Als CISOs haben Sie viele Aufgaben. Sie müssen ihre Organisationen schützen und auf Angriffe vorbereiten, Programme und Policies durchsetzen, Vorstand und Mitarbeiter sensibilisieren und vieles mehr. Wenn Sie priorisieren sollten: Was ist aus Ihrer Sicht am wichtigsten?
Janßen: Ganz wichtig ist es, im Unternehmen insgesamt ein Verständnis für das Thema Informationssicherheit zu schaffen. Ich meine nicht nur die Enduser-Awareness - die ist natürlich auch relevant. Mir geht es eher darum, wie es dem CISO gelingt, als Evangelist aufzutreten und dafür zu sorgen, dass das Thema als selbstverständlich und immer präsent wahrgenommen wird.
Alle müssen wissen, dass es Risiken gibt und wo sie lauern können. Auch der Vorstand sollte im Bilde sein, was eine Ransomware-Attacke ist und wie wir uns davor schützen können. Die Enduser sollten im Idealfall eine Phishing-Mail erkennen. Diese grundlegende Awareness auf allen Ebenen zu schaffen, ist für mich zentral.
Kleinfeld: Das kann ich unterschreiben, würde aber gerne noch die Enabler-Rolle betonen. Es geht auch darum zu zeigen, dass es sich bei Informationssicherheit nicht um eine reine Expertenaufgabe handelt, die das Business einfach an einen Stab von Profis auslagern kann. Das Thema gehört nicht irgendwo in einen Keller, es muss in die Organisation hineingetragen werden.
Jeder muss den Zusammenhang mit seinem eigenen Aufgabengebiet erkennen. Geht es um Geschäftsthemen und -prozesse, muss das Sicherheitsthema standardmäßig stattfinden. Deshalb greift der Begriff IT-Sicherheit auch zu kurz. Es geht um Informationen, sie sind Bestandteil fast aller unserer Tätigkeiten. Die Technologie darunter hilft uns dabei, uns zu schützen, aber es fängt bei jedem Einzelnen und seinem Verhalten an.
Warum CISOs Technologietrends kennen müssen
Wenn es um IT-Innovationen geht, die noch keiner kennt, dürfte das aber schwierig werden…
Kleinfeld: Wenn wir etwas Neues machen - ein Beispiel war vor einigen Jahren Cloud Computing -, dann funktionieren Kontrollen, die auf bestehendem Wissen basieren, möglicherweise nicht mehr so einfach. Deshalb kann es dazu führen, dass Innovationen als zu unsicher bewertet werden, die dann noch nicht angegangen werden. Unsere Aufgabe ist es daher dafür zu sorgen, dass solche Innovationen ins breite Blickfeld geraten und wir proaktiv den Bezug zur Informationssicherheit herstellen.
Die Diskussionsteilnehmer Hendrik Janßen ist Global Technology Director Security & CISO bei der Bauer Media Group. Er ist seit 2016 im Konzern, vorher war er im Bereich Cybersicherheit bei der Bundeswehr tätig. Florian Jörgens ist seit 2021 CISO der Vorwerk Gruppe. Vorher war er für die Informationssicherheit bei der Lanxess AG verantwortlich - in gleicher Position. Jörgens ist zudem als Dozent, Autor und wissenschaftlicher Mitarbeiter an diversen Hochschulen tätig. Ralf Kleinfeld verantwortet als ISO die Informationssicherheit bei der Otto GmbH & Co. KG. Zuvor war er als Informatiker und Netzwerkexperte in der Otto Group IT und bei Metro Systems tätig. Fabian Topp ist CISO der Allianz Technology SE. Er ist als ISO 27001 Lead Implementer, Lead Auditor und CISM zertifiziert und hat sowohl in den USA als auch in China gelebt und gearbeitet. Alle vier sind genauso wie Iskro Mollov, CISO der GEA Group, Gründungsmitglieder des CISO-Beirats, den die COMPUTERWOCHE-Schwester CSO kürzlich ins Leben gerufen hat. Ziel ist es eine Plattform für CISOs zu schaffen, auf der vertraulich Informationen ausgetauscht und Netzwerke aufgebaut werden können – national und auch international. |
Geht es in Ihrem Job am Ende nicht ganz einfach darum, den Worst Case zu vermeiden? Also Angriffe zu verhindern oder einzudämmen, damit diese Ihre Systeme nicht lahmlegen oder beschädigen können?
