27 Mit den richtigen Fakten die richtigen Entscheidungen zur Cyber-Sicherheit treffen Mischel Kwon – Gründer und Chief Executive Officer, MKACyber Sicherheit – eine Evolutionsgeschichte. Manch- Klassische Unternehmensentscheidungen mal fällt es Cyber-Sicherheitsexperten nicht werden in der Regel auf der Grundlage analy- leicht, die Geschichte über Risiken und Bedro- sierter Fakten getroffen. Seit Jahren behaup- hungen zu erzählen, denn sie ist kompliziert. ten IT-Sicherheitsmitarbeiter, dass dies nahezu Erschwerend kommt noch hinzu, dass wir an unmöglich ist. Statt sinnvolle Maßnahmen und Führungskräfte im gesamten Unternehmen aussagekräftige Metriken bereitzustellen, haben berichten müssen, die alle über ein unterschied- wir Geschichten über Gegner und Angriffe liches technisches Verständnis verfügen und von- erzählt. Dieser Teil der Geschichte ist zweifellos einander abweichende Prioritäten in Sachen wichtig. Dennoch hilft er Unternehmen nicht zu Unternehmensführung verfolgen. verstehen, wie die richtigen Entscheidungen im Zusammenhang mit Cyber-Sicherheit getroffen Allzu häufig und ausgiebig haben Sicher- werden können. heitsbeauftragte in Unternehmen mit ihren Geschichten und Berichten Angst und Sorge Die Geschäftsführung benötigt von Sicher- geschürt – oder auch von „richtig“ und „falsch“ heitsmitarbeitern reale, aussagekräftige Fakten oder „schwarz“ und „weiß“ gesprochen. Verste- statt Beschreibungen, wie schlimm die jewei- hen Sie mich nicht falsch: Die Geschichte ist tat- lige Malware ist, aus welchem Land sie stammt sächlich oft beängstigend. Aber dieser Ansatz ist oder welche Handlung des betroffenen Nutzers gescheitert, weil er die guten, analytischen Denk- letztlich zur Infektion geführt hat. Statistiken aus weisen und Ideen des IT-Sicherheitsteams isoliert dem Bereich IT und Sicherheit müssen so ana- und damit intelligente Personen aus wichtigen lysiert und präsentiert werden, dass Mitglieder geschäftlichen Diskussionen ausgeschlossen hat. der Führungsebene die Risiken erkennen und verstehen. Subjektiv getroffene Sicherheitsent- Uns ist bewusst, dass Sicherheitsexperten in scheidungen müssen wirklich objektiven Ideen, Zukunft auf andere Weise mit Unternehmens- Programmen und Richtlinien weichen, basie- leitern und anderen Führungskräften reden rend auf messbaren Bedrohungen und Risiken müssen, um deren Vertrauen zu gewinnen – und so dargestellt, dass sie für die Unterneh- denn dies ist eine entscheidende Voraussetzung mensleitung verständlich und einleuchtend sind. für die Cyber-Sicherheit eines Unternehmens. Als Mitarbeiter in der IT-Sicherheit tragen wir Weshalb wird dies nicht längst so gemacht? maßgeblich zur digitalen Transformation von Leitende IT-Sicherheitsverantwortliche konzent- Unternehmen und zur Einführung neuer digita- rierten sich bisher in ihren Berichten an Kollegen ler Einnahmequellen bei. Wir müssen daher an aus nicht technischen Bereichen auf eine eher dieser Konversation teilhaben. Voraussetzung für belehrende und aufklärende Information. Es die Effektivität dieser Gespräche ist ein evidenz- fehlte jedoch an den erforderlichen Daten, um basierter Ansatz. 187
Cyber-Sicherheit durch geeignete Kennzahlen und Zahlen hervorbringen, die Cyber-Sicher- „messbar“ zu machen. Aber die Zeiten ändern heit messbar machen und es ermöglichen, durch sich. Heute sind unsere IT-Systeme, die sich häu- geeignete Kennzahlen endlich den Nachweis fig nicht einmal innerhalb unserer Netzwerke, und die erforderlichen Belege für ein faktenba- sondern in der Cloud befinden, für das Unter- siertes Reporting zu erbringen – so wie wir es aus nehmen und die geschäftlichen Abläufe wichti- Geschäftsberichten seit Langem gewohnt sind. ger denn je. Sie sind das Rückgrat der digitalen Umsätze. Sowohl die Verantwortlichkeiten des Sicherheitsverantwortliche, die diese Grund- Chief Information Officers (CIO) als auch die struktur annehmen, folgen damit dem Beispiel des Chief Information Security Officers (CISO) ihrer Kollegen aus geschäftlichen Bereichen: haben sich verändert. Während beide früher vor- Sie versuchen Mitgliedern der Führungsebene wiegend für die Bereitstellung von Informatio- genau die Informationen und Fakten bereitzu- nen verantwortlich waren, tragen sie in ihren stellen, die diese erwarten und benötigen, um das heutigen Rollen zu Geschäftsumsätzen und jeweilige Unternehmensrisiko zu verstehen. Wer- Gewinnen bei. Parallel zu diesem Rollenwechsel fen wir beispielsweise einen Blick auf die Rolle muss sich auch ändern, wie die geleisteten bezie- des CFO (Chief Financial Officer). CFOs nut- hungsweise die noch zu leistenden Arbeiten des zen Kennzahlen, um über Liquidität, Produkti- Sicherheitsteams präsentiert werden. vität und Rentabilität zu berichten. Wie können wir als IT-Sicherheitsexperten ein vergleichbares IT-Sicherheitsverantwortliche müssen ihre faktenbasiertes Bild der Cyber-Sicherheit präsen- Ansätze standardisieren, um Cyber-Fakten und tieren? Liquidität bedeutet für einen Finanzex- -Trends verständlich darzustellen. Dies gelingt perten vor allem der aktuelle Stand an liquiden nur mithilfe einer strukturierten Reporting-Me- Mitteln. Beim Leiten eines Unternehmens lautet thode. Es wird immer seltener notwendig sein, die oberste Devise: „Cash is King.“ Im übertra- beängstigende Geschichten zu erzählen und genen Sinne bedeutet dies für die Cyber-Sicher- kontinuierlich aufzuklären oder den „erzieheri- heit: Wenn wir über den Stand der Technik schen Zeigefinger“ zu erheben. Schon bald wird reden, haben Daten oberste Priorität – ganz nach man allgemein erwarten, dass sich Cyber-Sicher- dem Motto „Data is King“. Sicherheitsausga- heitsberichte nahezu ausschließlich auf die Sys- ben können über den Anwendungsfall zur Spra- teme, Menschen und Daten konzentrieren, die che gebracht werden, indem veranschaulicht stark gefährdet sind. Meldungen müssen mög- wird, wie die getätigten Ausgaben für Technik lichst faktenbasiert und neutral als Anwen- und Personal bestimmte Sicherheitsfunktionen dungsfälle dargestellt werden, statt emotional verbessern oder das Risiko verringern, das her- durch erschreckende Begriffe wie „Angriffstyp“ kömmlicherweise vor allem Compliance-orien- beschrieben zu werden. CISOs und ihre Teams tiert bewertet wurde. sollten es vermeiden, angsteinflößende Szenarien zu schildern, die für die Geschäftsmodelle und Durch die Ausrichtung all dieser Punkte, ein- Bedrohungsprofile des Unternehmens nicht rele- schließlich Sicherheitskontrollen, auf bestimmte vant sind. Anwendungsfälle, können datenbasierte Fakten in Compliance- und Risikoberichte einfließen. Sicherheitsverantwortliche und Mitglieder Dabei ist es wichtig zu verstehen, welche Anwen- der Geschäftsführung müssen diese Struktur dungsfälle sich auf welche Systeme auswirken, und Organisation der Anwendungsfälle einfüh- d. h., wie bestimmte Geschäftsbereiche und ren und durchsetzen – von der obersten Repor- -umsätze durch Cyber-Angriffe beeinflusst wer- ting-Ebene bis in die unterste Ebene, auf der den. Leitende Sicherheitsverantwortliche soll- Daten im Netzwerk gespeichert und übertragen ten also in der Lage sein, diese Zusammenhänge werden. Dies wird die Sicherheitsorganisation und Fakten verständlich darzustellen. Damit verändern, da alles auf diese Anwendungsfälle wird das Reporting von Cyber-Sicherheitsdaten ausgerichtet werden muss: das Reporting, die an die Geschäftsleitung und Vorstände wesent- Sicherheitskontrollen, Werkzeuge und Tools, lich vereinfacht und systematisiert. Es wird sehr Analystenprozesse und sogar die Daten selbst. viel deutlicher werden, dass Sicherheitsvorfälle Dieser Ansatz wird eine Fülle von Statistiken Auswirkungen auf bestimmte Geschäftsbereiche 188 Sprache
haben, welche Systeme gezielt angegriffen wer- sachliche, nüchterne und konfliktfreie Art anzu- den, welche Anwendungsfälle die meisten Prob- gehen und zu beheben. Aller Wahrscheinlichkeit leme verursachen und wo Verbesserungen erzielt nach werden einige Korrekturen an Tools, Archi- werden oder Sicherheitslücken bestehen. Die tektur und Prozessen erforderlich sein, um eine Unternehmensleitung sollte erwarten, dass der Erkennung auf der Grundlage von Anwendungs- CISO und Cyber-Sicherheitsteams in Berich- fällen zu ermöglichen. Ich empfehle daher stets, ten stets Verbesserungsvorschläge unterbrei- mit einer Roadmap für ein Projekt zur Verbesse- ten und Wege darlegen, wie Sicherheitsexperten rung der Transparenz zu beginnen. Sie können mit der IT, Rechtsabteilung und anderen Unter- dann zunächst über die Umsetzung dieser Road- nehmenssegmenten zusammenarbeiten kön- map berichten und mit zunehmendem Fortschritt nen, um diese messbaren Sicherheitsindikatoren und wachsender Erfahrung langsam Schritt für zu optimieren. Schritt damit beginnen, Roadmap-Meilensteine in Ihren Reports durch echte, Anwendungs- Natürlich birgt auch dieser Ansatz gewisse fall-basierte Sicherheitsfakten zu ersetzen. Herausforderungen. So wird es möglicherweise nicht einfach sein, Zugriff auf die Daten zu Das Nirwana ist erreicht, wenn Threat-In- erhalten, die zur Realisierung derartiger Metho- telligence und sämtliche Abwehrdaten für die den für ein objektives Reporting notwendig Sicherheitsarchitektur und das Security-Infor- sind. Darüber hinaus kann die Zuordnung die- mation-Event-Manager-(SIEM-)System nach ser verschiedenen Daten zu den entsprechenden Anwendungsfällen gekennzeichnet sind, wenn Anwendungsfällen schwierig sein. Es gibt jedoch Taktiken, Techniken und Prozeduren (TTPs) eine bewährte Methode, bekannt als „Maturity bestimmten Indikatoren für Sicherheitsrisiken Model Matrix Assessment“, mit der Cyber-Si- (Indicators of Compromise, IoCs) und – sofern cherheitsorganisationen – unter der Vorausset- erforderlich – diese wiederum den relevanten zung der entsprechenden Zugriffsberechtigungen Common-Vulnerability-Enumeration- (CVE-) – die tatsächlichen IT-Daten im richtigen Format Nummern zugeordnet werden können. Wenn und am richtigen Speicherort einsehen und ver- alles gut durchdacht und organisiert ist, kön- stehen können, um den jeweiligen Anwendungs- nen Sie die Suche nach Schwachstellen wir- fall zu identifizieren. kungsvoll priorisieren, indem Sie die relevanten und zu überwachenden Bedrohungen eingren- Wenn Sie damit beginnen, die erforderli- zen und jeder problematischen CVE-Nummer chen Daten zuzuordnen, um die Anwendungs- die geeigneten Sicherheitskontrollen zuweisen. fälle zu überwachen und deren Auswirkung auf Damit erhalten Sie ein wirklich umfassendes das Unternehmen zu bestimmen, werden Sie sehr Bild. Sobald dieses Mapping erfolgreich abge- bald feststellen, dass Ihnen der Zugriff auf einige schlossen ist, sind Sie in der Lage, die entspre- notwendige Daten fehlt und dass Ihre Tools nicht chenden Statistiken und Kennzahlen abzurufen. immer in der Lage sind, die aus der Security-Per- Damit haben Sie ein neues Ziel erreicht: opera- spektive erforderlichen Zuordnungen zu leisten. tive Compliance. Sehen Sie dies positiv. Beherzigen Sie das Sprich- wort „Nicht alles, was glänzt, ist Gold“ und hören Anwendungsfälle liefern Ihnen wahre Leis- Sie auf, leichtfertig viel Geld für die neuesten und tungskennzahlen – und damit belegbare Fakten. vermeintlich besten Tools auszugeben – ein wun- Und diese Kennzahlen werden nicht durch Prü- derbarer Nebeneffekt, der sich aus der gemeinsa- fungen, Audits oder Gespräche generiert, sondern men Organisation und Ausrichtung von IT und durch die Analyse objektiver Daten. Idealerweise Sicherheitsdaten ergibt. Möglicherweise hat die verfügen Sie über ein Dashboard, auf dem Sys- Unternehmensleitung diese Daten bereits schon temhygiene, Unternehmensrisiko und identifi- früher von Ihrer IT-Organisation angefordert, zierte Anwendungsfälle angezeigt werden. Damit aber vergeblich darauf gewartet, weil die Archi- sehen Sie auf einen Blick, wo Verbesserungsbe- tektur der Systeme es nicht ermöglichte, diese darf und Schwachstellen bestehen, da Fortschritte Anwendungsfälle zu erkennen. im Zeitverlauf dargestellt werden. Dieses Bewertungsmodell ist nahezu per- In unserer neuen, rechenzentrumsgesteuer- fekt, um die beschriebenen Probleme auf eine ten Welt kann es mitunter schwierig sein, einen konstanten Zugriff auf die erforderlichen Daten Mit den richtigen Fakten die richtigen Entscheidungen zur Cyber-Sicherheit treffen 189
sicherzustellen, da sich moderne IT-Infrastruk- höchster Priorität konzentrieren können. Über turen stark von herkömmlichen Umgebungen das Bewertungsmodell hätten die Daten aus mit intern verwalteten Unternehmensnetzwer- dem SIEM-System dann den Anwendungsfällen ken unterscheiden. Diese Art der Ressourcen- zugeordnet werden können. So wäre ersichtlich verteilung in modernen Unternehmen ist eine geworden, wo kritische Daten fehlen. Zusam- Herausforderung und macht Sicherheit heute men mit dem Team des CIO hätten alle Tools mehr denn je zu einer „Teamsportart“, bei und die aktuelle Architektur überprüft wer- der Cyber-Sicherheitsexperten eng mit ande- den sollen, um eine Roadmap zur umfassenden ren Unternehmenseinheiten zusammenarbeiten Überwachung von Anwendungsfällen zu erarbei- müssen, um eine angemessene Netzwerktranspa- ten. Durch die neue Ausrichtung der Tools und renz sicherzustellen. Das oben erwähnte Bewer- Technologien zur Unterstützung von Anwen- tungsmodell sollte daher regelmäßig angewendet dungsfällen hätten sich unweigerlich enorme werden, wobei Sie – nach meinen Empfehlun- Einsparungen ergeben. CIO und CISO könn- gen möglichst vierteljährlich – Ihren Zugriff auf ten zusammen an der Optimierung von Archi- die sich ständig erweiternde Palette von Tech- tektur und Tools arbeiten, um die Transparenz, nologien des Unternehmens kontinuierlich neu Erkennung und Messbarkeit der erforderlichen bewerten. Dabei ist es unabhängig davon, ob es Kennzahlen zu verbessern. Bis zum Erreichen des sich um lokale Installationen, Cloud-Lösungen Roadmap-Ziels – also faktenbasierten Reports zu oder irgendwelche Unternehmensanwendungen klar definierten Anwendungsfällen – könnte das handelt, die von Dritten speziell für Ihr Unter- Duo über Fortschritte und Architekturverbesse- nehmen entwickelt wurden. rungen berichten. Nehmen wir das hypothetische Beispiel einer Sobald das Sicherheitsteam zu einer Anwen- Gesundheitsorganisation – ein Zusammenschluss dungsfall-basierten Erkennung in der Lage ist, aus Krankenhäusern, Forschungseinrichtung, könnte nicht nur darüber berichtet werden, wel- medizinischer Versorgung und Ausbildung. che Risiken erfolgreich erkannt werden, sondern Diese Einheiten berichten über risikoreiche auch darüber, wo Lücken bestehen. Damit ent- Anwendungsfälle wie Ransomware, das Heraus- steht ein Gesamtbild, das Fähigkeiten und Leis- schleusen von Daten, verteilte Denial-of-Ser- tungen, aber auch Verbesserungsbedarf deutlich vice-Angriffe (DDoS), Phishing und Malware. macht. Sollte mangelnde Transparenz die Erken- Alle vier Unternehmenszweige verfügen über ein nungsfunktion behindern, könnte dies im gemeinsames Netzwerk. Es gibt keine Segmen- Ereignis-Ticketing-System erfasst werden, um tierung und Vorfälle werden basierend auf War- Statistiken zu diesen Schwachstellen zu führen. nungen des Angriffserkennungssystems (IDS) Diese Daten könnten dann sinnvoll in Reports erkannt. In der Menge unzähliger Health-In- zur Erkennungsfunktion einfließen. Sobald das formation-Portability-and Privacy-Act-(HIPPA-) Mapping der Ergebnisse aus Schwachstellen- Meldungen, die in keinem Zusammenhang mit suchen mit den Indikatoren für Sicherheitsrisi- den tatsächlichen Vorfällen stehen, bleiben wirk- ken, CVE-Nummern und Sicherheitskontrollen liche Risiken unerkannt. Die Situation scheint abgeschlossen ist, könnte auch der Schwerpunkt aussichtslos – ein nicht zu gewinnender Kampf, von Audits geändert werden, indem Fälle priori- der dem oder der CISO letztendlich „den Kopf siert werden, die hochriskant sind und besonders kosten wird“. Wir haben von derartigen Fällen dringend behoben werden müssen. schon häufig gehört oder sie sogar selbst erlebt. Schließlich würden auch in unserem obi- Der erste wichtige Schritt hätte hier sein gen Beispiel die Daten für das Reporting aus der müssen, die Anwendungsfälle zu identifizieren. tatsächlichen Funktion der Organisation stam- Danach wäre es sinnvoll gewesen, die Ergebnisse men. Eine Festlegung der Anwendungsfälle und der Schwachstellensuchen zu überprüfen und die unternehmensweite Ausrichtung der Ziele den Indikatoren für Sicherheitsrisiken zuzuord- erlaubt ein klares und aussagekräftiges Reporting nen, die in Verbindung mit den zu identifizieren- auf allen Ebenen der Organisation, basierend den Anwendungsfällen stehen. Damit hätte sich auf Fakten, Daten, Statistiken, Kennzahlen das Sicherheitsteam auf die Anwendungsfälle mit und Verbesserung. 190 Sprache
Mit der Zeit würde unsere hypothetische sehr viel mehr als um reines Reporting und das Gesundheitsorganisation zahlreiche Vorteile Erbringen von Nachweisen. Es geht vielmehr haben. Die verbesserte Architektur könnte all- darum, das gesamte Unternehmen einheitlich mählich zu einem optimal segmentierten Netz- auszurichten, Sicherheit strukturiert zu orga- werk führen. Gewisse Geschäftsaspekte könnten nisieren und sicherzustellen, dass erforderliche in die Cloud verlagert werden. Die verschiede- Daten für das Sicherheitsteam verfügbar sind, nen Bereiche würden als Team zusammenarbei- damit faktenbasierte und wirksame Verbesse- ten und das Geschäft unterstützen, während sich rungs- und Beseitigungsempfehlungen gegeben gleichzeitig die Ausgaben für IT und Sicherheits- werden können. Der erfreuliche Nebeneffekt tools erfolgreich verringern würden. Darüber besteht darin, dass die Unternehmensleitung hinaus wäre ein gemeinsames Reporting an den darauf vertrauen kann, die richtigen Cyber-Si- Vorstand in Form eines einzigen, umfassenden cherheitsentscheidungen zur Förderung der digi- Technologieberichts möglich. talen Geschäfte zu treffen – basierend auf echten, messbaren Daten. Bei dieser Geschichte geht es tatsächlich um Mit den richtigen Fakten die richtigen Entscheidungen zur Cyber-Sicherheit treffen 191
