhin erforderlich, dass ein CISO sicherheitsrelevanten Problemen und Risiken nicht seine besondere Aufmerksamkeit widmet. Der CISO sollte vielmehr die Beteiligung und den Beitrag anderer zur Sicherheit fördern und sich als Führungskraft zunächst nicht bei sicherheitsrelevanten Problemen einschalten. Letztendlich muss der CISO ein Insider des Unternehmens sein, zusätzlich zu seiner de facto Rolle als Stimme und Anwalt der Sicherheitsrisiken unter allen anderen Geschäftsrisiken auf C-Ebene. Wenn ein Unternehmen auf dieser Ebene richtig agiert, lassen sich selbst schwerwiegende Risiken auf ein akzeptables Maß drücken und das Unternehmen kann sich auf sein Kerngeschäft und seine Marktposition fokussieren. Im Umkehrschluss gilt, wer hier gravierende Fehler macht, der schadet dem Unternehmen, und ein CISO wird weiterhin an seiner wichtigsten Aufgabe, Sicherheit mit dem Kern der geschäftlichen Tätigkeit in Einklang zu bringen, scheitern.