Topp: Natürlich ist ein Cyberangriff das typische Toprisiko, aber damit beschäftigen wir uns sowieso ständig. Der Worst Case tritt eher dann ein, wenn etwas passiert, woran wir nicht gedacht haben. Die Pandemie ist so ein Beispiel - mit ihren Folgen für die Zusammenarbeit der Mitarbeitenden und den Reisetätigkeiten im Unternehmen. Oder die derzeitige Energiekrise, die theoretisch auch die Versorgung unserer Data Center betreffen könnte. Solche Entwicklungen sind nur schwer vorherzusagen - und darin liegt die eigentliche Herausforderung: Was könnte geschehen, woran wir nicht denken?
Jörgens: Manche Kollegen verrennen sich zu sehr in technischen Lösungen, um sich auf einen Sicherheitsvorfall vorzubereiten. Für mich ist das die falsche Herangehensweise. Letzten Endes hat die Informationssicherheit die Aufgabe, die Business-Strategie zu unterstützen. Am Anfang steht immer die Frage: Was möchte das Business überhaupt? Darauf ist dann die Sicherheitsstrategie abzustimmen.
Ich habe schon oft erlebt, dass die Fachbereiche eine digitale Initiative starten oder eine Plattform einführen möchten und der Sicherheitsbereich direkt mit irgendeinem technischen System als Lösung daherkommt, das potenziellen Problemen vorbeugen soll. Das funktioniert aber nicht. Man muss sich schon genau anschauen, was das Business wirklich braucht und welche Risiken damit verbunden sind. Diese sind im Detail zu bewerten - und erst dann, ganz am Ende, kann mit einer technischen Lösung eingegriffen werden. Immer nur in der Security-Blase zu bleiben und in Risiken oder Angriffen zu denken, ist nicht sinnvoll. Wir müssen in die Enabler-Rolle kommen und dürfen uns nicht in diese paranoide Security-Rolle zurückdrängen lassen.
Unterschiedliche Meinungen: Sollte der CISO an den CIO berichten?
In vielen Unternehmen sind Informations- und IT-Sicherheit gleichermaßen bei der IT-Organisation aufgehängt. Der CISO berichtet an den CIO. Finden Sie das richtig?
Jörgens: Die Informationssicherheit sollte meiner Meinung nach nie zur IT-Abteilung gehören, und ein CISO sollte nicht an den CIO berichten. Ich kenne viele CISOs, bei denen das der Fall ist, aber ich kenne nicht einen, der das gut findet. Der CIO verfolgt andere Ziele als der CISO, das ist aufgabenbedingt so. Verfügbarkeit ist ein CIO-Thema, aber Vertraulichkeit und Integrität sind nicht seine Ziele, aber die des CISO. Da gibt es immer einen Interessenkonflikt.
Blickt man nur auf das eher technische Thema der IT-Sicherheit, mag es Fälle geben, in denen die IT-Sicherheit im IT-Bereich unter der CIO-Verantwortung bleiben kann. Aber die Informationssicherheit hat nichts in der IT verloren, sie kann eher im Bereich Corporate Governance and Compliance aufgehängt werden, so ist es bei Vorwerk, oder bei der Konzernsicherheit, so war es bei meinem früheren Arbeitgeber Lanxess. Sie kann auch ein eigener Bereich mit einer direkten Berichtslinie an einen Vorstand sein, das kann ebenfalls funktionieren. Solange der CISO nicht vom CIO abhängig ist, gehe ich die meisten anderen Konstellationen mit.
Kleinfeld: Ich bin da nicht so streng und würde das nicht verallgemeinern. Ich glaube, das hängt stark davon ab, wie die handelnden Personen in einem Unternehmen das Thema Informationssicherheit im Einzelfall bewerten. Bei Otto sitzt der CIO im Bereichsvorstand, ich berichte an ihn. Dadurch bekomme ich die bestmögliche Unterstützung. Gerade für die Kommunikation mit der Fachseite funktioniert das sehr gut.
Ich habe die volle Rückendeckung vom CIO, weil ihm das Thema einfach wichtig ist und er die Informationssicherheit als eine Top-Priorität ansieht. Ich glaube, es kommt auch auf die Historie an, wie das Thema im Unternehmen aufgesetzt wurde. Als reine Compliance-Aufgabe wird es aus einer ganz anderen, teils juristischen Perspektive gesehen und wahrscheinlich auch anders implementiert. Themen wie Informations- und IT-Sicherheit dürften dann getrennt betrachtet werden. Ich sehe das aber anders, für mich gehören beide Aufgaben eng zusammen.