192 Sprache
28 Empathie und Vertrauen zwischen CISOs und dem Vorstand schaffen Brad Arkin – Vice President und Chief Security Officer, Adobe Das Merkmal einer ausgezeichneten Beziehung heitsvorfall ein. Wer wird dies den Mitgliedern ist gegenseitiges Vertrauen. Dies gilt unabhängig der obersten Führungsebene erklären? Mögli- davon, ob wir über geschäftliche, geopolitische cherweise werden so einfache Fragen gestellt wie: oder persönliche Beziehungen sprechen. Ver- „Haben Sie alle Server überprüft, um sicherzu- trauen ist die Basis jeder Beziehung und die Vor- stellen, dass alles seine Richtigkeit hat?“ An die- aussetzung dafür, die anfängliche Beziehung zu ser Stelle müsste der Sicherheitsverantwortli- festigen und auszubauen. Dafür ist es entschei- che geduldig erläutern, dass es Hunderttausende dend, dass alle Parteien Empathie für die Gefühle von Servern gibt, die weltweit verteilt sind, und und Bedürfnisse des anderen entwickeln. Was dass sich in einem Excel-Tabellenblatt höchstens glauben Sie? Wie würden Verhandlungen zwi- bis zu ca. 64.000 Zellen öffnen lassen. Damit schen Geschäftspartnern ganz ohne Empathie sich das erforderliche Einfühlungsvermögen und wohl verlaufen? Oder zwischen Ehepartnern? gegenseitiges Verständnis entwickeln kann, soll- ten Sicherheitsexperten versuchen, die Kluft zwi- Dasselbe gilt für die Cyber-Sicherheit. Hier schen dem tatsächlichen und dem erforderlichen hängt der Erfolg oder Misserfolg von Anstren- Wissensstand der Unternehmensleitung zu über- gungen und Initiativen häufig von der Bezie- brücken. Nur so wird es möglich sein, fundierte hung zwischen CISO und den Kollegen aus dem und intelligente Entscheidungen gemeinsam zu Unternehmen ab, insbesondere denen auf Füh- treffen. Wenn wir keinen Weg finden, um gewisse rungs- und Vorstandsebene. Denn Technologien Wissens- und Sprachbarrieren zu überwinden, kommen und gehen, Bedrohungen entwickeln werden wir keinen Ausweg aus diesem Sumpf aus sich weiter und Strategien werden häufig ange- Misstrauen und Missverständnissen finden. passt an neue Schwachstellen und dynamische Geschäftsprioritäten. Führungskräfte aus nicht technischen Geschäftsbereichen sind mit technischen Details Aber ohne eine offene, aufrichtige Kommu- leicht überfordert. Es ist daher häufig besser, nikation zwischen Führungskräften aus IT und technische Diskussionen zu vermeiden. Eine anderen Geschäftsbereichen kann sich Empathie Alternative ist die Verwendung von Analogien, unmöglich entwickeln. Und ohne eine empathi- bei denen technisch Unbekanntes durch ein sche Beziehung wird bestenfalls ein flüchtiger nicht technisches Äquivalent ersetzt wird, das Fortschritt bei den Optimierungsversuchen in Geschäftsführern und Vorständen vertraut ist. der Cyber-Sicherheit möglich sein. Was können Eine Möglichkeit, technische Security-Details wir also tun, um dem entgegenzuwirken? auszuklammern, besteht beispielsweise darin, analog dazu von einer Hausrenovierung zu spre- Brücken schlagen chen – für viele ein durchaus bekanntes Thema. Stellen Sie sich vor, es tritt ein schwerer Sicher- 193
Der Hausbesitzer muss nicht wissen, welche sich dank Empathie ein gewisses Vertrauen zwi- Werkzeuge die Bauarbeiter verwendet haben schen beiden verhandelnden Parteien – also in oder mithilfe welcher Methoden und Verfahren diesem Fall zwischen dem CISO und dem Leiter sie die Vorgaben des Bauingenieurs zum Erfüllen des Entwickler-Teams – aufgebaut hat, ist eine lokaler Bauvorschriften eingehalten haben. Der spürbare Spannung weit weniger wahrscheinlich. Bauunternehmer und sein Team müssen dem Hausbesitzer jedoch das Gefühl geben, dass die Das bedeutet nicht, dass die Entwickler und Arbeiten seinen Vorstellungen und Wünschen Techniker überhaupt nicht murren – doch sie gemäß ausgeführt wurden, zum Beispiel offene werden den CISO sicherlich nicht als einen Idio- Räume, modernes Design, mehr Stauraum usw. ten bezeichnen. Es geht also darum, das Vertrauen des Hausbesit- zers zu gewinnen und ihn davon zu überzeugen, Mangelndes Vertrauen zwischen technischen dass der Bauunternehmer seine Arbeiten ord- und nicht technischen Parteien im Zusammen- nungsgemäß und gut erledigt hat. Damit erhöht hang mit Sicherheitsaspekten droht außerdem, sich die Wahrscheinlichkeit, dass sie in Zukunft wenn es dem Sicherheitsverantwortlichen nicht weitere Geschäfte miteinander machen werden. gelingt, klar und verständlich darzustellen, wie die von ihm vorgeschlagenen Investitionen zum Nach Warnzeichen Ausschau halten Erreichen der gewünschten Geschäftsziele bei- Was passiert, wenn die Führungs- und Vor- tragen. Wenn ein CISO die Unternehmenslei- standsebene dem CISO nicht vertraut und tung um eine große Summe Geld bittet und dies bezweifelt, dass die von ihm oder ihr gewählten direkt und ausschließlich mit technischem Jar- Sicherheitsmethoden und -richtlinien geeignet gon wie „zum Reduzieren der MTTR auf Sub sind, die Unternehmensziele und Geschäfte opti- 2 h nach einer Botnet-Attacke“ begründet, ste- mal zu unterstützen? Neben einigen möglicher- hen die Chancen für eine Bewilligung eher weise unangenehmen Gesprächen führt dieses schlecht. Sehr viel erfolgversprechender ist es, Misstrauen zu Unsicherheit bei allen Beteiligten den Antrag durch eine für die Unternehmens- über den Cyber-Sicherheitsstatus des Unterneh- leitung verständliche, relevante Begründung zu mens. Häufig behindert eine solche Situation untermauern, zum Beispiel: „Die meisten gelten- notwendige Entscheidungen über Sicherheits- den Verordnungen schreiben vor, dass die Auf- budgets, Governance, Aufsichtspflichten, Com- sichtsbehörden und betroffene Parteien im Falle pliance-Probleme und rechtliche Risiken – The- einer Datenschutzverletzung benachrichtigt wer- men, in die Unternehmensleitungen nur ungern den. Daher ist es dringend erforderlich, dass wir Aufmerksamkeit, Zeit und Geld investieren. die entsprechenden Überwachungs- und Repor- ting-Tools aktualisieren.“ Noch wichtiger ist, Für Mitglieder der Geschäftsführung und dass damit langfristig der Grundstein für eine des Vorstands gibt es einige allgemeine „Warnsi- vertrauensvolle Beziehung zwischen Cyber-Si- gnale“ zu beachten. So nimmt die Geschäftsfüh- cherheit und Unternehmensleitung gelegt wird, rung möglicherweise Mitarbeiter in unterschied- weil beide Seiten eine gewisse Empathie zei- lichen Funktionen wahr, die die Richtlinien des gen. Die nicht technische Seite versteht, dass CISO ablehnen – zum Beispiel das Team aus der CISO die beantragten Gelder benötigt, um Entwicklern und Technikern, die sich gegen das Unternehmen vor Datensicherheitsverlet- die Empfehlung des CISO aussprechen, grund- zungen, rechtlichen Risiken und Rufschädigung legende Sicherheitsfunktionen in ihr neuestes zu schützen. Der CISO wiederum fühlt sich Widget zu integrieren. Die leitende Führungs- von der Unternehmensleitung verstanden und kraft ist aufgrund fehlenden technischen Hinter- nimmt wahr, dass seine oder ihre Empfehlungen grundwissens möglicherweise nicht in der Lage ernst genommen werden. zu erkennen, welche Partei Recht hat. Allein das Maß an wahrnehmbarer Spannung wird jedoch Vorstand und C-Level-Führungskräfte im Bewusstsein der Führungskraft zu einem gewinnen letztlich den Eindruck, dass der CISO bedeutenden Problem. Wenn der Sicherheits- nicht versucht, sich durch hochtrabenden Fach- verantwortliche sinnvolle Forderungen stellt und jargon die Durchsetzung seines Willens zu erschleichen, sondern mit seinen Handlungen und Forderungen engagiert und aufrichtig das 194 Sprache
Ziel verfolgt, die Geschäftsergebnisse zu verbes- wirkte es eher, als ob ich mit mir selbst sprach sern. Gelingt es nicht, der obersten Führungs- – eine Eigenart, die nicht gerade förderlich für ebene dieses positive Gefühl zu vermitteln, wird die Karriere ist oder geeignet, um Empathie sie sehr schnell zu dem Schluss kommen, dass die zu zeigen. Stelle des CISO fehlbesetzt ist. Bei einem Austausch mit CISOs erwarten Entwicklung einer empathischen Sprache Mitglieder der Unternehmensleitung, dass die und Haltung: Wichtig ist nicht nur, Sicherheitsexperten gut vorbereitet sind, d. h., was wir sagen, sondern auch, was wir tun dass sie zu jedem Punkt auf dem Laufenden sind Jeder von uns kennt den Spruch „Handlungen und sich und ihren Teammitgliedern zutrauen, sagen mehr als Worte“. Wie wir bereits festge- alle Fragen klar, präzise und in verständlicher stellt haben, sind die von uns gewählten Worte Geschäftssprache zu beantworten. Unterneh- wichtig, damit unser Gegenüber eine gewisse mensleiter sollten extrem wachsam sein, wenn Empathie wahrnehmen und sich letztlich Ver- CISOs versuchen, sich durch schwammige trauen bilden kann. Dennoch ist auch die non- und vage Aussagen vor der Beantwortung einer verbale Kommunikation von großer Bedeutung schwierigen Frage zu drücken. Für CISOs ist es – weit wichtiger, als es den meisten Menschen in einem derartigen Fall weit besser, ehrlich zu bewusst ist. antworten: „Dazu kann ich im Moment nichts sagen. Aber ich werde mich erkundigen und Sie Ein einprägsames Beispiel dafür, wie non- umgehend informieren.“ verbale Kommunikation die Absichten von CISOs stützen oder auch untergraben kann, ist Wenn der CISO ein Nervenbündel ist oder die Reporting-Struktur. Berichtet der CISO an beim Eintritt eines Sicherheitsvorfalls unsicher den CIO, heißt es: „Sicherheit ist ein techni- und extrem aufgeregt reagiert, vermittelt dies sches Problem, das man am besten uns Techni- der Geschäftsführung und dem Vorstand nicht kern überlässt.“ Berichtet er an den COO oder gerade das Gefühl, dass sie alles im Griff haben. CEO – oder bei fachlicher Unterordnung (Dot- Wie wir alle wissen, sind Unternehmenslei- ted-Line-Prinzip) an den Vorstand – macht der ter wie gute Pokerspieler: Sie suchen nach dem CISO dagegen besonderen Eindruck und erzielt kleinsten Anzeichen von Unsicherheit oder Irri- eine nachhaltige Wirkung, indem er erklärt, dass tation – stets darauf bedacht, alles im Blick zu Cyber-Sicherheit kein rein technisches, sondern haben und Bescheid zu wissen. ein geschäftliches Anliegen ist. Zudem verstärkt dies wiederum beim CISO das Gefühl und die Woran lässt sich Erfolg erkennen? Zuversicht, dass seine Pläne und Vorschläge auch Häufig sind die Merkmale einer guten Bezie- von der Unternehmensleitung verstanden und hung offensichtlich: Eine langjährige Ehe mit unterstützt werden. gegenseitigem Respekt und vielen Liebesbekun- dungen zwischen zwei Menschen, die gerne Zeit Es gibt zahlreiche weitere Formen der non- miteinander verbringen. Ein historisches Frie- verbalen Kommunikation, die Vertrauen auf- densabkommen zwischen seit Langem verfein- bauen. Governance-Strukturen, Budget-Ge- deten Ländern. Ein politischer Kompromiss, nehmigungen und finanzielle Aufsicht sind nur der parteiliche Grenzen zum Wohle des Landes einige Beispiele. Darüber hinaus gibt es einige überwindet. weniger greifbare, aber dennoch ebenso aussa- gekräftige nonverbale Ausdrucksmöglichkeiten. Vergleichbare Erfolgsmerkmale gibt es auch für den Aufbau einer vertrauensvollen Beziehung Hier bei Adobe nutzen wir den Begriff „Füh- zwischen CISO und der Unternehmensleitung – rungspräsenz“, um eine Person zu beschreiben, und einige davon sind so abstrakt wie der Begriff die Selbstvertrauen und Souveränität ausstrahlt. der Empathie. Ich wünschte, ich hätte gewusst, wie wichtig ein derartiges Auftreten ist, als ich noch ein 25-jäh- Hat ein CISO zum Beispiel erst einmal den riger Technikfreak ohne Kommunikationsfä- Respekt von Kollegen im Unternehmen und lei- higkeiten und jegliche Bereitschaft war, meine tenden Führungskräften gewonnen und dauer- Worte an die Sprache und den technischen Sach- haft sichergestellt, ist das Vertrauen, das allgemein verstand meiner Zuhörer anzupassen. Damals in die Arbeit des CISO gesetzt wird, spürbar. Dieses Vertrauen zeigt sich beispielsweise Empathie und Vertrauen zwischen CISOs und dem Vorstand schaffen 195
bei Führungskräften, die den CISO – freiwillig, Darüber hinaus gibt es noch einige allge- ohne entsprechende Anordnung des CEO – in mein anerkannte, klar definierte Kennzahlen: ihre Geschäftsmeetings oder auch in Präsenta- Wie schnell kann Ihr CISO vorhandene Bed- tionen einbeziehen, die sie gemeinsam mit dem rohungen erkennen, eine Schwachstelle abschir- CISO vor dem Vorstand halten, um die Bereit- men und das Problem beseitigen? Wie viel trägt stellung neuer Unternehmensservices vorzustel- der CISO finanziell zum Geschäftsergebnis bei, len. Wenn Vorstandsmitglieder zwei Kollegen indem er Systeme und Anwendungen am Laufen aus unterschiedlichen Fachbereichen als gut ein- hält oder sicherstellt, dass Kunden neue Services gespieltes Team erleben, die sich die Bälle gegen- vertrauensvoll nutzen? seitig zuwerfen oder die Sätze des anderen zu Ende führen, steigt automatisch ihr Vertrauen in Diese realen Zahlen und Fakten müssen den CISO und dessen Beziehung zu nicht tech- jedoch gegen andere „Soft Benefits“ abgewo- nischen Unternehmensbereichen. gen werden, die durch Maßnahmen und Aktio- nen erzielt werden, deren Wert sich nicht durch Selbstverständlich müssen CISOs jedoch Kennzahlen ausdrücken lässt. Dazu zählt zum auch konkrete Ergebnisse liefern. Sie müssen Beispiel, wie ein CISO eine Post-mortem-Ana- sicherstellen, dass das Unternehmen effektiv vor lyse nach einer Sicherheitsverletzung durch- unerwünschten Ereignissen geschützt ist. Und führt oder ob es ihm bzw. ihr gelingt, das Ent- sollte es dennoch einmal zu einem unvermeidli- wicklerteam vom Konzept „Security by Design“ chen Sicherheitsvorfall kommen, muss der CISO zu überzeugen. die richtigen Maßnahmen ergreifen, damit die Dinge nicht außer Kontrolle geraten. Die Sprache des Vertrauens – empathische Kommunikation Um solche Ergebnisse zu ermöglichen, gibt In allen Beziehungen gelangen wir an Punkte, es einige wichtige, leicht erkennbare Schritte an denen schwierige Entscheidungen getroffen und Merkmale. Sie sind Voraussetzung für den werden müssen und die Weichen für Erfolg oder Erfolg, da ohne sie das beschriebene Gefühl von Misserfolg gestellt werden. Ein Paar in finan- Vertrauen und Zuversicht nicht entstehen und ziellen Schwierigkeiten muss beispielsweise ent- wachsen kann. scheiden, an welchen Stellen Einsparungen mög- • Bringt der CISO die richtigen vernünftigen lich sind. Oder unerwartete Konflikte an der Grenze führen möglicherweise zu neuen Span- Argumente für Sicherheitsinvestitionen vor, nungen zwischen Nachbarn, die über Jahre zer- die es dem Vorstand erlauben, selbst hohe stritten waren, sich aber gerade so weit arrangiert Summen guten Gewissens zu genehmigen? hatten, dass ein friedliches Nebeneinander mög- • Werden geeignete Sicherheitsmaßnahmen lich erschien. unternehmensweit – also nicht nur im Re- chenzentrum oder im SOC – implementiert? Mit Cyber-Sicherheit verhält es sich genauso. • Verfügt der CISO über den erforderlichen Es wird immer Sicherheitsvorfälle, Datenver- Zugang und die notwendigen Verbindungen, luste, schwerwiegende Ransomware-Angriffe um Anliegen zu eskalieren? Versteht sich der und andere potenziell schädigende Ereignisse CISO nicht nur gut mit Kollegen, sondern geben, die die wahre Natur der Beziehung zwi- auch mit Mitgliedern der Geschäftsführung schen Unternehmensleitung und CISO auf den und des Vorstands? Prüfstand stellen. • Haben leitende Führungskräfte das Gefühl, den CISO „mikromanagen“ zu müssen (und Ob und wie es den jeweiligen Parteien zwar nicht nur, weil sie zwanghafte Mikro- gelingt, ein stabiles Vertrauensverhältnis aufzu- manager sind)? bauen, hängt stark von ihrer Empathiefähigkeit ab: Ja, momentan stehen die Dinge eher schlecht – aber ich vertraue dir und ich weiß, dass du mir dasselbe Vertrauen entgegenbringst. 196 Sprache
Strategie
29 Cyber-Sicherheit durch Vorbeugung und Nachhaltigkeit stärken Heather King – Chief Operating Officer, Cyber Threat Alliance Megan Stifel – Rechtsanwältin; Gründerin, Silicon Harbor Consultants; Cybersecurity Policy Director, Public Knowledge Jeder weiß, dass Naturkatastrophen unvermeid- versäumen, aus Erfahrungen und Erkenntnissen lich sind. Hurrikans, Tornados, gewaltige Über- neuer Vorfälle und Ereignisse zu lernen, werden schwemmungen, Waldbrände und andere wir immer weiter zurückfallen. extreme Wetterbedingungen treten regelmä- ßig in unterschiedlichen Schweregraden auf und In keinem anderen Fall würden wir einen die Auswirkungen für Wirtschaft, Mensch und derartigen Abwärtstrend ohne bedeutende Ver- Gesellschaft können enorm, mitunter sogar fatal änderungen akzeptieren. Wenn Unternehmens- sein. Es ist daher unerlässlich, dass Vertreter aus umsätze und -gewinne sinken, setzen wir alles allen Teilen der Gemeinschaft zusammen die Ver- daran, die finanzielle Gesundheit des Unter- antwortung dafür übernehmen, sich auf mögli- nehmens wiederherzustellen und nachhaltig zu che Bedrohungen und Gefahren vorzubereiten. sichern. Wenn in unser Haus wiederholt ein- gebrochen wird, installieren wir entweder eine Letztlich trägt eine bessere Vorbereitung Alarmanlage oder ziehen um. Und wenn sich die sämtlicher Organisationen und Einzelpersonen wirtschaftliche und soziale Situation eines Lan- zu einer stärkeren und stabileren Gemeinschaft des verschlechtert, initiieren wir eine Reihe von bei. Dabei muss jeder Einzelne vorausdenken Richtlinien und Programmen, um Bildungschan- und sich auf ein breites Spektrum an potenziel- cen, berufliche Aus- und Fortbildung, Import/ len Herausforderungen und Problemen vorbe- Export und andere Bereiche zu verbessern. reiten, damit fortlaufende, effektive Schutz- und Abwehrmaßnahmen im Falle wellenartiger Hinsichtlich Cyber-Sicherheit erkennt jedoch Katastrophen sichergestellt werden. ein Großteil von Unternehmen erst zu spät, dass sie deutlich im Rückstand sind – und viele hal- Wellenartige Katastrophen – kommt uns das ten auch dann noch an veralteten, unwirksamen, nicht aus der Cyber-Sicherheit bekannt vor? reaktionären und letztlich erfolglosen Ansätzen fest. In Unternehmen sind Datensicherheits- Wir alle müssen unsere Strategien überden- vorfälle und Eindringversuche derzeit allgemein ken, um die Cyber-Sicherheit unserer Unterneh- an der Tagesordnung. Viele Chief Information men und Communitys nachhaltig zu verbessern. Security Officers fühlen sich daher überfordert Diese Strategien müssen auf Resilienz und damit angesichts der enormen Menge an Schritten und auf den folgenden zwei Grundpfeilern basieren: Maßnahmen, die für eine bessere Vorbereitung Vorbeugung und Nachhaltigkeit. Sofern Unter- notwendig sind. nehmensleitungen in ihrem Denken die langfris- tige Planung und nachhaltige Cyber-Resilienz Es ist also höchste Zeit für eine Veränderung. nicht in den Mittelpunkt stellen und wir es 199
Vorbeugung und Nachhaltigkeit Unternehmen, die möglichen Geschäftsauswir- kungen von Cyber-Risiken zu bestimmen und Viele Unternehmen versuchen Cyber-Sicher- verbesserte Pläne zur Business-Continuity und heit noch immer durch klassischen Schutz am Reaktion auf Vorfälle einzuführen. Idealerweise Netzwerkrand zu erzielen, bei dem der Schwer- sollten diese Pläne in Schulungen und Übungen punkt auf Perimeter-Absicherung und der getestet und regelmäßig – nicht nur nach dem Abwehr von Eindringversuchen liegt. Dieser letzten Vorfall – aktualisiert werden. „Castle and Moat“-Ansatz ist jedoch veraltet. Darüber hinaus konzentrieren sich allzu viele Das Konzept der Nachhaltigkeit ist Unternehmen bei ihren Cyber-Sicherheitsmaß- untrennbar mit dem der Vorbeugung ver- nahmen auf einzelne Probleme oder die Reak- bunden, da auch hier wirkliches Engage- tion auf bestimmte Bedrohungen. Dies hat ment und Handeln gefragt ist, um den Status leider zu einer Reihe von Cyber-Sicherheitssi- und die Möglichkeiten von heute dauerhaft los oder „Stovepipes“ geführt, d. h., es wurden sicherzustellen beziehungsweise in Zukunft verschiedene bedrohungsspezifische Einzellö- sogar noch zu verbessern. Nachhaltigkeits- sungen genutzt, beispielsweise zum Schutz vor management erweitert das Zeitfenster, in dem komplexen, hartnäckigen Angriffen (Advanced ein Unternehmen Ressourcen für ein Produkt, Persistent Threats, APTs), mobiler Malware, ob Hardware, Software oder Service, aufwen- Phishing, regions- oder branchenspezifischen det – vom Moment kurz vor der Markteinfüh- Bedrohungen usw. Eindringlinge und böswillige rung bis zur Produkteinstellung. Unternehmen, Insider nutzen die Übergänge und Lücken in die Nachhaltigkeitsmanagement-Methoden ein- diesem Ansatz für ihre Zwecke. Er ist daher inef- führen, arbeiten bereichsübergreifend, um Lie- fizient, unwirksam und keineswegs nachhaltig. ferketten, Interoperabilität und Skalierung, Kundenbindung und regulatorische Compli- Angesichts dieser Missstände in der Cyber-Si- ance zu bewerten. Damit wird sichergestellt, dass cherheit müssen wir unsere Anstreng ungen und heutige Produkteinführungen zukunftsfähig sind Maßnahmen erheblich erweitern, um nicht nur und der Produktlebenszyklus klar definiert ist. unsere Netzwerke zu schützen, sondern auch unsere Produkte und Services, die von anderen Auch die Vorkehrungen für Cyber-Sicherheit Unternehmen, Organisation und Einzelperso- müssen nachhaltig geplant und verwaltet wer- nen genutzt werden. Dabei geht es nicht nur um den, um angesichts ständig neuer Bedrohungen den enormen Zuwachs von mehreren Milliarden und dynamischer Geschäftsanforderungen dau- vernetzter Geräte im IoT, sondern um fast jeden erhaften Schutz sicherzustellen. Dies erfordert Aspekt unserer modernen Arbeitswelt und die ein Umdenken, bei dem Sie Geschäftsprozesse tägliche Nutzung innovativer Interaktionstech- nicht mehr ausschließlich aus Sicht der IT-Be- nologien. Um einen erfolgreichen Strategiewech- schaffung betrachten, sondern Ihren Blickwinkel sel herbeizuführen, müssen wir außerdem auch mithilfe von umfassendem Supply-Chain-Ri- unsere Denkweise und unsere Art, Geschäfte zu sikomanagement auf Ihre gesamten Geschäfts- machen, transformieren. Statt „First to Market“ abläufe erweitern. Damit erhalten Sie mehr sollte beispielsweise die Devise „Secure to Mar- Einblick und Kontrolle, beispielsweise darü- ket“ gelten, um den Schwerpunkt auf die Ein- ber, wer Ihre Anbieter und deren Geschäftspart- führung der sichersten Produkte und Services ner sind, wie der Lebenszyklus Ihrer Produkte auf dem Markt zu legen. Im Zentrum unsere geplant ist und wie Sie diese während des gesam- Empfehlungen zur Verbesserung der Cyber-Re- ten Zeitraums unterstützen werden, einschließ- silienz stehen die Konzepte von Vorbeugung lich Schwachstellen-Management, Patching und Nachhaltigkeit. sowie Erfassung, Aufbewahrung und Nutzung von Daten. Unter Vorbeugung verstehen wir hier die Bemühungen, sich nicht nur vor aktuellen Die bittere Wahrheit ist, dass Mitglie- Cyber-Risiken zu schützen, sondern auch der der Chefetage die Cyber-Resilienz ihres mögliche zukünftige Bedrohungen vorherzu- Unternehmens in der Regel viel zu hoch ein- sagen. Zusammen helfen diese beiden Schritte schätzen. Daher sehen sie in der Entwicklung von Cyber-Sicherheitsstrategien häufig nicht 200 Strategie
dieselben großen Vorteile wie in der Erarbeitung Cyber-Sicherheitsansatz überdenken langfristiger Produkt-Roadmaps oder mehrjähri- und umgestalten ger Marktentwicklungsprogramme. Im Grunde sollten Unternehmen Cyber-Sicherheit jedoch Aus Erfahrung wissen wir, dass Informations- in diese und alle anderen Geschäftsprozesse austausch die Grundlage für die Fähigkeit eines integrieren. Unternehmensleitungen sehen in Unternehmens bildet, eine neue Cyber-Sicher- Cyber-Sicherheit oft nur den Kostenaspekt statt heitsstrategie basierend auf Vorbeugung und einer Möglichkeit, das Kundenerlebnis und die Nachhaltigkeit zu entwickeln. Kein einzelnes Mitarbeiterproduktivität zu verbessern, das Ver- Unternehmen kann allein die Auswirkungen trauen von Kunden zu erhalten oder die Unter- von Risiken in Echtzeit erkennen, darauf reagie- nehmensmarke zu schützen. ren und sie beseitigen. Ohne die Bereitschaft und das Engagement von Unternehmensleitungen, Um dieser Haltung entgegenzuwirken, müs- mit Geschäftskollegen, Partnern und sogar Wett- sen Geschäftsführer und Vorstände die allzu bewerbern zusammenzuarbeiten, um relevante vorherrschende Frage nach den Kosten von Sicherheitsinformationen gemeinsam zu nutzen, Cyber-Sicherheitsmaßnahmen durch diese Frage werden wir zunehmend weiter hinter Cyber-Kri- ersetzen: „Wie können Cyber-Sicherheitsinves- minellen zurückbleiben. titionen unsere Wettbewerbsfähigkeit und Ren- dite verbessern?“ Wir bei der Cyber Threat Alliance (CTA) sind davon überzeugt, dass der Informations- Ein derartiger Wandel erfordert einen stärker austausch die Vorbeugungsmaßnahmen und ganzheitlich ausgerichteten Cyber-Sicherheits- letztlich die Resilienz eines Unternehmens maß- ansatz, der auf Erkenntnissen und bewährten geblich unterstützt. Tatsächlich demonstriert der Erfahrungen aus anderen Fachbereichen basiert, Austausch von Informationen – ob von Mensch einschließlich der Konzepte der Vorbeugung und zu Mensch oder automatisiert und in Echtzeit – Nachhaltigkeit. Wenn wir auf alle Eventualitäten das Vertrauen eines Unternehmens in die Stärke vorbereitet sind und uns auf den langfristigen seiner eigenen Produkte und Services. Zudem Schutz des Unternehmens und seiner digitalen geht es nicht mehr darum, auf wie viele Daten Werte konzentrieren, werden wir allmählich die ein Unternehmen Zugriff hat, sondern vielmehr notwendige Kontrolle über aktuelle und zukünf- um die Frage, welchen Nutzen seine Produkte tige Herausforderungen zurückgewinnen. und Lösungen daraus ziehen können. Zuneh- mender Informationsaustausch ist außerdem Zusätzlich profitieren Unternehmen bei Ein- ein Anzeichen für die Einsicht, dass Bedrohun- führung nachhaltiger Managementmethoden gen exponentiell wachsen und Unternehmen nicht nur von höheren Gewinnen, sondern erzie- diese nicht mehr länger im Alleingang bewäl- len außerdem bessere Leistungen in Umwelt- tigen können. Vielmehr tragen wir gemeinsam schutz, sozialem Engagement und Corporate die Verantwortung, Informationen aus unseren Governance. Unternehmen, die ihre Vision um unterschiedlichsten Perspektiven auszutauschen nachhaltige Cyber-Sicherheitsmethoden erwei- und die Herausforderungen für das digitale Öko- tern, können Veränderungen in der Bedrohungs- system zusammen anzugehen. lage schneller und effektiver vorhersehen, weil ihr Cyber-Sicherheitsrahmen auf umfassender Vor- So ermöglicht die CTA über ihre Mitglieder bereitung, Agilität und der Fähigkeit beruht, ihre nahezu in Echtzeit den Austausch von aussage- Programme dynamisch an veränderte Bedingun- kräftigen Informationen über Cyber-Bedrohun- gen anzupassen. Ein nachhaltiger Cyber-Sicher- gen und -Vorfälle unter führenden Anbietern heitsansatz ermöglicht diese Resilienzmerkmale, aus der stark wettbewerbsorientierten Cyber-Si- da er sich nicht nur auf Lifecycle-, Enterprise- cherheitsbranche. Diese Anbieter haben sich in und Supply-Chain-Risikomanagement stützt, dem Bemühen, die Cyber-Sicherheit des digi- sondern auch Nutzerinteraktionen und Erfah- talen Ökosystems zu verbessern, auf freiwilliger rungen einbezieht. Basis zusammengeschlossen. Ihr gemeinsames Ziel ist es, Kunden besser auf Bedrohungen vor- zubereiten und zu schützen – und damit unsere Cyber-Sicherheit durch Vorbeugung und Nachhaltigkeit stärken 201
digitale Welt stabiler und sicherer zu machen. Sie Unter anderem sind folgende Schritte dazu alle sind davon überzeugt, dass diese Zusammen- unerlässlich: arbeit ihren Geschäftserfolg und ihre Rentabili- tät steigern und nicht schwächen wird. Darüber 1. Cyber-Sicherheit durch aktive Betei- hinaus ermöglicht der Informationsaustausch ligung der Führungsebene zu einer von CTA Analysen, mit deren Hilfe cyberkri- Top-Priorität erklären. Verschiedene minelle Aktionen gestört, gemeinsame Abwehr- Kapitel in diesem Buch erläutern, warum maßnahmen gefördert und optimiert sowie C-Level-Manager der Cyber-Sicherheit Gegner gezwungen werden, Zeit und Geld in oberste Priorität einräumen sollten. Dazu neue Infrastrukturen und Angriffsmethoden zu ist deren aktive Beteiligung jedoch entschei- investieren. dend. Dies beginnt mit Überzeugungsarbeit in Management-Meetings, Mitarbeiterver- Ein gutes Beispiel für Informationsaustausch sammlungen oder auch Berichten für bör- als wirksame Vorbeugungsmaßnahme war die sennotierte Unternehmen. Hier müssen Bedrohung „VPNFilter“ im Mai 2018. Die Talos Mitglieder der Führungsebene aktiv den Group von Cisco – zusammen mit Palo Alto hohen Stellenwert deutlich machen, den Networks, Fortinet, Check Point, McAfee und sie persönlich den Cyber-Sicherheitsbe- Symantec eins der CTA-Gründungsmitglieder drohungen des Unternehmens beimessen, – benachrichtigte CTA über die VPNFilter-Be- und erklären, durch welche Vorbeugungs- drohung, die sich gegen Netzwerkgeräte weltweit und Nachhaltigkeitsmaßnahmen sie das richtete, und teilte die entsprechenden Analysen Unternehmen schützen – sowohl während und Malware-Exemplare mit CTA-Mitgliedern. eines Sicherheitsvorfalls als auch bei der Durch den Informationsaustausch über CTA Markteinführung von Produkten und Ser- waren alle CTA-Mitglieder in der Lage, zeit- vices. Wenn die Unternehmensleitung ein nah entsprechende Schutz- und Beseitigungs- Thema priorisiert und sich aktiv dafür ein- maßnahmen für Kunden zu entwickeln und die setzt, so verleiht dies dem jeweiligen Anlie- Bedrohung schnell erfolgreich zu bekämpfen. gen eine gewisse Dringlichkeit – eine uns allen bekannte Beobachtung. Wie Megan Stifel in „Securing the Modern Economy: Transforming Cybersecurity Through 2. Cyber-Sicherheit intuitiv in tägliche Sustainability“ schreibt, wird die Nutzung von Geschäftsabläufe integrieren. Unterneh- Technologien sowohl zum Ausführen aufgaben- men sollten Möglichkeiten zur Fortbildung kritischer als auch routinemäßiger Arbeiten im und Stärkung des Sicherheitsbewusstseins Unternehmen, zu Hause und in unseren Gemein- am Arbeitsplatz maximieren, sodass Mitar- den kontinuierlich und rasant zunehmen. Ohne beiter das Unternehmen bei der Ausübung eine engagierte Förderung strukturierter Vor- ihrer Aufgaben besser schützen und verste- beugungs- und Nachhaltigkeitskonzepte werden hen, wie sie eigene digitale Risiken auch Unternehmen, Einzelpersonen und das gesamte privat verringern können. Darüber hin- Internet-Ökosystem einem immer größeren aus sollten Unternehmen von Softwarean- Risiko ausgesetzt sein, da wir zunehmend mehr bietern fordern, dass diese die Sicherheit öffentliche Informationssicherheitsprobleme ihrer Entwicklungsprozesse nachweisen, erleben werden. „Das Vertrauen der Öffentlich- möglichst unterstützt durch eine Soft- keit in Technologien hängt wesentlich von der ware-Stückliste. Des Weiteren müssen die Entschlossenheit und Fähigkeit aller Beteiligten Erwartungen, die ein Unternehmen im ab, Cyber-Sicherheit aufrechtzuerhalten.“1 Bezug auf Cyber-Sicherheit an seine Mit- arbeiter stellt, klar und deutlich kommuni- Geschäftsführung und Vorstand von Unter- ziert werden. Dazu zählt die Durchsetzung nehmen, die einen Cyber-Sicherheitsansatz von Best Practices in der Unternehmens- basierend auf Vorbeugung und Nachhaltig- umgebung und das Einhalten bestimm- keit erfolgreich umsetzen möchten, müssen sich ter Richtlinien zur Produktverteilung. gegenseitig dazu anhalten, grundlegende Vorstel- Ebenso wichtig ist es, Mitarbeiter dazu lungen und Konzepte zur Technologienutzung und Cyber-Sicherheitsresilienz zu überdenken. 202 Strategie
anzuhalten, auch privat entsprechende und Prozesse dynamisch anzupassen. Tech- Verhaltensweisen anzuwenden. Unterneh- nologiebeschaffung und Security-Pläne men können „Cyber-Bürger“-Programme müssen unter Mitwirkung aller Geschäfts- entwickeln, um Methoden wie Zwei-Fak- funktionen im Unternehmen – also nicht tor-Authentifizierung oder die Nutzung nur vom CISO – entwickelt werden. Ach- von Passwort-Managern zu unterstützen ten Sie außerdem darauf, Upgrade- und und Verhaltensweisen wie bewusstes Kli- Patch-Möglichkeiten für Produkte und cken zum Schutz vor verdächtigen Links Services in derartige „Untergangsszenarien“ und Vorsicht beim Posten privater Infor- zu integrieren. mationen wie Statusmeldungen zur eige- 5. Aktives Mitglied in (mindestens) einer nen Person oder zu Familienmitgliedern Organisation für Informationsaustausch (z. B. begrenzte Kommunikation über Rei- werden. Unternehmensleitungen müssen sen usw.) zu fördern. häufig gegen ihre naturgemäße Abneigung ankämpfen, Informationen an andere wei- 3. Cyber-Sicherheit als Grundlage aller terzugeben. Wie jedoch bereits erwähnt, Geschäftsabläufe erkennen und etablie- ist diese Abneigung in der sich rasant ent- ren. Wie Siân John von Microsoft in die- wickelnden Cyber-Sicherheitslandschaft sem Buch betont, ist Sicherheit kein IT-, nicht länger tragbar. Sie sollten daher etwas sondern ein Geschäftsproblem. Ein opti- Zeit investieren, um Best Practices zum males Risikomanagement-Framework Austausch und zur gemeinsamen Nut- integriert daher technische Lösungen mit zung von Sicherheitsinformationen ken- perfekter Ausrichtung auf die jeweili- nenzulernen, denn der Alleingang ist keine gen Geschäftsziele. Die Priorisierung von Option mehr. Sherri Ramsay drückt dies Sicherheit bei allen Unternehmensabläu- in ihrem Kapitel deutlich aus: „Wenn die fen stärkt das Vertrauen in die Entwick- ‚Bösen‘ zusammenarbeiten, warum tun die lungsprozesse. Das Resultat sind bessere ‚Guten‘ das nicht auch?“ Produkte und Services, die die Marke unterstützen und letztlich zu gesteiger- Zweifellos erfordert diese Art eines umfas- ten Umsätzen beitragen. Gelingt es nicht, senden, integrierten und bewussten Wandels Sicherheit unternehmensweit zu integrie- in der Denkweise und den Ansätzen rund um ren, droht dem Unternehmen der Verlust die Geschäftsanforderungen die Unterstützung von Vertraulichkeit, Integrität, Präzision und aktive Beteiligung jedes Führungsteams im und Authentizität der Unternehmensinfor- Unternehmen – vom Büro des Abteilungsleiters mationen sowie der umsatzkritischen Pro- bis zur Vorstandsetage. Wir haben hier nicht nur dukte und Anwendungen. versucht, das Bewusstsein für die Notwendigkeit aktiverer und durchgängiger Cyber-Sicherheits- 4. Cyber-Sicherheitsplanung durch methoden zu stärken, sondern auch praktische Worst-Case-Szenarien ergänzen. Berück- Verfahren vorgestellt, mit denen Unterneh- sichtigen Sie bei der Einschätzung von men aktuell vorherrschende Vorstellungen und Cyber-Sicherheitsrisiken nicht nur das Ansätze überdenken können, um eine höhere Unternehmensnetzwerk, sondern auch Cyber-Resilienz auf der Grundlage von Vorbeu- alle damit verbundenen Aspekte (Anbieter, gung und Nachhaltigkeit zu erzielen. Für Mit- Mitarbeiter, Energieversorgung, physische glieder der Geschäftsführung und des Vorstands Strukturen). Wir empfehlen die Imple- ist dieses Umdenken unerlässlich – nur so wird mentierung des Cyber Security Frame- verhindert, dass enorme Ressourcen in einen works vom National Institute for Standards Sicherheitsansatz investiert werden, der einer and Technology (NIST) für ein umfassen- permanenten Aufholjagd gleicht, bei der Unter- des Enterprise Risk Management (ERM). nehmen vergeblich versuchen, ihren Rückstand Darüber hinaus sollten Sie Reaktions- und zu den „Bösen“ wettzumachen. Business-Continuity-Pläne entwickeln und entsprechende regelmäßige Übun- gen durchführen, um Pläne, Richtlinien Cyber-Sicherheit durch Vorbeugung und Nachhaltigkeit stärken 203