Janßen: Ich sehe das auch nicht so dogmatisch. Dass der CISO nicht an den CIO berichten soll, würde ich nicht so pauschal sagen. Manche sagen ja auch spaßhalber, der CIO sollte an den CISO berichten. Letztendlich ist das von der Unternehmenskultur und -historie abhängig, ebenso von den verantwortlichen Menschen. Bei Bauer berichtet der CISO an den Chief Technology and Information Officer, den CTIO, der bei uns im obersten Führungsgremium sitzt. Ich glaube, für uns ist das die beste Lösung aktuell.
Und wie handhabt das die Allianz?
Topp: Im Allianz-Konzern berichtet der CISO der Unternehmensgruppe genauso wie die CISOs in den verschiedenen Geschäftseinheiten an den Chief Operating Officer (COO). Dort, wo es keinen COO gibt, steht der Chief Financial Officer (CFO) in der Verantwortung. Das haben wir in einer Policy sichergestellt. Früher war es bei uns so, dass die meisten CISOs an den CIO berichteten. Das ist heute nicht mehr so, schon allein um einen Interessenskonflikt zu vermeiden. Ich gehe aber mit den Kollegen mit: Am Ende hängt wirklich alles von den Personen ab. Mir persönlich wäre es zum Beispiel lieber, an einen kollaborativ eingestellten CIO zu berichten als an einen ignoranten CEO.
Ich glaube auch, dass das Geschäftsmodell und die Branche in dieser Frage entscheidend sind. Wenn ich mir Firmen anschaue, wo Security ein wesentlicher Bestandteil des Geschäftsmodells ist, dann ist es selbstverständlich, dass der CISO an den CEO berichtet. Hier geht es nicht nur um die interne Sicherheit, sondern auch um sichere Produkte für die Kunden.
Die Entscheidung hat viel mit dem Reifegrad der Informationssicherheit im Unternehmen zu tun. Je nach strategischer Organisationsplanung ist die Rolle unterschiedlich aufgehängt. Das fängt an einem Ende der Skala mit der Berichtslinie an den CIO an - ich kenne sogar noch Fälle, in denen der CISO nicht mal direkt an den CIO, sondern an ein Team-Lead von ihm berichtet. Am anderen Ende findet man dann den CISO, der selbst im Vorstand sitzt. Und dann gibt es noch ganz viele Ausprägungen dazwischen.
Kleinfeld: Ich glaube, das ist jetzt schon deutlich geworden: Informationssicherheit ist eher ein Menschen- als ein Technologiethema. Die Personen spielen eine ganz zentrale Rolle, und wir können am meisten erreichen, wenn wir die Menschen in den Organisationen mitnehmen.
CISOs halten viel von Awareness-Programmen
Das erinnert mich an die großen Awareness-Plakate an den Wänden mancher Firmen, in denen starke Passwörter und das Nicht-Öffnen zweifelhafter E-Mail-Anhänge angemahnt werden. Es gibt gerade auf der Herstellerseite immer wieder Stimmen, die sagen: Awareness-Kampagnen funktionieren nicht…
Jörgens: (lacht…) Was sagen diese Leute denn, wenn sie mit der Tatsache konfrontiert werden, dass 70 Prozent aller Cyberangriffe immer noch auf den Menschen abzielen und nur 30 Prozent auf Systeme? Mit vernünftigen Awareness-Maßnahmen - und das müssen jetzt nicht unbedingt Plakate sein - decke ich 70 Prozent der möglichen Cybervorfälle ab. Die technische Lösung, die mir das ermöglicht, möchte ich erstmal sehen.
Kleinfeld: Da bin ich bei Florian Jörgens. Technologie wird immer an Grenzen stoßen, und Cyberkriminelle sehen ihre Aufgabe darin, sie zu finden und zu überwinden. Wenn sie das schaffen, haben wir nur noch den Menschen, der geschult sein muss und wissen, wie er darauf reagieren kann. Awareness ist in unserem Werkzeugkasten ein wichtiges Mittel, um zu sensibilisieren und konkret auf Inhalte einzugehen. Letztendlich geht es darum, auf die Menschen zuzugehen und ihnen Zusammenhänge zu erklären.
Topp: Ich habe noch nie einen großen erfolgreichen Angriff gesehen, in den nicht irgendwo eine menschliche Komponente involviert war. Was die Plakataktionen etc. angeht, da geht es gar nicht so sehr um die Botschaft, die darauf zu lesen ist, zum Beispiel: "Wähle ein sicheres Passwort". Wichtiger ist, dass die Unternehmensleitung damit signalisiert, wie wichtig ihr das Thema ist. Nach dem Motto: Wir nehmen das sehr ernst - und Ihr bitte auch.