Fazit Anbietern und Dritten integrieren, erzielen Zu häufig halten Unternehmensleiter an wir bedeutende Fortschritte in Richtung eines aktiven, analytischen und selbstverstärkenden dem veralteten „Castle and Moat“-Ansatz fest Cyber-Sicherheitsprofils mit deutlich höhe- und scheitern bei dem Versuch, Cyber-Sicher- rer Resilienz. Die Situation ist vergleichbar mit heit durch klassischen Perimeter-Schutz zu den Vorbereitungen auf eine extreme Wettersi- erreichen. Die Modernisierung dieser Philoso- tuation. Je mehr Sie planen und je mehr Maß- phie durch die in diesem Kapitel vorgestellten nahmen Sie ergreifen – nicht nur zur Behebung Vorbeugungs- und Nachhaltigkeitsprinzipien einmaliger Vorfälle, sondern zur langfristigen ist unerlässlich, weil Führungskräfte damit Optimierung der Cyber-Sicherheit –, umso „um die Ecke schauen“ und die Auswirkungen mehr Routine werden Sie gewinnen und umso bestehender und zukünftiger Bedrohungen auf erfolgreicher wird Ihr Unternehmen Cyber-Ri- Geschäftsabläufe vorhersagen können. siken bewältigen und folglich auch seine Mission erfüllen. Indem wir diese neuen Ideen und Konzepte zunehmend in unsere Diskussionen und Inter- aktionen mit Kunden, Investoren, Mitarbeitern, 1 „Securing the Modern Economy“, Public Knowledge, April 2018 204 Strategie
30 In der Frage „Und weiter?“ steckt Weisheit – nutzen wir sie Gary McAlum – Chief Security Officer und Senior Vice President für Enterprise Security, United Services Automobile Association Cyber-Angriffe werden zunehmend häufiger, Ihres CISO oder CIO ignorieren oder gar gering technologisch ausgereifter und folgenschwerer. schätzen sollen oder deren Forderungen nach Unternehmen müssen daher einen praktikablen begründeten und möglicherweise erheblichen Ansatz verfolgen, um in einer ungewissen und Erhöhungen des Sicherheitsbudgets einfach unsicheren Zukunft zu bestehen. abtun sollten. „Und weiter?“ soll vielmehr eine Reihe von Fragen einleiten, die angemessen Viele Geschäftsführer und Vorstands- erörtert und beantwortet werden müssen. So mitglieder berufen daher Meetings mit ihrem wichtig Technologielösungen auch sein mögen, Chief Information Security Officer (CISO) um die Cyber-Sicherheit zu verbessern – für und anderen leitenden IT-Führungskräften die Unternehmensleitung ist es wesentlich, ein, um finanzielle Investitionen und Ände- sich auf die betrieblichen Auswirkungen von rungen an Geschäftsprozessen zu besprechen. Cyber-Sicherheitsproblemen zu konzentrieren Allzu häufig sind diese Diskussionen von tech- und die technischen Aspekte in einem geschäft- nischen Schlagwörtern und Termini durchsetzt lichen Kontext zu betrachten. wie Intrusion Detection Systems, UEBA, Multi- • Wie wirkt sich diese Bedrohung auf unsere Faktor-Authentifizierung, Next Generation Firewalls, Netzwerksegmentierung und maschi- Geschäfte aus bzw. welche Auswirkungen nelles Lernen. Ihre führenden IT- und Sicher- könnte sie haben? heitsexperten werden Sie zweifellos mit ihrem • Auf welche Weise sind unsere Kunden und umfassenden technischen Fachwissen beein- Partner davon betroffen? drucken und Ihnen eine Reihe von Lösungen für • Welche Auswirkungen haben die den „Perimeterschutz“ und die Implementierung Bedrohungen auf finanzielle, operative, regu- von „MLS-Frameworks“ empfehlen. Und jeder latorische und rechtliche Aspekte beziehungs- Anbieter verfügt natürlich über das letzte noch weise auf die Marke des Unternehmens? fehlende Puzzleteil, um Ihr Inventar an Sicher- • Wie ist unsere derzeitige Risikolage? Was ist heitstechnologien komplett zu machen und Ihre unser Restrisiko? gesamten Probleme zu lösen. • Woran erkennen wir, ob wir unsere wichtigs- ten Werte zuverlässig schützen? Wenn all diese Schlagwörter durch den • Wie können wir „um die Ecke schauen“, um Raum fliegen und Abkürzungen die Diskussion beherrschen, sollten Sie mit dieser einfachen Frage reagieren: „Und weiter?“ Damit meine ich nicht, dass Sie die Expertise 205
zukünftige Bedrohungen vorherzusagen? technischen Aspekten zu Botnets vorlegte, zum • Und schließlich die vielleicht schwierigste Beispiel wie sie entstehen und was sie bewirken. Es gab zahlreiche Details zu den verschiedenen Frage von allen: Wie lässt sich der Erfolg DDoS-Angriffen: UDP Flood, Ping of Death, messen? Mit anderen Worten: „Und weiter?“ NTP-Verstärkung, HTTP Flood usw. Was die beziehungsweise „Was genau bedeutet das Präsentation jedoch nicht beinhaltete, war eine für unser Unternehmen?“ Antwort auf die wesentliche Frage: „Und wei- ter?“ im Sinne von „Was nun?“. Im Wesentlichen Wie wir bei USAA gelernt haben, machten wir mit dieser Art von Präsentation was „Und weiter?“ bedeutet dem Vorstand also klar, wie die Uhr funktio- Vor einigen Jahren wurde die Finanzdienst- nierte, aber nicht, wie spät es war. leistungsbranche angegriffen – nicht von mas- kierten Bankräubern, die im Dunkeln heimlich Natürlich wäre es einfacher für mich gewesen, unsere Tresore ausräumten oder blitzartig und meinem Team ausdrückliche Anweisungen zu gewaltbereit unsere Filialen überfielen. Nein, geben, insbesondere angesichts der Dringlich- es handelte sich vielmehr um einen Cyber-An- keit der Situation. Ich hielt es jedoch für ent- griff – genauer gesagt um einen DDoS-Angriff scheidend, dass das Team sehen und „fühlen“ (Distributed Denial-of-Service), der sich gegen konnte, was es bedeutet, nicht die richtigen Finanzdienstleister in den USA richtete. Der Informationen im richtigen Kontext bereitzu- Vorfall verursachte ein wahres Chaos. stellen. Ich forderte einige der Führungskräfte innerhalb meiner Gruppe auf, mit Geschäfts- Offensichtlich war keins der Finanzunter- teams zu sprechen, um zu erfahren, welche nehmen dagegen gewappnet, einschließlich des Auswirkungen ein Internet-Ausfall für ca. acht Unternehmens, in dem ich zu der Zeit arbei- Stunden im Hinblick auf Finanzen, betrieb- tete. Tatsächlich waren wir zweimal betroffen. liche Abläufe und den Ruf des Unternehmens Und glauben Sie mir: Dass wir ein großes Unter- hätte. Als Auftakt für diese Mission schlug ich nehmen waren, machte es uns nicht einfacher. die Business-Continuity-Experten vor, da deren Geschäftsauswirkungsanalysen eine maßgebliche Als die erste Angriffswelle Unternehmen in Datenquelle wären. der gesamten Branche traf, war dies ein ernst zu nehmendes Warnzeichen. Die Presse begann, Und mein Team hat wirklich daraus gelernt! über die Angriffe zu berichten, sodass jeden Im zweiten Versuch erstellten sie eine kurze, prä- Tag mehr Informationen an die Öffentlich- gnante und geschäftsorientierte Präsentation keit gelangten und Furcht, Unsicherheit und mit wenigen technischen Details, aber mit den Zweifel verbreitet wurden. Uns war bewusst, wesentlichen geschäftlichen Auswirkungen. dass diese Angelegenheit auch auf oberster Führungsebene ein Thema sein würde und die Und das alles auf einer einzigen Folie. Sie Vorstandsmitglieder schnelle und klare Antwor- brachten es auf den Punkt und präsentierten ten erwarteten. Also begannen wir mit der Vor- dem Vorstand die wirklich relevanten Infor- bereitung unserer Präsentation. mationen – die perfekte Antwort auf die Frage „Und weiter?“. Genauer gesagt beantwortete die Ich setzte mich mit meinem SecOps-Team Präsentation diese Frage: „Was sind die Folgen, zusammen und gab ihnen die offene Anweisung: wenn unsere Kunden acht Stunden lang nicht „Erstellt mir bitte eine kurze Präsentation für auf ihre Konten zugreifen können?“ Es gab sehr den Vorstand, nicht mehr als drei Folien.“ Mir klare Antworten in Bezug auf Geschäftsverluste, war bewusst, dass dies eine schwierige Aufgabe das Unvermögen, Dienstleistungen für Kunden war. Gleichzeitig sah ich darin eine lehrreiche zu erbringen, die Auswirkungen auf Geldtrans- Gelegenheit für mein Team, relevante Informa- aktionen usw. Es wurde klar, dass jeder Ausfall tionen für leitende Führungskräfte zusammen- infolge eines DDOS-Angriffs, egal welcher Art, zustellen und strategische kommunikative schwerwiegende Folgen hätte. Der Vorstand ver- Fähigkeiten zu entwickeln. stand es – Ich war nicht überrascht, als mir das und zwar weil es uns gelang, einfach und Team später eine Präsentation mit sämtlichen verständlich darzustellen, welche finanziellen 206 Strategie
Geschäftsauswirkungen es gehabt hätte, keine leitende Führungskräfte außerhalb der Sicherheitsmaßnahmen und weiteren Schritte typischen CIO-Kette berichtet oder regel- zu ergreifen, und welche Folgen sich dadurch mäßigen Austausch mit dem Vorstand pflegt. für unsere Kunden ergeben hätten. Ein viel- leicht noch wichtigerer Aspekt ist außerdem: Das • Richtige Personalentscheidungen sind Gespräch wurde mit dieser Präsentation auf die entscheidend. Es mag widersinnig klingen, entscheidende Frage gelenkt: „Sind wir bereit, aber manchmal ist es meiner Meinung nach diese Probleme zu meistern? Und falls nicht, wel- besser, weniger als mehr Vollzeitkräfte zu che Ressourcen benötigen wir dazu?“ beschäftigen, die sich um die Cyber-Sicher- heit kümmern, sofern sie zu den Besten Eine Cyber-Sicherheitskultur mit dem der Branche zählen. Möglicherweise ist „Und weiter?“-Ansatz schaffen dies ein Überbleibsel aus meiner Zeit beim In einem anderen Kapitel dieses Buchs Militärdienst, aber mir ist es stets lieber, beschreibt Patric Versteeg eindringlich, wie über ein kleines Elite-Team zu verfügen als wichtig der unternehmensweite Aufbau einer über ein großes Team mit Durchschnitts- starken Cyber-Sicherheitskultur ist. Meiner Mei- performern, die sich beim Monitoring und nung nach nennt er damit eine entscheidende Management von Sicherheitsereignissen Voraussetzung und auch die hier erläuterte eher durch ausreichende Kompetenz als „Und weiter?“-Diskussion ist in Bezug auf eine durch herausragende Expertise auszeichnen. Cyber-Sicherheitskultur von Bedeutung. Unternehmensleiter stellen dem CISO, der eine Vergrößerung seines Teams beantragt, Wie kann dieser „Und weiter?“-Standard zu Recht die „Und weiter?“-Frage. Sie Unternehmensleitern und CISOs helfen, eine möchten wissen, auf welche Weise diese Kultur der Cyber-Sicherheit aufzubauen und zu Personalaufstockung zur Verringerung des fördern? Ich habe hier ein paar Vorschläge, die Unternehmensrisikos, zu einer Verbesserung möglicherweise auch für Ihr Unternehmen nütz- der Geschäftsabläufe oder zur Optimierung lich sein könnten. von Produkten und Services beiträgt. • Machen Sie deutlich, dass es sich um eine • GeschäftsführungundVorstandsmitglieder strategische Top-down-Initiative handelt. müssen sich aktiv und kontinuierlich in Das Veröffentlichen von Mitteilungen und Cyber-Sicherheit fortbilden. Regelmäßige die Genehmigung von Richtlinien für eine Berichte an den Vorstand und fortlaufende gute Cyber-Hygiene sind wichtig, aber es fehlt Gespräche zwischen CISO und Geschäfts- der „Und weiter?“-Impuls. Ihre Mitarbeiter führern sind gut, aber noch wichtiger ist eine müssen sehen, dass die Unternehmensleitung gewisse Selbstinitiative der Führungsriege. mit gutem Beispiel vorangeht, zum Beispiel Lehnen Sie sich nicht einfach zurück, indem indem sie dem Team zur Entwicklung neuer Sie Ihren CISO um ein Briefing bitten, Produkte von Anfang an Mitglieder des sondern übernehmen Sie die Führung und Sicherheitsteams zur Seite stellt, statt diese informieren Sie sich eigenständig. Besuchen erst kurz vor Markteinführung der neuen Sie das Sicherheitsteam vor Ort und stel- IoT-Produkte nach deren Meinung und len Sie Fragen. Nehmen Sie sich Zeit, um Sicherheitsempfehlungen zu fragen. Berichte über Sicherheitsbedrohungen mit Ihrem CISO zu besprechen. Nehmen Sie an • Kompetente Führung bedeutet weit mehr Konferenzen teil und hören Sie sich Podcasts als das Genehmigen von Geldern. Natür- zu Sicherheitsthemen an. Berufsverbände wie lich ist es wichtig, dass Geschäftsführer und die National Association of Corporate Direc- Vorstände bedeutende Cyber-Sicherheits- tors bieten zunehmend mehr Schulungen investitionen genehmigen. Damit allein und Veranstaltungen über Cyber-Sicherheit erreichen wir jedoch nicht den erwünschten an. Ihre Vorstandsmitglieder und Führungs- Effekt des „Und weiter?“-Ansatzes. Dazu sind kräfte werden die Antworten auf „Und weitere Schritte und Maßnahmen erforder- weiter?“-Fragen nicht schätzen und nutzen lich, zum Beispiel dass der CISO an andere In der Frage „Und weiter?“ steckt Weisheit – nutzen wir sie 207
können, wenn sie nicht bereit sind, den • Stärken wir unsere Abwehr am besten, in- Weg von „sicherheitsbewusst“ zu „sicher- dem wir finanzielle Investitionen tätigen heitszentriert“ zu gehen. Dieser Schritt ist und Personal aufstocken oder vielleicht eher entscheidend. indem wir die Nutzung vorhandener Res- • Verfolgen Sie einen „Security-by- sourcen überdenken und neu zuweisen? Design“-Ansatz. Der Ansatz „Security by Letztlich ist „Und weiter?“ eine Metapher Design“ sollte in allen Bereichen implemen- tiert werden, von der Entwicklung neuer für eine operative Methode, die drei wesentliche Produkte bis zur Nutzung von Technologien Punkte einschließt: für alltägliche Abläufe. Richtlinien wie das • Welche Geschäftsauswirkung hat diese Si- vierteljährliche Ändern von Passwörtern sind für Ihre Mitarbeiter größtenteils nur cherheitssituation? lästig, weil ihre „Und weiter?“-Einwände • Welche Risiken sind damit verbunden? häufig nicht beantwortet werden. Dasselbe • Was können wir dagegen unternehmen? gilt für Systemtechniker und Anwendungs- entwickler. Sie werden Ihren wohl- C-Level-Führungskräfte und Vorstands- meinenden Vorgaben, zum Beispiel stärkere mitglieder erwarten keine zunehmende Anzahl Authentifizierungsmethoden für die neue an Berichten, Dashboards und Kennzahlen. Online-Anwendung zur Genehmigung von CISOs verfügen bereits über eine enorme Menge Kreditanträgen, ablehnend gegenüberstehen, an Informationen zu Schwachstellen und Risi- sofern Sie ihnen nicht die Folgen unwirk- ken, die sie Stakeholdern im Unternehmen samer Abwehrmaßnahmen oder infizierter bereitstellen. Es ist daher wenig sinnvoll, noch Kundenkonten verständlich machen. mehr Daten auf den Schreibtischen von Ent- scheidungsträgern abzuladen. Vorständen und Optimale Ergebnisse erfordern Geschäftsführern muss die Gratwanderung den jeweils passenden Rahmen gelingen, aufschlussreiche Antworten auf ihre für „Und weiter?“-Fragen „Und weiter?“-Fragen zu erhalten, statt mit Wie in fast jeder Beziehung hängt die Chance, technischen Details überhäuft zu werden. Und alle Mitarbeiter für die „Und weiter?“-Initia- natürlich ist Zeit immer ein knappes Gut. tive zu gewinnen, stark davon ab, wie Sie Ihre Botschaft übermitteln. Unterschiedliche Per- Unternehmensleiter sollten daher ihre tech- sonen als Empfänger einer „Und weiter?“-Mit- nischen Experten – also den CISO, CIO oder teilung interpretieren die darin enthaltene andere Sicherheitsmitarbeiter, die an Kolle- Botschaft möglicherweise sehr unterschiedlich gen aus geschäftlichen Fachbereichen berichten und die Ergebnisse können daher stark vari- – dazu anhalten und entsprechend schulen, ieren: von einem sofortigen Lerneffekt und Meeting-Teilnehmer nicht in endlose taktische, direkter Begeisterung für „Und weiter?“ bis zu rein technische Diskussionen zu verwickeln. Ablehnung, Irritation und Angst. Insbesondere Vorstandsmitglieder haben in der Regel nur begrenzt Zeit. Sie müssen in einem Was Sie sagen, ist wichtig. Aber wie Sie es engen Zeitfenster das Vertrauen erlangen, dass sagen, ist mitunter noch wichtiger. die Sicherheitsverantwortlichen das Unter- • Wirkt Ihre „Und weiter?“-Botschaft motivie- nehmen und seine Werte zuverlässig und effektiv schützen. Coachen Sie also Ihren CISO und sein rend, herausfordernd, lehrreich und nutzen- Team darin, prägnante und strategische Antwor- orientiert oder eher bedrohlich? ten auf „Und weiter?“-Fragen zu geben. • Steht sie im Kontext mit Geschäftsaus- wirkungen wie finanziellen Folgen, opera- Nächste Schritte mit „Und weiter?“ tiver Effizienz, Unternehmensrisiken oder Ein „Und weiter?“-Ansatz in der Cyber-Sicher- Markenreputation? heit bedeutet nicht, Risiken herunterzuspielen oder die Bedeutung intelligenter Technologie- investitionen zu mindern. Es ist vielmehr eine 208 Strategie
pragmatische Methode, um zu bestimmen, müssen (was Risiken mit sich bringt), lernen Sie wie, wo und wann wichtige Ressourcen (Geld, sehr schnell, technische Details zu minimieren Zeit, Personal, Technologien) eingesetzt werden, und die „Und weiter?“-Fragen kurz und bündig damit Probleme erkannt und bewältigt werden, zu beantworten. bevor sie Geschäftsabläufe beeinträchtigen. Letztendlich sollten Geschäftsführer und Als ich während meiner Zeit bei der Air Force Vorstandsmitglieder die „Und weiter?“-Me- das erste Mal mit der „Und weiter?“-Methode thode klug, strategisch und unvoreingenommen konfrontiert wurde, fühlte ich mich zugegebener- einsetzen, um CISOs und anderen Sicherheits- maßen etwas unbehaglich und gelegentlich sogar experten zu helfen, technische Details vorab zu irritiert, wenn meine Vorgesetzten mich auf diese sichten und ausschließlich die Informationen zu Weise herausforderten. Technisch orientierte präsentieren, die für intelligente, schnelle Ent- Menschen neigen dazu, in der Sprache zu den- scheidungen erforderlich sind. Für die Führungs- ken und zu antworten, die ihnen am geläufigsten riege wird es nicht einfach werden, den „Und ist, also in technischer Fachsprache. CISOs und weiter?“-Ansatz durchzusetzen. Ihre techni- ihre Teams müssen sich jedoch zwingen, umzu- schen Experten tendieren dazu, Ihnen die ganze denken und Informationen auf eine andere Art Geschichte zu erzählen – und zwar bis ins letzte zu präsentieren – selbst wenn es ihnen schwer- Detail! Helfen Sie ihnen, sich auf das Wesent- fällt. Auch für mich war das nicht immer einfach. liche zu beschränken. Doch wenn Sie vor einem Vier-Sterne-Gene- ral stehen und erklären müssen, warum es wirk- Immerhin könnte ein DDoS-Angriff kurz lich wichtig ist, dass Computer, die ein wichtiges bevorstehen. Und niemand möchte in diesem Waffensystem unterstützen, gepatcht werden Fall etwas über die Geschichte von Botnets und die Funktionsweise von ICMP-Floods hören. In der Frage „Und weiter?“ steckt Weisheit – nutzen wir sie 209