Janßen: Die Kommunikationsarten in solchen Kampagnen sind ja auch ganz verschieden. Die einen sagen: "Wir machen Awareness, damit wir compliant sind. Wir kaufen irgendein Tool vom Markt und rollen dann das Standardtraining aus etc." Damit verändern wir aber kein Bewusstsein. Es ist wichtig, dass die Zielgruppe wirklich verstanden wird und die Botschaft dort ankommt. Wer das erreichen will, muss seine Adressaten ernstnehmen. Dazu kann mal auch mal Themen aufgreifen wie: Wie schützt Du eigentlich deine Kinder online? Oder wie sorgst Du für Sicherheit in deinem Urlaub?
Kleinfeld: Vielleicht kann ich hier das Thema Security-Incident-Handling als Beispiel anführen. Das kann ich sehr technisch betrachten: Ich will den Vorfall so schnell wie möglich erledigt haben. Ich kann aber auch sagen: Jemand, der einen Sicherheitsvorfall meldet, den habe ich in der bestmöglichen Position, um ihn zu schulen oder weiter zu sensibilisieren. Diese Person ist gerade unsicher und empfänglich für Hilfestellung. Sie braucht Unterstützung, das kann ich nutzen, um sie in die Lage zu versetzen, zu lernen und besser zu werden in der Vorfalls-Begutachtung oder in der Frage, wie wird sie handlungssicherer. Der Incident-Prozess ist eine Chance zur Sensibilisierung, er sollte für die Betroffenen einen Mehrwert liefern.
Jeder kann Opfer werden - das ist nicht peinlich!
Ist es dieser Person nicht schon unangenehm genug, sich überhaupt zu melden? Meistens hat sie ja einen Fehler gemacht, der nun verhandelt wird - zum Beispiel ist sie auf einen Social-Engineering-Angriff hereingefallen.
Jörgens: Das ist eine Frage der Fehlerkultur im Unternehmen. Wenn sich Anwender mit so einem Problem verstecken müssen, läuft grundsätzlich etwas falsch.
Kleinfeld: Das sehe ich genauso, es geht hier um Vertrauen unter Menschen. Wenn Kolleginnen und Kollegen bei der Meldung mit einer Bemerkung abfertigt wie: "Das ist doch offensichtlich Phishing, warum rufst Du wegen so einer banalen Mail an?", dann ist das ein Problem. Der Helpdesk sollte sich bei den Kollegen für die Sensibilität bedanken, den Vorfall zu melden. Die Analyse des Angriffs ist dann allein die Aufgabe des Sicherheitsteams.
Wenn der User sagt: "Ich bin mir unsicher, das könnte vielleicht etwas Schadhaftes sein", dann ist das für uns immer ein Sicherheitsvorfall. Das muss man in die Köpfe reinkriegen. So vermeide ich, dass jemand nicht anruft, weil er denkt, er könnte sich blamieren.
Janßen: Zum Faktor "no blame" - wir haben von oben ganz klar die Message, "es wird hier niemand geköpft, weil er unbeabsichtigt einen Incident verursacht". Es ist nun mal so, dass die Kriminellen immer besser werden und die Lücken finden, das kann jedem passieren. Wir haben unser Awareness-Training so gestaltet, dass auch mal der Vorstand die Hosen herunterlässt und erzählt, was er so in seinem Postfach findet und worauf er schon mal reingefallen ist.
Lassen Sie uns über mögliche Angriffsszenarien reden: Worauf bereiten Sie sich besonders vor?
Topp: Wie gesagt, aus meiner Sicht entstehen die größten Risiken durch unvorhersehbare Ereignisse. Deshalb ist es mir wichtig, eine gewisse Resilienz ausgeprägt zu haben. Man weiß nicht, wo es passiert, aber wenn es geschieht, müssen wir die Auswirkungen einschränken können.
Kleinfeld: Eine große Chance bietet hier das Thema Business Continuity Management (BCM): Es hilft zu fokussieren. Man konzentriert sich auf die wichtigen Geschäftsprozesse und orientiert sich an der Kritikalität. Dann sind die Experten von der Fachseite gleich im Boot, die wollen ja auch, dass die wichtigen Geschäftsprozesse laufen. Das spricht sie manchmal gezielter an, als Informationssicherheit oder Technologie. Das hilft bei der Priorisierung der eigenen Arbeit.