31 Weg mit dem Fachchinesisch, denn nach wie vor regiert Geld die Welt Diane E. McCracken – Banking Industry Executive Vice President und Chief Security Officer Geld regiert die Welt – das gilt auch für die Wirkung durch die Macht Cyber-Sicherheit. der Sprache erzeugen CISOs und andere Cyber-Sicherheitsexperten Die meisten Cyber-Sicherheitsexperten können die effektive Interaktion mit der Un- haben, wie ich selbst, einen technischen Hinter- ternehmensleitung nur durch viel Übung und grund. Wir sprechen gerne über Hardware, Soft- Praxis erlernen. Das erfordert Ausdauer und Ent- ware, Networking, Anwendungen, Datenbanken, schlossenheit. In meinem Unternehmen spre- Next-Generation-Firewalls, Cloud-Computing, che ich mindestens einmal pro Monat mit dem künstliche Intelligenz, maschinelles Lernen und Vorstand. ähnliche Dinge. Man könnte fast sagen, es ist un- sere „Muttersprache“. Wie in jeder Beziehung müssen die Beteilig- ten auch hier zunächst Vertrauen und mit der In Gesprächen mit der Unternehmenslei- Zeit ein allgemeines Verständnis hinsichtlich tung, insbesondere mit dem Vorstand, ist dieser Rollen, Zuständigkeiten und vor allem der ge- technische Fachjargon jedoch nicht von Vorteil. genseitigen Erwartungen entwickeln. Nur durch Je mehr Fachsprache wir im Austausch mit den beständigen Austausch werden Vorstandsmit- Mitgliedern der Chefetage verwenden, umso we- glieder und Sie beginnen, dieselbe Sprache zu niger gelingt es uns, ihnen unsere Empfehlungen sprechen. Diese Entwicklung verläuft in jedem und Ratschläge zu Cyber-Bedrohungen plau- Unternehmen auf einzigartige Weise, aber es ist sibel zu machen. Denn obwohl diese leitenden stets Aufgabe der CISOs, sie zu initiieren und Führungskräfte Technologien tagtäglich nutzen, voranzutreiben. verfügen sie zu diesem Thema nur über wenig fachliches Wissen. Mein Rat an CISOs Machen Sie sich möglichst schnell mit Ge- Cyber-Sicherheitsexperten müssen daher schäftssprache vertraut – so werden Sie gehört. heute lernen, eine neue Sprache zu sprechen. Die Nichts fesselt die Aufmerksamkeit von Vor- Sprache des Geldes. Denn das ist die Sprache, standsmitgliedern und Geschäftsführung mehr die Vorstandsmitglieder und Geschäftsleitung als die Erklärung, wie sich ein bestimmtes Risi- beherrschen und der sie aufmerksam folgen. Sie ko auf die Geschäftsbilanz auswirkt. Stellen Sie interessieren sich für Bilanzen. Sie fragen nach ihnen Zahlen zur Verfügung und seien Sie auf der tatsächlichen Rendite einer Investition und ihre Fragen vorbereitet. Sehen Sie wie ein guter danach, ob und wie das investierte Geld zum Anwalt voraus, was sie fragen werden, haben Sie Schutz des Unternehmens beiträgt. 211
entsprechende Antworten parat und reagieren in zusätzliche Hardware und Personal tätigen Sie gefasst auf ungewöhnliche Fragen. zu müssen.“ Ich sprach über flexible Skalierbar- keit, erklärte dies jedoch mit Worten und einer Mein Rat an Geschäftsführung Situation, zu der die Vorstandsmitglieder einen und Vorstand Bezug hatten. Legen Sie fest, mit welcher Regelmäßigkeit das Thema Sicherheit in die Agenda Ihrer Meetings Im zweiten Teil des Gesprächs ging es um Ri- aufgenommen wird. Bestehen Sie darauf, dass siken, weil Risiken zusammen mit Kosten die zu Sicherheitsteams Informationen klar und leicht bewältigenden Punkte sind. Bezüglich der Cloud verständlich, angemessen und geschäftsorientiert machte ich deutlich, dass wir mit der physischen bereitstellen – sowohl sprachlich als auch hin- Verlagerung unserer Umgebung an eine Dritt- sichtlich der Ausführung. partei nicht gleichzeitig auch die Verantwortung für unsere Risiken abgaben. Die Realität ist, dass Unterstützen Sie Ihre Cyber-Sicherheitsver- wir immer ein Risiko tragen, unabhängig davon, antwortlichen. Sie kämpfen in Ihrem Auftrag ob unsere Infrastruktur lokal installiert ist oder gegen einen namen- und gesichtslosen Gegner. sich in der Cloud befindet. Es geht vielmehr Sie müssen mehrere tausend Male am Tag richtig darum, das Risiko richtig zu verwalten und si- urteilen und handeln, die Angreifer dagegen nur cherzustellen, dass wir immer die Kontrolle über ein einziges Mal. Um in der Cyber-Welt erfolg- unsere Daten und Einblick in unsere Umgebung reich zu sein, müssen Unternehmensleitung und haben – ob lokal oder in der Cloud. Sicherheitsexperten sich untereinander abstim- men und eine gemeinsame Linie verfolgen. Dies Nutzen Sie aktuelle Nachrichten kann nur durch gute Kommunikation gelingen. Es gibt verschiedene Möglichkeiten als CISO die Aufmerksamkeit von Vorstandsmitgliedern zu Greifen Sie auf die Welt gewinnen. Sie müssen sich jedoch die Zeit neh- der Stars zurück, wenn es hilft men, um zu verstehen, wie sie „ticken“, was sie Zusätzlich zur Geschäftssprache sollten Sie jede inspiriert, was sie fürchten und was sie aufhor- Möglichkeit nutzen, um Ihren Zuhörern durch chen lässt. vertraute Bezüge und Analogien das Verständnis zu erleichtern. In diesem Zusammenhang möch- Ich persönlich habe bei Vorstandsmitglie- te ich Ihnen ein Beispiel nennen: Taylor Swift ist dern, mit denen ich regelmäßig zu tun habe, eine echte Ikone und Social-Media-Queen. Als folgende Gemeinsamkeit beobachtet: Sie alle ich einmal eine Präsentation für den Vorstand verfolgen die Nachrichten – ganz gleich, ob über über die Risiken hielt, die das Verlagern von Ge- The New York Times, Wall Street Journal, Bloom- schäftsprozessen in die Cloud mit sich bringt, berg oder 60 Minutes, CNN oder CNBC. Gibt nutzte ich ihren Namen, um meine Argumen- es Neuigkeiten über Cyber-Sicherheit auf der Ti- te zu verdeutlichen. telseite der Zeitungen, im Newsticker am un- teren Bildschirmrand oder als Beitrag in einem Ich sagte in etwa: „Stellen Sie sich vor, unser Nachrichtenprogramm, werden meine Vor- Logo wäre auf einem Schirm abgebildet, mit standsmitglieder ganz sicher Fragen dazu stel- dem Taylor Swift ein Restaurant verlässt. Kön- len – insbesondere wenn die Meldungen unsere nen Sie sich vorstellen, welche Folgen das hätte? Branche betreffen. Sie hat 240 Millionen Followers in sozialen Me- dien. Ihre Fans würden nach unserer Marke im In unseren Gesprächen greife ich stets auch Internet suchen und vielleicht eines unserer Pro- aktuelle Nachrichten auf und knüpfe dabei an dukte kaufen. Mit unserer jetzigen Infrastruktur Abläufe und Geschehnisse in unserem Unterneh- wären wir jedoch nicht in der Lage, so viele Ge- men an. Vorstandsmitglieder stellen Fragen wie: schäfte gleichzeitig abzuwickeln. Unsere Systeme „Ist es möglich, dass hier etwas Ähnliches pas- würden unter dieser Last zusammenbrechen. siert?“ Meine Antwort auf diese Frage ist in der Regel „Ja“. Ich erkläre jedoch vorweg, über wel- Ein Wechsel in die Cloud würde uns je- che Möglichkeiten und Lösungen wir verfügen, doch die Flexibilität geben, diese Anforderun- um einen derartigen Vorfall möglichst zu ver- gen zu erfüllen, ohne dafür große Investitionen hindern, und inwieweit wir vorbereitet sind, um 212 Strategie
auf ein ähnliches Ereignis im Ernstfall zu reagie- und geschultem Personal, das Untersuchungen ren. Ich nehme dabei stets direkt Bezug auf unser durchführen und die erforderlichen Schritte ein- Unternehmen und rede in der Geschäftssprache: leiten kann, um den Vorfall einzudämmen. Geld, Risiko, Ruf, Kundenbeziehungen, Mitar- beitermoral, Produktivität und Compliance. Derartige Investitionen leuchten der Unter- nehmensleitung ein. Darüber hinaus empfehle Grundlagen zur Cyber-Sicherheits ich, zusammen mit Vorstand und Geschäftsfüh- schulung: Risikominderung rern eine Übung zur Reaktion auf einen Cy- In der Geschäftssprache gibt es zwei Bereiche, die ber-Sicherheitsvorfall zu absolvieren, um ihnen in jeder Diskussion mitschwingen: zum einen die Folgen eines echten Vorfalls praktisch vor das Risiko und die entsprechenden Folgen. Und Augen zu führen. Das trägt zu einem besseren zum anderen Business-Enablement. Verständnis der Sicherheits- und Abwehrmaß- nahmen bei, die Sie als CISO – mithilfe der von Beim Thema „Risiko“ vergleiche ich Cyber-Si- der Unternehmensleitung bewilligten finanziel- cherheit häufig mit einer Versicherungspolice. len Mittel – bereitstellen. Wenn Sie beispielsweise eine Autoversicherung kaufen, mindern oder vermeiden Sie die Folgen Allgemeine Angaben zur Cyber-Sicher- des Risikos im Falle eines Unfalls. Sie tun jedoch heitsschulung: Business-Enablement nichts, um das Risiko oder die Wahrscheinlich- Business-Enablement ist der zweite Bereich, keit zu verringern, dass ein Unfall tatsächlich mit dem sich CISOs – bei geeigneter Präsenta- passiert. tion – der Aufmerksamkeit der Unternehmens- leitung sicher sein können. Unser Unternehmen Bei Investitionen in Cyber-Sicherheit han- entschied, die Softwareentwicklung intern zu delt es sich um eine andere Art von Versicherung, betreiben, und wir erkannten, dass damit eine si- denn hierbei ergreifen Sie konkrete Maßnah- chere Lösung für Lifecyle-Management & Assu- men, um zu verhindern, dass etwas passiert – rance notwendig wurde. Dies war ein komplexes und um so das Unternehmen zu schützen. Es Vorhaben und erforderte Investitionen in Tech- geht also nicht darum, ausschließlich die poten- nologien, Personal und Prozesse, um ein derarti- ziellen Folgen und Auswirkungen eines Vorfalls ges Programm von Grund auf zu entwickeln und zu mindern. Anders als bei einer Versicherungs- zu implementieren. police reduzieren Sie hier das Risiko, statt es an Dritte zu übertragen. Zunächst stellten wir im Rahmen einer Prä- sentation die Notwendigkeit der Lösung vor. Was bedeutet dies in der Sprache der Unter- Danach konzentrierten wir uns auf die finanzi- nehmensleitung? Ich erzähle der Führungsriege, ellen Aspekte. Wir demonstrierten der Unter- dass wir zwar viel Geld in neueste Technologien nehmensleitung, dass es weit weniger Kosten stecken, aber ohne die richtige Investition den- verursacht, ein potenzielles Sicherheitsproblem noch anfällig für einen Angriff sein könnten, direkt zu Beginn des Entwicklungszyklus zu be- beispielsweise wenn eine einzelne Person in un- rücksichtigen, als erst kurz vor Einführung der serem Unternehmen auf einen Link in der fal- Software. Wird das Team für Anwendungssicher- schen E-Mail klickt. heit erst am Ende eines Softwareprojekts einbe- zogen, kann dies leicht zu einem „Showstopper“ Wie können wir das verhindern? Unter- führen. Damit verzögert sich die Einführung, nehmen benötigen einen mehrschichtigen Cy- bis das Problem behoben ist. Schlimmsten- ber-Sicherheitsansatz, fokussiert auf Menschen, falls bringt ein derartiger Sicherheitsmangel das Technologien und Prozesse. Wenn eine Person Unternehmen sogar in die missliche Lage, ein auf einen infizierten Link klickt, müssen Sie über Produkt mit einer Schwachstelle einführen zu die geeigneten Abläufe und Lösungen verfügen, müssen. um sicherzustellen, dass sich dies nicht negativ auf die Geschäfte auswirkt. Das erfordert einen Das Projekt kostete uns einige Überzeu- zyklusartigen Plan für die Reaktion auf Vorfälle – gungsarbeit. Wir mussten der Unternehmens- mit effektiven Technologien zum Erkennen von leitung plausibel machen, dass es wirtschaftlich anormalem Verhalten, den geeigneten Prozes- sinnvoller ist, ein Produkt gleich zu Beginn auf sen, um schnell und effektiv darauf zu reagieren, Weg mit dem Fachchinesisch, denn nach wie vor regiert Geld die Welt 213
Sicherheitsprobleme zu überprüfen, diese gege- wir mit unseren Teammitgliedern austauschen, benenfalls zu beheben und das Produkt dann auf sondern auch die eigenen Cyber-Sicherheits- dem Markt einzuführen. Dazu präsentierten wir kenntnisse verbessern. einen eindrucksvollen Vergleich der Kosten für die Behebung eines Problems zu Anfang, in der Wir nehmen uns regelmäßig Zeit, der Ge- Mitte und am Ende des Entwicklungslebenszy- schäftsführung und dem Vorstand Cyber-Si- klus. Daraufhin stimmte die Unternehmenslei- cherheit und damit verbundene Risiken in der tung der vollständigen Finanzierung des von uns ihnen vertrauten Geschäftssprache näherzubrin- vorgeschlagenen Programms zu. gen und verständlich zu machen. So ist es uns gelungen, der Unternehmensleitung begreiflich Ein Fall wie dieser verdeutlicht die neue Rolle zu machen, dass jeder Einzelne zum Schutz des des CISO als Business-Enabler. Es ist nicht unse- Unternehmens beiträgt. Um die Unterstützung re Aufgabe, „Nein“ zu sagen. Wir sind vielmehr sämtlicher Beteiligten zu gewinnen, gibt es nur dafür zuständig, Empfehlungen zur Bewältigung eine Möglichkeit: Sie alle müssen verstehen, dass eines bestimmten Risikos zu geben und die ent- sie direkt von den Risiken betroffen sind und als sprechenden Prozesse und Kontrollen einzu- Internet-Nutzer die Pflicht haben, ihren persön- setzen, um das jeweilige Risiko angemessen zu lichen Beitrag zur Cyber-Sicherheit zu leisten. begrenzen. Sofern dies die Genehmigung der Unternehmensleitung erfordert, müssen wir als Unser Sicherheitsteam setzt daher alles daran, CISO in der Lage sein, das Risiko in der Sprache das Bewusstsein und das Engagement für Cy- zu verdeutlichen, die Geschäftsführern und Vor- ber-Sicherheit im gesamten Unternehmen, von standsmitgliedern verständlich ist. der Führungsriege bis zu jedem einzelnen Mit- arbeiter, zu stärken. Dabei sind wir stets darauf Fazit bedacht, Fachjargon und technische Details zu In unserem Unternehmen beziehen wir die Mit- vermeiden. Mit den Mitgliedern der Unterneh- glieder der Unternehmensleitung auf deren Er- mensleitung sprechen wir die Sprache des Gel- suchen in Mitteilungen ein, die wir an unsere des, um unsere Anliegen plausibel zu machen. Mitarbeiter zum Schutz vor Cyber-Risiken sen- Als Sicherheitsexperten ist es jedoch unsere Auf- den. Sie möchten damit nicht nur darüber auf gabe, Cyber-Risiken in jedem Fall klar und ver- dem Laufenden bleiben, welche Informationen ständlich darzustellen – für welche Zielgruppe auch immer. 214 Strategie
32 Null Vertrauen: der strategische Ansatz zum Verhindern von Datenschutzverletzungen John Kindervag – Field Chief Technology Officer, Palo Alto Networks Aktuelle Herausforderungen in der Cyber-Si- gestützt wird und trotzdem auf den Ebenen cherheit verlangen einen neuen Ansatz – einen darunter implementierbar sein muss. Ansatz, bei dem der Schwerpunkt eher auf Stra- 3. Taktiken: Hier geht es um die Instrumen- tegie als auf Taktik liegt. Strategische Denker auf te, mit denen wir die wesentliche Idee um- übergeordneter Ebene gehen von vier grundle- setzen und so das ultimative Ziel erreichen genden Stufen des Engagements aus: können. Die meisten Menschen verwech- seln Strategie und Taktik: Sie glauben, stra- 1. Gesamtstrategie: Dies ist das ultimative tegisch zu handeln, wenn sie tatsächlich Ziel jeder Entität. Die umfassende strate- taktisch handeln. Taktiken werden in der gische Richtung einer Entität – unabhän- Organisation auf den nächsttieferen Ebe- gig davon, ob es sich um ein Unternehmen nen eingebunden. oder einen Nationalstaat handelt – wird auf 4. Abläufe: Dies ist die Art, wie wir die zur höchster Ebene bestimmt. Bei National- Verfügung stehenden Instrumente einset- staaten ist dies die Aufgabe von Präsidenten zen. Die operativen Aspekte werden häufig und Premierministern, in Unternehmen übersehen, da wir auf Nebensächlichkei- von CEOs und Mitgliedern des Vorstands. ten oder Taktiken fokussiert sind, ohne die Eine Gesamtstrategie zeigt die Vision und Wichtigkeit der operativen Integration zu die Ausrichtung der Entität. verstehen. Taktiken und Abläufe werden auf dieser Ebene aufeinander abgestimmt, 2. Strategie: Hierbei handelt es sich um die um die strategisch wesentliche Idee voran- wesentliche Idee, die umgesetzt wird, um zubringen und die Ziele der Gesamtstrate- das ultimative Ziel, so wie in der Gesamt- gie zu erreichen. strategie definiert, zu erreichen. Sie wird in der nächsttieferen Ebene der Entität ge- Was können wir im Bereich der Cyber-Si- nutzt. Bei Nationalstaaten wird dies von cherheit also tun, um uns an den gesamtstrategi- Behörden, gesetzgebenden Organen oder schen Initiativen der Entitäten auszurichten, die Generälen durchgeführt. In Unternehmen wir schützen sollen? sind Vizepräsidenten und Führungskräfte für die strategische Vision verantwortlich. Zunächst müssen wir ein gesamtstrategi- Eine Strategie umfasst die Ideen, die der ge- sches Ziel für die Cyber-Sicherheit im digitalen samten strategischen Vision den spürbaren Zeitalter formulieren. Dieses Ziel lautet: Daten- Impuls geben. Eine entscheidende Voraus- schutzverletzungen verhindern. setzung für eine Strategie ist, dass die Idee von den höchsten Ebenen der Organisation 215
Damit Datenschutzverletzungen verhindert einem Kostenfaktor in einen Wegbereiter für werden können, müssen wir den Begriff „Da- Geschäfte ist. Als Voraussetzung für diese Trans- tenschutzverletzung“ neu überdenken. Häu- formation müssen die Business- und Technolo- fig kleben wir an der altmodischen Vorstellung gie-Experten ihren Sicherheitsansatz in einigen von Festung und Festungsgraben. „Die Angrei- wichtigen Punkten überdenken. Dazu gehören: fer haben die Wälle durchbrochen und sind 1. Sicherheit muss an der Geschäftsfunktion innerhalb der Festung!“ Hierbei handelt es sich tatsächlich um ein Eindringen, nicht um ausgerichtet werden. eine Verletzung. 2. Sicherheit muss in das Konzept von Netz- Der Begriff „Datenschutzverletzung“ ist werken und Anwendungen eingebunden heute ein Fachbegriff in juristischen und regu- werden. latorischen Berufen. Denken Sie an die Da- 3. Sicherheit muss agil, dynamisch und so fle- tenschutzgrundverordnung (DSGVO). Eine xibel sein, dass Änderungen möglich sind. Datenschutzverletzung liegt vor, wenn Daten Wir können jedes einzelne Ziel und noch von einem Organisationsnetzwerk oder -system weitere mit dem Modell „Null Vertrauen“ er- entwendet werden und in die Hände von nicht reichen. Mit „Null Vertrauen“ können sich Or- autorisierten Entitäten gelangen, insbesondere ganisationen für eine Zukunft positionieren, in von bösartigen Akteuren. Voraussetzung für den der sie nicht ständig auf Bedrohungen reagieren Erfolg in der Cyber-Sicherheit ist also, zu verhin- müssen, sondern in der die Cyber-Sicherheit be- dern, dass vertrauliche oder regulierte Daten in reits in ihre Technologien, Kulturen und Abläu- die falschen Hände gelangen. Dafür brauchen fe integriert ist. wir eine Strategie. Warum „Null Vertrauen“? Warum jetzt? Diese Strategie heißt „Null Vertrauen“. Heutzutage müssen die Entscheidungsträger im Unternehmen die Herausforderungen kennen, Das Vertrauensbruch-Modell denen ihre IT- und Sicherheitsteams ausgesetzt In unserer Branche gibt es ein Vertrauens- sind, insbesondere den folgenden wichtigen Pa- bruch-Modell im Bereich Sicherheit, das auf dem radigmenwechsel: Bei der Cyber-Sicherheit ist Axiom „Vertrauen und Kontrolle“ basiert. Die- das größte Problem für die Fachleute der Nieder- ses Modell, bei dem das Netzwerk vermensch- gang ihres traditionellen Vertrauensmodells, das licht wird und Vertrauen ins Spiel kommt, ist auf dem Ansatz „Vertrauen und Kontrolle“ für das fundamentale Problem, das wir heute bei die Cyber-Sicherheit basiert. der Cyber-Sicherheit haben. Vertrauen ist eine Schwachstelle. Es ist nicht zielführend für Ihre In diesem Modell wurde das Netzwerk in Organisation. Vertrauen ist nicht notwendig, um zwei Teile geteilt: in einen äußeren Teil, das Pakete in einem Netzwerk zu verschieben. „nicht vertrauenswürdige“ Netzwerk, das die Or- ganisation mit dem öffentlichen Internet verbin- Die einzigen Benutzer, die vom Vertrauen in det, und in einen „vertrauenswürdigen“ Teil, in unseren Systemen profitieren, sind die bösartigen dem alle Benutzer Zugang zu den sensiblen Res- Akteure, die es für ihre Machenschaften ausnut- sourcen haben. Dies wird am besten durch die zen. Wir müssen uns von der Idee des Vertrau- Bezeichnung der Schnittstellen der ersten Fire- ens in unseren digitalen Systemen verabschieden, walls verdeutlicht. Im Allgemeinen gab es zwei wenn wir wirklich sensible Daten und Vermö- Schnittstellen: Eine Schnittstelle wurde als „ver- genswerte vor der Ausnutzung und vor Daten- trauenswürdig“ und die andere als „nicht ver- schutzverletzungen durch bösartige Akteure trauenswürdig“ bezeichnet. schützen möchten. Aus diesem Grund müssen wir das Modell „Null Vertrauen“ anwenden. In diesem weitverbreiteten Modell sind fast alle negativen Sicherheitsereignisse, auch Daten- Es folgt eine detaillierte Beschreibung des schutzverletzungen, eine Ausnutzung dieses Ver- Konzepts, auf dem das Modell „Null Vertrau- trauensmodells. Externe Angreifer wissen, dass sie en“ basiert. Lassen Sie mich zunächst darstellen, ihre Code-Pakete über diese „Vertrauensgrenze“ warum es ein wichtiges Bindeglied für die Kapi- tel zur Transformation der Cyber-Sicherheit von 216 Strategie
schmuggeln können. Sie erhalten auf ihrem Weg Das Sicherheitsmodell transformieren durch das Netzwerk Berechtigungen (Vertrau- Die Sicherheit von innen nach außen zu transfor- en), basierend auf dem Speicherort der Pakete. mieren bedeutet, dass das Modell „Null Vertrau- en“ den traditionellen Schutz am Netzwerkrand Darüber hinaus sind Bedrohungen durch durch eine allgegenwärtige Behandlung der Si- bösartige Insider eine wirklich große Heraus- cherheit in der gesamten Organisation ersetzt. forderung, da die Experten für Cyber-Sicher- Wenn es darum geht, wie das Netzwerk am bes- heit normalerweise das interne Netzwerk als ten umgestaltet werden kann, entscheiden sich „sicher“ und das Internet als „böse“ ansehen. Unternehmen aus den folgenden Gründen häu- Die Benutzer von internen Netzwerkressourcen fig für das Framework „Null Vertrauen“: werden sogar als „vertrauenswürdige“ Benut- • Sicherheit muss an der Geschäftsfunktion zer bezeichnet. Einige der besonders bekannten Zwischenfälle – einschließlich der Datenschutz- ausgerichtet werden. In der Arbeitsumge- „wvveaerrlrdettrzauSunnengoewswndüedrnud2ricgh–enC“whBueerldsneeuantzMevranonnnininseogig1neeunmnand„nvEteedrn-- bung muss die Sicherheit an der Geschäfts- trauenswürdigen“ internen Netzwerk ausgelöst. funktion ausgerichtet werden. Die meisten Unternehmen sind in verschiedene Abteilun- „Null Vertrauen“ basiert auf der Vorstel- gen unterteilt und nicht alle Teams benötigen lung, dass Sicherheit in der gesamten Infrastruk- dieselben Berechtigungen. Das Durchsetzen tur allgegenwärtig sein muss. Das Modell ist so der strengen Zugriffsberechtigungen – be- konzipiert, dass es strategisch mit den höchsten darfsgerecht und wirkungsvoll – ist eine Ebenen der Organisationen im Einklang ist und Priorität bei der Einbindung von „Null trotzdem taktisch von den Fachleuten unter Ver- Vertrauen“. wendung der kommerziellen Standardtechnolo- • Moderne Organisationen benötigen Elas- gie eingebunden werden kann. Das Konzept von tizität und ein Konzept, das offen für „Null Vertrauen“ ist einfach: Veränderungen ist. Unterschiedliche SLAs, • Auf alle Ressourcen kann auf sichere Weise Administratoren, Audit-Anforderungen, Vorschriften und Zertifizierungen erfordern zugegriffen werden, unabhängig von ihrem Flexibilität und Transparenz für Auditoren Speicherort. und Management. Infrastruktur- und Sicher- • Der Zugriff wird auf Basis des Wissensbe- heitsteams benötigen eine Architektur, die darfs gewährt und streng durchgesetzt. schnelle Änderungen und Optimierungen • Sämtlicher Datenverkehr wird untersucht ermöglicht – ohne Beeinträchtigung durch und protokolliert. Kontrollen und Komplexität. • Das Netzwerk wird von innen nach außen • „Null Vertrauen“ ist nicht starr. Ein ande- konzipiert. rer wichtiger Aspekt bei „Null Vertrauen“ ist, • Das Netzwerk ist so konzipiert, dass alles über- dass es nicht nur einen einzigen Ansatz gibt. prüft wird und nichts vertrauenswürdig ist. Das Modell ist keine Standardlösung und „Null Vertrauen“ ist so konzipiert, dass Da- es kann speziell um die Daten, Anwendun- tenschutzverletzungen verhindert werden. Dies gen, Vermögenswerte oder Dienste, die in muss das gesamtstrategische Ziel für die Cy- einer Organisation geschützt werden sollen, ber-Sicherheit sein, da eine Datenschutzverlet- herum konzipiert werden. zung der einzige IT-Zwischenfall ist, für den ein CEO oder ein Unternehmenspräsident seinen Geschäftsfaktoren Hut nehmen muss. Daher ist „Null Vertrauen“ Heutzutage versuchen Unternehmen, Techno- die einzige Strategie für die Cyber-Sicherheit. logien einzusetzen, um ihr internes Technolo- Alle anderen Konzepte sind nur Taktiken. gie-Management auf eine optimierte Sicherheit und Verwaltbarkeit auszurichten. Viele Organisa- tionen sind bemüht, sich jetzt Sicherheitsmodelle Null Vertrauen: der strategische Ansatz zum Verhindern von Datenschutzverletzungen 217
außerhalb der traditionellen Parameter vorzustel- Geschäftsanforderungen zu reagieren. Neue In- len und die Sicherheitspraktiken neu zu definie- novationen wie Cloud-Computing und Benut- ren, um sowohl aktuellen Bedrohungen als auch zermobilität bedeuten für die Organisationen, den sich dynamisch ändernden Geschäftsanfor- sich aus den Grenzen der alten IT-Kapazitäten derungen zu begegnen. lösen zu müssen. Bei „Null Vertrauen“ werden Technologie und Architektur zum eigenen Vor- Allerdings müssen die Organisationen auf teil genutzt, sodass aus der IT ein Geschäftsfak- dem Weg dahin die veraltete Netzwerksicher- tor anstelle eines Hemmschuhs wird. heit überdenken, um eine einfachere und wirk- samere Lösung zu schaffen. Wenn Unternehmen Cloud-Aktivierung: Server-Virtualisierung versuchen, solche Umformungsprojekte durch- und Cloud-Dienste ändern die Spielregeln. Die zuführen, stehen sie meist Problemen gegen- meisten Organisationen möchten die Netzwerk- über. Die Initiativen von „Null Vertrauen“ infrastruktur verkleinern, um die Anzahl der unterstützen sie in den folgenden Bereichen bei Server zu reduzieren, indem Sie die Virtuali- der Problemlösung: sierung und eine öffentliche Cloud-Infrastruk- tur nutzen. Die Sicherheitsaspekte bei diesen Kostenmanagement: Sicherheitsteams wer- technologischen Veränderungen bleiben eine den häufig erheblich durch finanzielle, budgetäre Herausforderung. Wie installieren Sie Sicher- und organisatorische Ressourcen eingeschränkt. heitskontrollen in einer virtuellen Umgebung? Mit den Initiativen von „Null Vertrauen“ werden Wie wird der Netzwerkverkehr verwaltet? Was Ressourcen maximiert. Viele Unternehmen agie- passiert, wenn sich Anwendungen und Daten in ren vorsichtig, wenn sie mit dem Modell „Null mehreren Clouds befinden? Wie werden Trans- Vertrauen“ beginnen. Sie gehen daher sehr vor- parenz und Kontrolle verwaltet? Die Netzwerk- sichtig mit ihrem Geld um und stellen sicher, architektur von „Null Vertrauen“ ist virtualisiert dass die Ausgaben den Kernkompetenzen ihres und Cloud-freundlich. Teams entsprechen und die Anforderungen an Verwaltbarkeit, Wartung und Skalierbarkeit Fazit erfüllt werden. Ein wesentlicher Faktor beim Schutz unserer Personelle Ressourcen: Die Mitarbeiter- digitalen Lebensweise ist es, Datenschutzverlet- teams sind bereits schlank. Viele Unternehmen zungen bei sensiblen Daten zu verhindern. Es ist stehen personellen Problemen gegenüber und die Kernaufgabe aller Geschäftsstrategien im Be- die Mitarbeiter sind meistens bereits durch die reich der vernetzten digitalen Technologien. Sie täglichen operativen Anforderungen belastet. erreichen dieses Ziel, indem Sie das Modell „Null Die Teams bei „Null Vertrauen“ müssen klein Vertrauen“ einbinden und so sicherstellen, dass beginnen und die vorhandene Architektur und auf alle Ressourcen auf sichere Weise zugegriffen Technologie nutzen, um sich ganz neu auf die werden kann und der gesamte Netzwerkverkehr Umgebung einzustellen. protokolliert und untersucht wird. Mit „Null Vertrauen“ kommen wir der Cyber-Sicherheit Veraltete Architekturen: Die traditio- als echten Wegbereiter des geschäftlichen Erfolgs nelle IT ist ineffizient. Die meisten Netzwer- und der Differenzierung einen Schritt näher. ke sind organisch gewachsen und sind nicht darauf ausgerichtet, agil und effizient auf die 1 „Everything you need to know about Chelsea Manning“, ABC News, 16. Mai 2017 2 „This is everything Edward Snowden revealed in one year of unprecedented top-secret leaks“, Business Insider UK, 16. September 2016 218 Strategie
ARGUMENTE FÜR DAS MODELL „NULL VERTRAUEN“ • Das Vertrauensbruch-Modell ist das dringendste Problem in der heutigen Cyber-Sicherheit. • Alle Benutzer sind in Wirklichkeit „nicht vertrauenswürdig“. • Sicherheit muss im gesamten Netzwerk implementiert werden, nicht nur an den Randbereichen. • Netzwerke müssen von innen nach außen, basierend auf den zu schützenden Elementen im Netzwerk, konzipiert werden. • Netzwerke müssen im Hinblick auf Compliance konzipiert werden. • Auf alle Ressourcen muss auf eine sichere Weise zugegriffen werden. • Der gesamte Datenverkehr im Netzwerk muss überprüft und protokolliert werden. • „Null Vertrauen“ ist die Zukunft der Cyber-Sicherheit. DER GESCHÄFTSWERT DES MODELLS „NULL VERTRAUEN“ • Transparenz und Sicherheit: Die neue Infrastruktur bietet Netzwerk administratoren überragende Transparenz im Hinblick auf Benutzer und Systeme. Dank der erhöhten Transparenz ist die Umgebung besser geeignet für die Überwachung und Ressourcenzuordnung. Zusammen mit der verbesserten Transparenz stärkt „Null Vertrauen“ die Zusammenarbeit von Anwendungs-, System- und Sicherheitsteams. „Null Vertrauen“ fördert die abteilungsübergreifende Kommunikation und beendet isoliertes Vorgehen, das Innovationen verhindert. • Wirtschaftlichkeit: Unternehmen, die „Null Vertrauen“ anwenden, erzielen zumeist konkrete Vorteile bei Kapital- und Betriebskosten. Netzwerke mit „Null Vertrauen“ benötigen weniger Mitarbeiter für die Verwaltung von großen, komplexen und besser gesicherten Installationen. Unternehmen vermelden Einsparungen bei Mitarbeitern und Ausrüstung sowie Verbes serungen bei Ausfallzeiten und Fehlerquoten. • Bewertung und Compliance: Durch die Einbindung von „Null Vertrauen“ wird das Auditing zielgerichteter, einfacher und schneller. Netzwerke mit „Null Vertrauen“ weisen weniger Prüfergebnisse auf, da die Auditoren die Netzwerke und das zugrunde liegende Konzept besser verstehen. Standard- mäßig sind bereits viele Compliance-Elemente in ein Netzwerk mit „Null Vertrauen“ integriert. Viele aktuelle Audit-Anforderungen wurden jedoch entwickelt, um veraltete Netzwerke zu verbessern, und sind daher nicht auf Umgebungen mit „Null Vertrauen“ anwendbar. Null Vertrauen: der strategische Ansatz zum Verhindern von Datenschutzverletzungen 219
Menschen
33 Wie der Vorstand heute Änderungen durchsetzt, die morgen für Cyber-Sicherheit sorgen Kal Bittianda – Head of North America Technology Practice, Egon Zehnder Selena Loh LaCroix – Global Lead, Technology and Communications Practice, Egon Zehnder William Houston – Advisor, Technology and Communications & Industrial Practices, Egon Zehnder Besuchen Sie die Website unseres Unterneh- einer Zeit des erhöhten Cyber-Sicherheitsrisikos mens und klicken Sie auf den Link „Unsere Erfolg hat oder davon überrannt wird. Profession“. Bereits die Schlagwörter im zweiten Satz beschreiben die wesentlichen Faktoren, die Es gehört zu den typischen Aufgaben von unseren Einsatzbereich als Management-Berater Vorständen, Probleme zu sondieren, Optionen und Experten für Top- und Schlüsselpositionen zu diskutieren und zu angemessenen Lösungen kennzeichnen: zu kommen, indem sie die entscheidenden Fra- gen stellen und beantworten. Aber anstatt diese Globalisierung. Konvergenz. Disruption. Fragen einfach an das Management zu richten, Diese Begriffe können ganz einfach auf den müssen Vorstände heute nach innen blicken und unübersichtlichen Zustand bei der Cyber-Si- sich diese Fragen selbst stellen. cherheit angewendet werden – und besonders auf die speziellen Anforderungen, die heute in Eine Erkenntnis, die wir in den gemeinsamen allen Vorstandszimmern auf der Tagesordnung Jahren bei der Beratung von C-Level-Führungs- stehen und diskutiert werden. Es ist keine kräften und Vorstandsmitgliedern gewonnen Übertreibung, dass die Cyber-Sicherheit die haben, lautet: Nicht jedes Vorstandsmitglied Art verändert, wie Vorstände Risiken bewerten, akzeptiert diese Art der Veränderung wider- Unternehmen lenken, das Management beraten standslos. Und manchmal überhaupt nicht. und den langfristigen Fortbestand und Wohl- Machen Sie sich bereit. stand ihrer Organisationen sicherstellen. Bei der Cyber-Sicherheit werden globale Risiken durch Warum sind Änderungen die Technologiekonvergenz enorm beschleunigt auf Vorstandsebene notwendig? und führen so zu empfindlichen Störungen in Es ist eine strategische Herausforderung, Ihren unserer Arbeitswelt, unserem Leben und unseren Vorstand bei den dramatischen Veränderungen Communitys. im Rahmen der Cyber-Sicherheitsrisiken auf Und wie bei allen dramatischen Änderungen dem Laufenden zu halten. Dies ist eine Aufgabe, stehen die Vorstandsmitglieder kritischen Fragen die gut durchdacht werden muss und für die Sie gegenüber. Diese wirken sich darauf aus, ob der zahlreiche Diskussionen, gutes Zureden und Vorstand – und die gesamte Organisation – in nicht zuletzt ein Quäntchen Glück benötigen. Die richtigen Schritte bei der Ausrichtung des 223
Vorstands ist ein wichtiger Faktor im Risikoma- finanzielle Leistung, die regulative Ausrichtung, nagement. Die Technologie bei der Umformung die rechtliche Exposition und das Kundenver- der Cyber-Sicherheit unterliegt dramatischen trauen auswirken. Die nächste Hiobsbotschaft Veränderungen: KI, maschinelles Lernen, Block- könnten erfolgreiche Klagen direkt gegen chain, Internet der Dinge usw. Die Risiken Vorstandsmitglieder sein, weil diese ihre treu- durch diese Technologien werden komplexer händerische Sorgfaltspflicht bei einer Daten- und dynamischer, gleichzeitig bieten sie aber schutzverletzung nicht erfüllt haben. Das müsste wichtige neue Geschäftschancen, die nicht außer Sie als Vorstandsmitglied aufhorchen lassen. Acht gelassen werden dürfen, nur weil ein neues/ größeres Risiko besteht. An diesem Punkt kommt die Dynamik eines Vorstands zum Tragen. Sind Ihre Vorstandsmit- Die richtige Zusammensetzung des Vor- glieder ehrlich, offen und bereit, andere Ideen stands zusammen mit dem Festlegen des richti- zuzulassen, ist es einfacher, mit der Unsicherheit gen Auftrags für Führung und Maßnahmen ist und Ausweitung der Cyber-Risiken umzugehen. für Vorstandsmitglieder die beste Methode, um Vorstandsmitglieder müssen mutig Ideen vor- optimal Einfluss auszuüben. Es geht darum, die bringen, die möglicherweise unkonventionell richtige Entscheidung zu treffen und nicht die oder radikal erscheinen. Dies kann ein mächtiger sicherste Entscheidung. Antrieb für Diskussionen und Veränderungen sein, auch wenn Ihr Vorstand gut zusammen- Denn ein Null-Risiko gibt es nicht. Vor- gesetzt ist. stände müssen sich immer mit geopolitischen, finanziellen, regulatorischen und produktspezi- Wie messen Sie Ihren Erfolg? fischen Risiken auseinandersetzen – und die Tatsächlich kommen nur sehr wenige Unterneh- Cyber-Sicherheit ist die letzte Zutat zu dieser men aktiv zu uns und fragen nach Unterstützung Mixtur. Die Erfahrung, Expertise, Grundein- bei der zukunftsweisenden Zusammensetzung stellung und Haltung Ihres Vorstands ist ent- Ihres Vorstands. Ein erster Schritt in die richtige scheidend beim Umgang mit der klassischen Richtung für einen Vorstand, der sich auf die Gleichung von Risiko und Ertrag. Cyber-Sicherheitsrisiken einstellen möchte, ist die Einsicht, dass ein sorgfältiger Nachfolgeplan Es gibt jedoch noch einen anderen wich- für den Vorstand und anschließend ein methodi- tigen Faktor, der etwas heikler ist. Obwohl die scher Ausführungsplan für einen Zeitraum von Geschwindigkeit der technologischen Verände- zwei bis fünf Jahren aufgestellt werden müssen. rungen in den letzten 20 bis 30 Jahren drama- Kluge Vorstandsmitglieder erfüllen die sich ent- tisch war, ist das nichts im Vergleich zu dem, wickelnden Anforderungen, wie die Evaluierung was in den nächsten Jahren auf uns zukommt. und Steuerung von Cyber-Sicherheitsrisiken, Der Umgang damit ist selbst für Experten ext- durch sorgfältige Planung im Hinblick auf anste- rem schwer. Die Realität zeigt, dass das Durch- hende Pensionierungen und Abgänge. schnittsalter der meisten Vorstandsmitglieder in vielen Organisationen und Branchen steigt. Ein erfolgreicher Vorstandsübergang beginnt Und vielen fällt es zunehmend schwer, mit den mit einem dokumentierten strategischen Plan, Veränderungen Schritt zu halten. Da die Bedro- in dem die Prototypen der Vorstandsmitglieder hungen in Anzahl und Komplexität zunehmen definiert werden, die im Laufe der Zeit für den und neue böswillige Akteure und Bedrohungs- Vorstand gewonnen werden sollen. Manchmal vektoren auftreten, werden Menschen mit zeitge- werden sogar bestimmte/mögliche Kandidaten mäßer operativer Erfahrung, frischen Ideen und festgelegt, die für die Position infrage kommen. größerer Unbefangenheit im Bereich Techno- Leider denken zu wenige Organisationen diesen logie gebraucht, um Richtlinien und Prioritäten Gedanken zu Ende und investieren Zeit und festzulegen. Energie in die Ausarbeitung eines solchen Plans. Häufig stellen Vorstände plötzlich fest, dass eine Obwohl viele Vorstände erkannt haben, dass Person bald in Rente geht und daher ein neues frische Perspektiven erforderlich sind, wissen die Mitglied für den Audit-Ausschuss benötigt wird. meisten Vorstandsmitglieder nicht wirklich, was Oder sie wurden von ISS oder Glass Lewis mit zu tun ist. Dieses Problem wird immer dring- licher, da Cyber-Angriffe sich materiell auf die 224 Menschen