Topp: Damit bin ich hundertprozentig einverstanden, ich würde sogar noch weitergehen: Ich habe Kolleginnen und Kollegen mit dem - ich sage immer - 'Rechtsanwaltssyndrom', die sagen: Alles muss zu 120 Prozent sicher sein. Doch wenn Sie vor der Unternehmensleitung alles als gleich wichtig darstellen, werden Sie irgendwann nicht mehr ernstgenommen. Irgendwann wäre die Firma dann nicht mehr arbeitsfähig. Es ist sehr wichtig zu priorisieren, und BCM ist dafür eine Super-Argumentationshilfe. Man kann den eigenen Leuten sagen: Entlang dieser Business-Prozesse müssen wir uns aufstellen.
Janßen: Das ist ja nicht nur in der Prävention wichtig, sondern auch in der Abarbeitung von Vorfällen. Der Incident, der am häufigsten hochkommt und die meiste Arbeit verursacht, muss nicht unbedingt der sein, auf den man sich konzentrieren sollte.
Kleinfeld: Üblicherweise sind es ja auch nur ganz wenige Prozesse, die wirklich geschäftskritisch sind. Sich darauf zu konzentrieren, macht das Leben viel leichter.
Sind Cybersecurity-Verantwortliche Bremser?
Alle Unternehmen wollen heute schnell und agil sein, am liebsten Realtime und datengetrieben. Muss der Beauftragte für Informationssicherheit nicht aufpassen, dass er nicht intern als Bremse angesehen wird?
Topp: Ich glaube, dass dies bei der Allianz schon lange kein Thema mehr ist. Das liegt wohl auch daran, dass wir ein Versicherungskonzern sind. Sicherheit ist unser Geschäft. Oft stellen wir sogar unseren Kunden Informationen zur Verfügung, damit die wiederum ihren Kunden signalisieren können, wie gut sie das Thema Sicherheit beherrschen. Der Slogan der Allianz heißt: We secure your future, damit ist ja schon alles gesagt.
Kleinfeld: Ich glaube, man sollte sich an eine taktische Regel halten, um nicht als Verhinderer wahrgenommen zu werden. Ich sage meinen Leuten immer, sie sollen Fragen wie "Darf ich das machen?" oder "Ist das sicher?" grundsätzlich nicht geschlossen beantworten. Solche Fragen bringen uns in die Rolle des Schiedsrichters, manchmal auch Verhinderers. Derjenige, der uns auf diese Weise fragt, hat das Ziel, ein Ja als Antwort zu bekommen. Wenn das der Fall ist, wird er von dannen ziehen und muss nichts weiter tun. Bekommt er ein Nein, kann er sagen: Der CISO und seine Leute haben es verboten, sie sind schuld.
Besser wäre es, der CISO würde auf die Frage antworten: "Was muss ich tun, damit meine Lösung oder mein Vorgang sicher ist?" Dann ist der CISO in der Enabler-Rolle. Man tauscht sich darüber aus, was der Mitarbeiter macht, unter welchen Rahmenbedingungen und wie sich Risiken erkennen und mindern lassen. Anstatt Ja oder Nein zu sagen, ist es nachhaltiger, sich mit der Frage zu beschäftigen, was notwendig ist, um einen Vorgang sicher abzubilden.
Zum Schluss zu einem persönlichen Thema: Verschiedene Studien zeigen, dass CISOs einen wahnsinnigen Druck aushalten müssen. Das betrifft ihre Arbeitslast, vor allem aber ihre große Verantwortung. Nicht wenige halten das nicht aus und landen im Burnout…
Topp: Ich würde den Stressfaktor nicht unbedingt an der Funktion des CISO festmachen. Wir haben natürlich alle viel zu tun, aber es gibt immer Menschen, die mehr Stress empfinden als andere. Im Übrigen müssen die meisten CISOs nicht haften, wenn etwas passiert. Wenn sie Mitglieder des Vorstands sind, ist das allerdings sicher nochmal etwas anderes.
Kleinfeld: Sicherheitsvorfälle passieren, das können wir nie ganz verhindern. Wer diese Möglichkeit als zu großen Druck empfindet, ist möglicherweise nicht im richtigen Job. Es ist wichtig, im Fall der Fälle Ruhe zu bewahren, denn irgendwann wird er eintreten. Dann muss man gut vorbereitet sein und mit großer Sachlichkeit agieren. Für CISOs geht es auch darum, im eigenen Team eine Fehlerkultur zu entwickeln und Handlungssicherheit zu erzeugen. (hv/jm)