einer schlechten Bewertung der Diversität auf- leben in einer Zeit des Umbruchs und brauchen gerüttelt und suchen nun nach einem weiblichen einen aktiv ausgerichteten Vorstand, der bereit Vorstandsmitglied. ist, neue Ideen und neue Methoden auf dem Weg zum Erfolg zu erkunden. Die Erfahrung zeigt uns auch, dass erfolg- reiche Übergangspläne das Erstellen und Bedenken Sie: Wir empfehlen Ihnen nicht, Unterhalten von Synergien und starken Arbeits- Ihren Vorstand radikal zu ändern und eine beziehungen im Vorstand beinhalten. Dies Palastrevolte im Vorstandszimmer anzuzet- bedeutet nicht, dass die Mitglieder wertvolle teln. Uns sind Beispiele bekannt, in denen dies Zeit zusammen außerhalb des Vorstandszimmers zu chaotischen Verhältnissen sowie zu einem verbringen müssen. Es bedeutet vielmehr, dass unproduktiven und sogar feindseligen Umfeld feindselige, konfrontative Zusammenkünfte ver- führte. Die Entwicklung des Vorstands muss mieden werden, in denen Persönlichkeiten und zukunftsweisend konzipiert werden und mit den Beleidigungen einer produktiven Arbeit im Weg betroffenen Vorstandsmitgliedern muss sorgfäl- stehen. Denken Sie gründlich über die intellek- tig, respektvoll und auf persönliche Weise umge- tuelle, persönliche und politische Dynamik in gangen werden. Ihrem Vorstand nach. Machen Sie sich keine Illusionen: Es muss Schließlich gehen die Zeiten vorbei, in denen etwas getan werden. Die Zukunft Ihrer Orga- Vorstandsmitglieder 20 Jahre ihren Posten inne- nisation und deren Erfolg sind davon abhängig. haben und dann würdevoll in Rente gehen. Wir KRITISCHE FRAGEN FÜR DEN VORSTAND – ÜBER DEN VORSTAND Häufig sind Vorstände, die sich erfolgreich auf Größenänderungen beim Cyber- Sicherheitsrisiko einstellen, auch gewillt, nach innen zu blicken und sehr kritische und oft unbequeme Fragen zu stellen. Die folgenden vier Fragen drängen sich auf: Besteht der Vorstand aus den richtigen Mitgliedern? Ein erfolgreicher Vorstand beginnt damit, die richtigen Personen um den Vorstandstisch zu versammeln. Die Antworten auf die Frage „Sind es die richtigen Personen und, wenn nicht, wer sollte es sein?“ variiert stark je nach Art der Organisation und dem aktuellen Erfahrungsmix im Vorstand. • Wenn Sie entscheiden, einen Cyber-Experten in den Vorstand aufzuneh- men, müssen Sie einen Vorstandssitz für diesen Spezialisten aufgeben, sofern Sie nicht den Vorstand erweitern. Wenn diese Art der Expertise ein strategisches Unterscheidungsmerkmal in Ihrer Branche ist (z. B. bei Technologie- oder Finanzdienstleistungen) und Sie die Haltung zur Cyber- Sicherheit deutlich in Ihrem Unternehmen betonen möchten, kann das eine intelligente Entscheidung sein. • Wenn Ihre Organisation von einem geringeren Cyber-Risiko ausgeht, werden Sie diesen Sitz eher nicht für einen Cyber-Experten frei machen wollen. Dann können Sie sich stattdessen darauf konzentrieren, dass Ihr Unternehmen über eine erstklassige Organisation mit starken Referenzen im Bereich Cyber-Sicherheit (und dem entsprechenden Führungsgeschick) sowie starken Führungskräften verfügt, die sich regelmäßig mit dem Vor- stand treffen und diesen informieren. Wie der Vorstand heute Änderungen durchsetzt, die morgen für Cyber-Sicherheit sorgen 225
KRITISCHE FRAGEN FÜR DEN VORSTAND – ÜBER DEN VORSTAND (FORTS.) Haben die Ausschüsse in Ihrer Organisation die richtige Struktur, um das Cyber-Sicherheitsrisiko zu evaluieren und zu kontrollieren? Ausschüsse und Unterausschüsse betonen und unterstreichen die Bereiche Auditing, HR, Regulierung, strategische Planung, Risiko und Cyber-Sicherheit. • Wenn Sie in einer Branche agieren, in der sich eine Cyber-Datenschutzver- letzung verheerend auf das Unternehmen auswirken könnte, benötigen Sie eher einen Technologie-Ausschuss. • Bei Vorständen in Branchen, die traditionell nicht so stark durch Technologie geprägt sind, wie im Einzelhandel oder bei Speditionen, ist es möglicher- weise nicht so einfach, einen speziellen Technologie-Ausschuss zu rechtfer- tigen. Allerdings könnten gerade diese Branchen einen solchen Ausschuss am dringendsten benötigen, da sich wahrscheinlich nicht genügend techni- sche Talente in ihren Unternehmen finden. • Die Cyber-Sicherheit könnte auch in einen bestehenden Ausschuss integ- riert werden, z. B. in einen Risiko- oder Audit-Ausschuss. Worüber sollten Vorstandsmitglieder diskutieren? Die Diskussionen des Vorstands über die Cyber-Sicherheit sollten aktiv sein und sich auf die folgenden Probleme konzentrieren: a. Organisationsstruktur: Haben CEO und CISO die Organisation so struktu- riert, dass die Informationssicherheit berücksichtigt wird? Verfügen wir über eine optimale Meldestruktur und besetzen die geeigneten Personen die richtigen Rollen? b. Investition: Stellen wir im Hinblick auf das aktuelle und zukünftige Risikoprofil die richtigen Budgetressourcen bereit? Treffen wir die richtige Budgetentscheidung und wissen wir, was diese Investition einbringt? (Hinweis: Die Ausgaben für die Sicherheit festzulegen, ist keine mathe matische Übung.) c. Verantwortung: Ist die CISO-Rolle mit der richtigen Person besetzt? Wurden die richtigen Ziele festgelegt und werden die gewünschten Ergebnisse ausreichend angestrebt? d. Verbesserung: Woher wissen wir, dass unser nicht reduzierter Risiko-Fußab- druck kleiner wird? Welche Messdaten verwenden wir, um dies zu ermitteln, und sind diese weiterhin geeignet? (Beispiel: Welcher Anteil der Probleme wurde endgültig gelöst? Werden die Problemlösungszeiten im Laufe der Zeit kürzer?) Natürlich benötigt der Vorstand auch Antworten auf zukunftsweisende Fragen: Um welche unmittelbaren Bedrohungen müssen wir uns kümmern? Wie würde es sich auf unsere Bilanz auswirken, wenn wir für eine Stunde keine Aufträge online bearbeiten könnten? Für einen Tag? Eine Woche? 226 Menschen
Welche Verantwortlichkeiten übernimmt der restliche Vorstand? Auch wenn Sie nicht der ausgewiesene Cyber-Experte im Vorstand sind oder keinem Aus- schuss angehören, der für die Überwachung und Steuerung der Cyber-Sicherheit verantwortlich ist, spielen Sie trotzdem eine wichtige Rolle. • Jedes Vorstandsmitglied muss in die Diskussionen und Überlegungen rundum die Cyber-Sicherheit einbezogen werden. • Sie können sich vielleicht dafür entscheiden, Ihren Kollegen die Hauptver- antwortung für diese Aspekte zu überlassen, aber Sie können und müssen kritische Fragen stellen. • Und glauben Sie nicht, dass ein Kollege aus dem Vorstand – nur weil er Zero-Day-Angriffe in der eigenen Firma erlebt hat – der einzige qualifizierte Fragensteller zu den Maßnahmen bei der Bedrohungserkennung, -vermei- dung und -behebung in der Organisation ist. • In einigen Vorständen hat sich die Praxis bewährt, dass die am wenigsten technisch orientierten Vorstandsmitglieder mindestens einen Tag im Jahr mit dem Cyber-Team verbringen, um dessen Aufgaben kennenzulernen, Fragen zu stellen und Praxistipps von den Mitarbeitern an vorderster Front zu erhalten. Wie der Vorstand heute Änderungen durchsetzt, die morgen für Cyber-Sicherheit sorgen 227
34 Eine Cyber-Sicherheitskultur schaffen Patric J.M. Versteeg, MSc. Es ist nicht nur machbar, eine organisationswei- Aufstellen der Richtwerte sollten die Sender te Cyber-Sicherheitskultur zu schaffen, es ist von offen für einen Dialog mit den Empfängern entscheidender Bedeutung! über die nächste Stufe der Cyber-Sicherheit sein, die in der gesamten Organisation erzielt In der Cyber-Sicherheit ist eine Kultur be- werden soll. sonders wichtig und eine kritische Komponen- te beim Aufbau einer sicheren Organisation. Alle • Zweitens müssen Führungskräfte lernen Menschen in einer Organisation sind unabhän- zuzuhören oder – in Anlehnung an den gig von ihrer Rolle dafür verantwortlich, wach- Berater-Guru Simon Sinek – als Letzte sam zu sein und die richtigen Maßnahmen zu zu reden. Allzu häufig kommen Führungs- ergreifen, um Technologien und Prozesse sicher kräfte – und auch viele CISOs – schon mit zu verwenden. ausformulierten Ideen in die Organisatio- nen: „Wir erledigen dies mit Zugriffs- und Beim Definieren und „Leben“ einer Cyber-Si- Identitätsmanagement, jenes mit Authentifi- cherheitskultur muss das Problem aus zwei un- zierung. Und wir ändern alle Prozesse gemäß terschiedlichen, voneinander unabhängigen X, Y und Z.“ Den Sendern kommt es darauf Perspektiven betrachtet werden: als Sender und an, dem Rest der Organisation zu beweisen, Empfänger. dass ihre Ansichten relevant sind. Großartige Ideen und wirksame Richtlinien müssen ein Die Sender in organisatorischen Hierarchien Produkt sein, das aus mehreren Quellen ge- sind die Führungskräfte, d. h. die C-Level-Füh- speist wird, jede aus einer einzigartigen Pers- rungskräfte, CISOs und Vorstandsmitglieder. Sie pektive. Zuerst zuhören, zuletzt reden. sind diejenigen, die Richtlinien festlegen, Prozes- se voranbringen, Steuerung garantieren und die Empfänger akzeptieren, verarbeiten und allgemeine Ausrichtung für die Organisation de- „leben“ die Richtlinien und Prioritäten, die von finieren. Die Sender müssen darüber hinaus zwei den Sendern aufgestellt wurden. Und es ist wich- wichtige Aspekte bei der Cyber-Sicherheitskul- tig, dass sie sich selbst als aktive Teilnehmer an tur beachten. der Entwicklung und Förderung einer Cyber-Si- cherheitskultur sehen, nicht nur als passive Mit- • Erstens handelt es sich im Bereich der Cy- glieder, die Regeln und Vorschriften akzeptieren. ber-Sicherheit bei Kultur weder um eine Demokratie noch um eine Diktatur. Die In einer Cyber-Sicherheitskultur zeigen Sender stellen die Richtwerte für Anforde- Empfänger ein starkes Eigeninteresse. Ihre rungen auf, die als Grundlage für die Cy- täglichen Verantwortlichkeiten werden um- ber-Sicherheit in der Organisation dienen. fassend durch die Richtlinien, Prozesse und Diese orientieren sich nicht nur an den Ge- Verfahren geformt, die festgelegt wurden, um schäftszielen, sondern auch an den kulturel- len Werten und Verhaltensweisen. Nach dem 229
eine gute Cyber-Hygiene zu erzielen – und Rohrbaugh in Abbildung 1 beispielsweise, wie nicht nur als Vorteil für das Unternehmen. eine Organisationskultur definiert werden kann. Mit diesen Schritten muss auch ihre digi- Je nach Kultur einer Organisation wird die Cy- tale Sicherheit geschützt werden, damit sie ber-Sicherheitskultur geformt. Dabei ist be- und ihre Organisation dabei nicht auf Cy- sonders wichtig, wie diese Kultur sich auf die ber-Sicherheitstechnologien und -prozesse Fähigkeit der Menschen auswirkt, Änderungen angewiesen sind. Wenn Sender alles richtig anzunehmen. Dieses Modell stützt sich auf vier machen, sind Empfänger nicht das schwächs- unterschiedliche, aber miteinander verwobene te, sondern das stärkste Glied in der Kette der organisatorische Kulturmodelle. Cyber-Sicherheit. Der Lernvorgang, das Formen und Einpas- 1. Modell „Open Systems“ (offene Systeme): sen der Empfänger in eine Cyber-Sicherheits- Dieses Modell basiert auf einem organi- kultur ist nicht einfach. Dabei spielen auch die schen System mit einer Betonung auf An- zahllosen Unterschiede eine Rolle, wie zwei passungsfähigkeit, Bereitschaft, Wachstum, Menschen Prozesse interpretieren und wie moti- Ressourcenbeschaffung und externe Unter- viert sie sind, zur Erstellung und Pflege einer Cy- stützung. Diese Verfahren fördern Inno- ber-Sicherheitskultur beizutragen. Zum Glück vation und Kreativität. Menschen werden gibt es eine Vielzahl effektiver Modelle, die uns nicht kontrolliert, sondern inspiriert. 2 dabei helfen zu verstehen, wie Kultur in einer Organisation definiert ist. Eines ist das Modell 2. Modell „Rational Goal“ (rationales Ziel): „Competing Values Framework“ von Quinn Dieses Modell basiert auf Profit mit einer und Rohrbaugh. Es gibt eine wichtige Synergie Betonung auf rationalen Maßnahmen. Es zwischen diesem Rahmen der konkurrierenden wird angenommen, dass Planung und Ziel- Werte und der Herausforderung, der die Orga- festlegung zu Produktivität und Effizienz nisationen beim Schaffen einer Kultur rund um führen. Aufgaben werden geklärt, Ziele ge- die Cyber-Sicherheit gegenüberstehen. setzt und Maßnahmen ergriffen. 2 So zeigt uns das Modell von Quinn und 3. Modell „Internal Process“ (interner Pro- zess): Dieses Modell basiert auf Hierarchie Flexibilität Modell „Human Relations“ Modell „Open Systems“ („Zwischenmenschl. Bez.“) („Offene Systeme“) Maßnahmen: Maßnahmen: Zusammenhalt, Moral Flexibilität, Bereitschaft Ziele: Ziele: Personalentwicklung Wachstum, Ressourcenbeschaffung Intern Ergebnisqualität Extern Maßnahmen: Maßnahmen: Informationsmanagement, Kommunikation Planung, Zielsetzung Ziele: Ziele: Stabilität, Steuerung Produktivität, Effizienz Modell „Internal Process“ Modell „Rational Goal“ („Interner Prozess“) („Rationales Ziel“) Steuerung Abbildung 1: Übersicht über das Modell „Competing Values Framework“ von Quinn und Rohrbaugh1 230 Menschen
mit einer Betonung auf Messgrößen, Do- Coordinator, Monitor, Facilitator, Mentor) kann kumentation und Informationsmanage- in diesem Kapitel nicht behandelt werden. Aber ment. Diese Prozesse fördern Stabilität und ich möchte Ihnen das Konzept wenigstens etwas Kontrolle. Hierarchien scheinen am besten näher bringen. Sie können sich wahrscheinlich zu funktionieren, wenn die zu erledigende vorstellen, dass der Ton der Unternehmenslei- Aufgabe gut verstanden wird und Zeit kein tung (Sender), der von der Director-Rolle be- wichtiger Faktor ist.2 stimmt wird (unten rechts, Abbildung 2), nicht 4. Modell „Human Relations“ (zwischen- gut bei den Empfängern in einem Unternehmen menschliche Beziehungen): Dieses Modell ankommt, in dem das Modell „Human Relati- basiert auf Zusammenhalt und Moral mit ons“ (oben links, Abbildung 1) umgesetzt wird. einer Betonung auf Personal und Schulung. Menschen werden nicht als isolierte Indi- Die Modelle zeigen, dass durch die Defini- viduen wahrgenommen, sondern als ko- tion und das Begreifen der Organisationskultur operierende Mitglieder eines allgemeinen verständlich wird, wie eine Organisation mehr in Sozialsystems mit einem allgemeinen Inter- Richtung einer auf Cyber-Sicherheit ausgerichte- esse an ihrem Umfeld.2 ten Kultur gesteuert werden kann. Mit dem Rahmen von Quinn und Rohr- Die Leistungsstärke und Notwendigkeit baugh können Führungsrollen definiert werden des Change-Managements (Abbildung 2), die das beste positive Ergebnis Trotz der besten Absichten der meisten Mitarbei- bringen, wenn es um die Unterstützung einer ter sind viele Cyber-Sicherheitsprogramme kaum Unternehmenskultur geht und daher auch um oder gar nicht in der Lage, die digitalen Vermö- die wirksamste Kultur für die Cyber-Sicherheit. genswerte der Organisation zu schützen, da die Menschen sowohl auf der geschäftlichen als auch Die exakte Definition der Führungsrol- auf der technischen Seite nur widerwillig Ände- len (Innovator, Broker, Producer, Director, rungen akzeptieren. Diese Uneinsichtigkeit ist FLEXIBILITÄT MENTOR INNOVATOR HUMAN RELATIONS OPEN SYSTEMS (ZWISCHENMENSCHLICHE (OFFENE SYSTEME) BEZIEHUNGEN) VERMITTLER BROKER/MAKLER INTERN EXTERN VERMITTLER PRODUZENT/REGISSEUR INTERNAL PROCESS KOORDINATOR DIREKTOR RATIONAL GOAL (INTERNER PROZESS) (RATIONALES ZIEL) STEUERUNG Abbildung 2: Zuordnung der Führungsrollen im Modell von Quinn und Rohrbaugh3 Eine Cyber-Sicherheitskultur schaffen 231
das größte Hindernis bei dem schwierigen Ba- können, dass sie etwas tun dürfen und dass es lanceakt zwischen vorsichtiger Cyber-Sicherheit sogar erwünscht ist, aktiv zu werden und die einerseits und Geschäftschancen andererseits. Abhängigkeit von Technologien und Prozessen zu minimieren. Schließlich sind Menschen Gewohnheits- tiere. Wir mögen es, Dinge auf eine bestimm- Beim Schaffen einer Cyber-Sicherheits- te Weise zu erledigen, und gerade das leitende kultur entwickeln Unternehmenslenker (Sen- Management sträubt sich oft gegen Änderun- der) Kriterien dafür, was getan werden kann, gen. „Ich führe die Geschäfte auf meine Art. Es wie es getan werden kann und unter welchen funktioniert und wir hatten noch nie Probleme“, Umständen es getan werden kann. Und den- höre ich immer wieder. Leider führt diese Hal- ken Sie daran: Wichtiger als Reden ist es hier- tung häufig zu Aussagen wie „Das geht nicht“ bei, den Teams (den Empfängern) zuzuhören. oder „Nein, das ist nicht zulässig“, wenn es um Unternehmenslenker sollten sich eher auf Ziele Cyber-Sicherheit geht. als auf Taktiken konzentrieren, eher auf Fördern als auf Verhindern und eher auf Ergebnisse als Und reden wir Klartext: Wir brauchen Ver- auf Einzelheiten. änderungen in der Art, wie Organisationen eine effektive Cyber-Sicherheit planen, einbinden Wenn Unternehmenslenker eine Kultur und messen, da sich die Bedrohungsvektoren zu- schaffen und fördern, in der Teams dazu ermun- nehmend ausweiten und Cyber-Angriffe stärker, tert werden, kluge Entscheidungen zu treffen, in umfangreicher und sogar koordinierter werden der Risiken und Erträge gegeneinander abgewo- als zuvor. Unser Tempo bei den Veränderungen gen werden, wird es einfacher, vernünftige Gren- muss das der Angreifer übertreffen, wenn unsere zen für die Maßnahmen in der Cyber-Sicherheit Geschäfte Bestand haben sollen. zu ziehen. Es wird leichter, zu einem „Ja, unter den folgenden Umständen, mit den folgenden Bei Cyber-Sicherheitskultur geht es vor allem XYZ-Kontrollen“ oder zu „Ja, aber auf diese Art um Change-Management, von der Vorstandseta- und Weise“ zu kommen, wenn vereinbart wurde, ge angefangen durch alle Ebenen des Unterneh- dass Sie in Ihrer Kultur mit einem „Ja“ begin- mens. Auch wenn wir es nur ungern zugeben: nen müssen. Viele von uns suchen nach Veränderung, da sonst Stagnation, Langeweile und Verlust der Natürlich gibt es einige Dinge, die in Ihrer Wettbewerbsfähigkeit drohen. Folgendes ist not- Kultur der Cyber-Sicherheit nicht zulässig sein wendig: Ich muss im Abstand von einigen Jahren können und sollten. Sie dürfen keine privaten in ein neues Unternehmen wechseln, um Neues Patienteninformationen an Daten-Broker ver- zu lernen und meine Kompetenzen in verschie- kaufen, Sie dürfen nicht gegen das Gesetz ver- denen Umgebungen und unterschiedlichen Kul- stoßen und Sie dürfen die Organisation nicht turen anzuwenden. Wenn ich nicht gewillt bin, rechtlichen Problemen aussetzen. Aber trotzdem mich als Unternehmenslenker zu ändern, werde gibt es Optionen. ich kläglich scheitern. Ich gebe Ihnen ein hypothetisches Beispiel: Und in der heutigen hochgezüchteten Cyber-Si- Angenommen, Ihr CISO oder dessen Chef liest cherheitsumgebung ist Scheitern nicht erlaubt! etwas über eine Datenschutzverletzung in einer Organisation, die durch einen Sicherheitsman- Zu einem „Ja“ gelangen gel in einem File-Sharing-Dienst in einer öffent- Eine der besten Methoden, die Cyber-Sicher- lichen Cloud verursacht wurde. In einer starken heitskultur zu begreifen, ist, darüber zu reden, Kultur, in der Sie zu einem „Ja“ gelangen sollen wie man zu einem „Ja“ gelangt. Das hört sich viel- und in der Initiative und geringe Risikobereit- leicht wie ein Widerspruch zur Cyber-Sicherheit schaft gefördert werden, hat die Unternehmens- an, bei der es immer darum geht, was nicht getan leitung möglicherweise Datenspeicherrichtlinien werden soll und warum etwas nicht zulässig ist. aufgestellt, um ein ausgeglichenes Verhältnis zwi- schen Risiko auf der einen Seite und Agilität und Aber Unternehmenslenker müssen gegen Ermächtigung auf der anderen Seite zu schaffen. diese Tendenz ansteuern, wenn sie eine Cy- ber-Sicherheitskultur schaffen: Wir müssen Wenn eine solche Kultur der Cyber-Sicher- Menschen davon überzeugen, dass sie etwas tun heit nicht besteht und nicht durch das „Ja“ 232 Menschen
geleitet wird, ist die Antwort Ihrer Unterneh- wie „Management by walking around“ (Manage- mensleitung vielleicht nur eine Reaktion auf die ment durch Umhergehen) anwenden, um eine Nachricht der letzten Sicherheitsverletzung in quantitative und qualitative Bewertung darüber der öffentlichen Cloud: „Niemand darf File-Sha- zu erhalten, wie Sender und Empfänger aufein- ring-Dienste verwenden.“ ander abgestimmt sind – oder ob überhaupt eine Abstimmung vorliegt. Es ist in Ordnung und auch notwendig, Fra- gen zur Sicherheit zu stellen. Aber wenn die Un- Diese Abstimmung ist entscheidend bei der ternehmenslenker (Sender) Vorschriften erlassen, Schaffung einer erfolgreichen Kultur der Cy- ohne die Implikationen oder Alternativen zu be- ber-Sicherheit. Wenn nämlich Sender einen Ton rücksichtigen, untergräbt dies die Cyber-Sicher- anschlagen, der befehlend, autoritär und zu sehr heitskultur. Möglicherweise wird hierdurch ein von oben herab ist, fördert dies letztendlich ein Schatten-IT-Projekt (Einzelpersonen/Empfän- passives Verhalten der Empfänger, wenn diese ger) erstellt, das am Ende zu noch mehr Risiken an eine Organisationskultur mit dem Modell führen kann. „Human Relations“ gewöhnt sind. Um das Team dabei zu unterstützen, zu einem Führen Sie motivierende und interaktive Sit- „Ja“ zu gelangen, sollten Unternehmenslenker an zungen durch, damit Sender Situationen besser das Ziel denken. Hier besteht es darin, eine si- nachempfinden und die Reaktionen der Emp- chere, effiziente Methode bereitzustellen, mit der fänger besser verstehen können und damit sie so Dateien zwischen Geschäftsbereichen oder Kun- in der Lage sind, die Folgen ihrer Maßnahmen den übertragen werden können. Sie müssen al- besser einzuschätzen. lerdings Ihren Mitarbeitern vertrauen, dass sie die geeigneten Lösungen anbieten, bei denen die Ich bin davon überzeugt, dass eine Cyber-Si- Risiken und Geschäftschancen gegeneinander cherheitskultur erreicht werden kann, wenn der abgewogen werden. Es geht nicht darum, die ge- menschliche Faktor das stärkste Bindeglied in der meinsame Verwendung von Dateien zu beenden, Kette der Cyber-Sicherheit ist. Aber nur wenn sondern das Risiko einzuschätzen. Ihre „Ja“-Botschaft als ein Verbindungsstück für die Organisationskultur präsentiert wird. Ist dies Erste Schritte zu einer Kultur nicht der Fall, könnte Ihre „Ja“-Botschaft fälsch- der Cyber-Sicherheit lich als dröhnendes „Nein“ interpretiert wer- Damit die Bereitschaft für Veränderung und die den. Und niemand möchte ein „Nein“ hören Kultur der Cyber-Sicherheit gefördert werden, oder empfangen. müssen Unternehmenslenker und Vorstandsmit- glieder einige wesentliche Aspekte berücksichti- Fazit gen. Unternehmenslenker sollten beispielsweise Ein guter Wagniskapitalgeber wird Ihnen sagen, festlegen, welche Art von Kultur für die Emp- dass der wichtigste Aspekt bei der Auswertung fänger in der Organisation vorherrschend ist. aller erhaltenen Investitionsvorschläge die Qua- So wird sich nach und nach herausstellen, wie lität des Führungsteams ist. Produkte kommen Nachrichten, Vorgaben und Richtlinien in und gehen und Märkte entwickeln sich ständig der Organisation dargelegt und kommuniziert weiter. Aber ein hervorragendes Team ist auf Ver- werden sollten. änderungen eingestellt und kann sich anpassen, damit die Organisation bei dem angestrebten Gleichzeitig muss der Ton der Unterneh- Ziel auf Kurs bleibt. mensleitung (Sender) in den Diskussionen über Cyber-Sicherheit bewertet werden und der Füh- Dasselbe gilt für das Schaffen einer Cy- rungsstil muss mit der Art synchronisiert werden, ber-Sicherheitskultur. Unternehmenslenker und wie die Organisation die Nachricht empfängt Vorstände müssen zusammen mit ihren Füh- und der gewünschten Cyber-Sicherheitskultur rungskräften aus dem Bereich Cyber-Sicher- Leben einhaucht. heit und IT die Organisationskultur verstehen und formen, um die richtige Einstellung zu för- Vorstandsmitglieder und Unternehmenslen- dern, und zwar vor dem Aufstellen von Richt- ker sollten eine Kombination aus statistischen linien, Verfahren und Prioritäten rund um die Analysewerkzeugen und traditionellen Methoden Cyber-Sicherheit. Eine Cyber-Sicherheitskultur schaffen 233
Unsere erdachte File-Sharing-Geschichte ist und mit weniger Missstimmung und Winkel- ein gutes Beispiel dafür, wie Kultur eine intelli- zügen als Organisationen, die nicht verstanden gente und erfolgreiche Cyber-Sicherheit verhin- haben, wie wichtig die Rolle der Kultur bei ihren dern oder fördern kann. Organisationen, die die Anstrengungen ist. richtige Kultur für die Cyber-Sicherheit schaffen und fördern, finden Wege, um schneller ans Ziel Entscheidend ist, dass alle zu einem „Ja“ zu gelangen. Sie arbeiten auch kostengünstiger gelangen. 1 Quinn, Robert E. und John Rohrbaugh. „A Spatial Model of Effectiveness Criteria: Towards a Competing Values Approach to Organizational Analysis“, Management Science 29, No. 3 (1983): 363-77. http://www.jstor.org/stable/2631061 2 „Competing Values Framework“, University of Twente https://www.utwente.nl/en/bms/communication-theories/sorted-by- cluster/Organizational%20Communication/CompetingValuesFramework/ 3 „Competing values leadership: quadrant roles and personality traits“, Alan Belasen und Nancy Frank (2007) https://www. researchgate.net/publication/242337141CompetingvaluesleadershipQuadrantrolesandpersonalitytraits 234 Menschen
35 Gute Angewohnheiten in der Cyber-Sicherheit erkennen, entwickeln und verbreiten George Finney – Chief Security Officer, Southern Methodist University Ich bin der Chief Security Officer einer größeren jeder in der Organisation und jeder, mit dem die Universität in den USA. Ich liebe meinen Job Organisation außerhalb der Firewall Kontakt hat, trotz seiner hektischen und unvorhersehbaren über ausgefeilte und fachmännisch eingesetzte Wendungen. Ich danke meinem Schicksal jeden Gewohnheiten zur Cyber-Sicherheit verfügen. Tag dafür, dass ich keinen langweiligen Job habe, bei dem mich immer dasselbe erwartet, wenn ich Der Grund ist, dass die Cyber-Sicherheit ins Büro komme oder in meine E-Mails schaue. weder eine Fähigkeit ist, die erlernt wird, noch eine Kompetenz. Woher ich das weiß? Ganz –Und das ist noch nicht alles. Ich bin Schrift- einfach: Wir haben immer angenommen, dass es zu besseren Ergebnissen führt, wenn wir steller wirklich. Ich schreibe Bücher, Kurz- unsere Mitarbeiter in Schulungen für eine gute geschichten, Krimis und Drehbücher. Aber Cyber-Hygiene schicken. Aber das ist nicht der da mir alle sagen, dass Schriftsteller über das Fall – keinesfalls. schreiben sollten, was sie am besten kennen, ging es in meinen letzten vier Büchern um die Bei Cyber-Sicherheit handelt es sich um Cyber-Sicherheit. In meinem letzten Buch, „No eine Gewohnheit wie bei der Morgengymnas- More Magic Wands: Transformative Cybersecurity tik, beim liebevollen Umgang mit den Kindern Change for Everyone“, ist das Thema ein Aspekt, und beim Einstellen des Rückspiegels vor dem der im Kampf gegen die Cyber-Angreifer immer Zurücksetzen aus der Einfahrt. Und wenn man wichtiger wird: Cyber-Sicherheit aus dieser Perspektive betrach- tet, ist es nicht weiter überraschend, dass sich „Wenn die Sicherheit zur Aufgabe aller wird, das Verhalten Ihrer Mitarbeiter nicht dadurch müssen auch alle die richtigen Instrumente für ändert, dass sie ein kurzes Video zur Sicherheit diese Aufgabe besitzen. Nicht einige der Instru- ansehen. Das ist so, als würden Sie die Bedie- mente. Nicht einen kleinen Teil der Instrumente. nungsanleitung für ein Laufband lesen. Dadurch Alle Instrumente.“ werden Sie auch nicht fitter. Und eines der wichtigsten Instrumente, die Erste Schritte: Erkennen der jeder besitzen kann, sind gute Gewohnheiten. guten Gewohnheiten Dies gilt unabhängig davon, ob es sich um einen Diese Erkenntnis hatte ich auch noch nicht am CSO, einen CEO, ein Vorstandsmitglied oder Anfang meiner Karriere in der Cyber-Sicher- um jemanden handelt, der Technologien für heit. Wie vieles andere auch musste ich dies einen beliebigen Zweck einsetzt. Natürlich sind durch Versuch und Irrtum lernen. Vor Jahren moderne Firewalls, automatisierte Überwachung taten wir das, was auch alle anderen taten: Wir und Threat Intelligence Services obligatorische boten Schulungsvideos zur Cyber-Sicherheit Instrumente für die Cyber-Sicherheit einer Orga- nisation. Aber das reicht nicht. Ebenso muss 235
sowie Brownbag-Sitzungen an und simulierten Was sind Beispiele für gute Gewohnheiten in Phishing-Nachrichten. Aber es traten bei uns – der Cyber-Sicherheit? wie bei anderen auch – weiterhin Zwischenfälle in der Cyber-Sicherheit auf. Daher wussten wir, Reagieren Sie nicht. Reagieren Sie nicht dass wir etwas außer Acht gelassen hatten. sofort nach einem kurzen Blick auf den Vorgang. Versuchen Sie „vorherzusehen“, was passieren Die folgenden zwei Dinge fielen mir ein: wird, indem Sie sich Zeit lassen und auf die Zuerst erinnerte ich mich daran, wie ich als Kind Details achten. Wenn sich das anhört wie „vor Taekwondo lernte. Besonders an die Erkenntnis, lauter Wald nicht die Bäume sehen“, dann liegen dass es nicht zwangsläufig zum Erfolg führte, Sie richtig. Möglicherweise sehen Sie nicht nur einfach die Bewegungen zu lernen. Ich fand einen oder zwei isolierte Zwischenfälle, sondern schließlich heraus, dass der Erfolg den Drills Datenpunkte in einem hochauflösenden Muster, zu verdanken war und dass ich Zeit und Sorg- wenn Sie sich die Zeit nehmen, das Gesamtbild falt investieren musste, um einen richtigen Fort- zu betrachten. Bei der automatisierten Netz- schritt zu erzielen. werküberwachung wurde viel unternommen, um anormale Datenbewegungsmuster innerhalb Zweitens entschied ich zusammen mit mei- und außerhalb der Systeme zu ermitteln. Wir nen Kollegen aus dem Personalbereich, eine müssen uns aber bei der Überprüfung von Infor- Schulung zur Cyber-Sicherheit rund um etwas mationen immer noch auf intelligente, urteilsfä- zu entwickeln, von dem wir wussten, dass es hige und neugierige Menschen verlassen, bevor Erfolg hatte: Wellness-Programme. Heutzutage wir zulassen, dass eine sehr große Dateiübertra- bieten die meisten Personalabteilungen Gesund- gung in die Ukraine durchgeführt wird. heits- und Wellness-Programme als Mitarbeiter- vergünstigungen an. Teilweise weil die meisten Vertrauen Sie Ihrem Bauchgefühl. Ins- Mitarbeiter sich gerne um ihre Gesundheit küm- tinkte sind ein starker Verteidigungsmechanis- mern, aber vor allem weil die Programme tatsäch- mus – wenn wir ihnen vertrauen. Ich schlage lich funktionieren. Wellness-Schulungen sind nicht vor, dass Sie alles überdenken und in den langfristig erfolgreich, weil wir Menschen von Modus „Paralyse durch Analyse“ verfallen. Aber den Vorteilen einer gesunden Ernährung oder wenn sich eine E-Mail des CFO etwas von frühe- von Sport überzeugen können. Aber wir schulen ren Nachrichten unterscheidet, gehen Sie nicht sie auch darin, wie es zu einer Gewohnheit wird. einfach davon aus, dass sie schon echt sein wird. Und durch Anreize wie Urlaubstage werden Mit- Antworten Sie mit einer Frage oder rufen Sie den arbeiter noch weiter motiviert, neue Routinen zu CFO einfach an bzw. gehen Sie bei Ihm vorbei. entwickeln. Diese Programme haben Erfolg, weil sie Menschen dazu bringen, sich damit auseinan- Vertrauen Sie der Gemeinschaft. Ein derzusetzen, anzuerkennen und in dem Sinne zu besonders großer Fehler, den wir bei der Arbeit handeln, dass Wellness eine Gewohnheit ist und und zu Hause häufig begehen, ist, dass wir Angst keine erlernte Fähigkeit. haben, um Hilfe oder einfach um eine Einschät- zung zu bitten. Wir möchten anderen gegenüber Damit Wellness in der Cyber-Sicherheit funk- keine Wissenslücke zeigen oder wir befürchten, tioniert, mussten wir zunächst gute Gewohnhei- dass wir einen „Wettbewerbsvorteil“ in unserer ten bei der Cyber-Sicherheit erkennen und die beruflichen Laufbahn verlieren, wenn wir andere Mitarbeiter dann entsprechend drillen. Diese in unsere Gedankengänge einweihen. Wir sind Gewohnheiten müssen institutionalisiert werden nicht allein und bei der Cyber-Sicherheit ist es – angefangen beim oberen Management und bei viel besser, einen anderen Blickwinkel einzuneh- den Vorstandsmitgliedern. Es reicht nicht aus, men. Organisationen sollten beispielsweise über- dass nur der CSO an einer monatlichen Lunch- legen, einem Konsortium für den Austausch von and-Learn-Sitzung teilnimmt. Wenn die leiten- Wissen zu Cyber-Informationen beizutreten. den Führungskräfte sich nicht engagieren und Keine Angst, Sie müssen keine Betriebsgeheim- starke Signale senden, dass mangelnde Cyber-Si- nisse ausplaudern, sondern Sie können etwas cherheit eine mögliche Bedrohung für Organi- lernen, was Sie vorher nicht wussten. sationen und Mitarbeiter ist, stehen wir einem enormen Problem gegenüber. Bremsen Sie sich. Da so viele Faktoren, einschließlich des Tempos der technologischen 236 Menschen
Search
Read the Text Version
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
- 89
- 90
- 91
- 92
- 93
- 94
- 95
- 96
- 97
- 98
- 99
- 100
- 101
- 102
- 103
- 104
- 105
- 106
- 107
- 108
- 109
- 110
- 111
- 112
- 113
- 114
- 115
- 116
- 117
- 118
- 119
- 120
- 121
- 122
- 123
- 124
- 125
- 126
- 127
- 128
- 129
- 130
- 131
- 132
- 133
- 134
- 135
- 136
- 137
- 138
- 139
- 140
- 141
- 142
- 143
- 144
- 145
- 146
- 147
- 148
- 149
- 150
- 151
- 152
- 153
- 154
- 155
- 156
- 157
- 158
- 159
- 160
- 161
- 162
- 163
- 164
- 165
- 166
- 167
- 168
- 169
- 170
- 171
- 172
- 173
- 174
- 175
- 176
- 177
- 178
- 179
- 180
- 181
- 182
- 183
- 184
- 185
- 186
- 187
- 188
- 189
- 190
- 191
- 192
- 193
- 194
- 195
- 196
- 197
- 198
- 199
- 200
- 201
- 202
- 203
- 204
- 205
- 206
- 207
- 208
- 209
- 210
- 211
- 212
- 213
- 214
- 215
- 216
- 217
- 218
- 219
- 220
- 221
- 222
- 223
- 224
- 225
- 226
- 227
- 228
- 229
- 230
- 231
- 232
- 233
- 234
- 235
- 236
- 237
- 238
- 239
- 240
- 241
- 242
- 243
- 244
- 245
- 246
- 247
- 248
- 249
- 250
- 251
- 252
- 253
- 254
- 255
- 256
- 257
- 258
- 259
- 260
- 261
- 262
- 263
- 264
- 265
- 266
- 267
- 268
- 269
- 270
- 271
- 272
- 273
- 274
- 275
- 276
- 277
- 278
- 279
- 280
- 281
- 282
- 283
- 284
- 285
- 286
- 287
- 288
- 289
- 290
- 291
- 292
- 293
- 294
- 295
- 296
- 297
- 298
- 299
- 300
- 301
- 302
- 303
- 304
- 305
- 306
- 307
- 308
- 309
- 310
- 311
- 312
- 313
- 314
- 315
- 316
- 317
- 318
- 319
- 320
- 321
- 322
- 323
- 324
- 325
- 326
- 327
- 328
- 329
- 330
- 331
- 332
- 333
- 334
- 335
- 336
