9 Dinge, die CISOs den Job kosten


Sie können nicht sagen, wir hätten Sie nicht gewarnt…

Foto: Anton Vierietin | shutterstock.com

CISOs und andere Executives im Bereich IT-Sicherheit arbeiten im Regelfall hart daran, ihr Unternehmen – und ihre Karriere – abzusichern. Allerdings reicht eine kleine Unaufmerksamkeit, eine Fehlannahme oder auch ein falscher Ratschlag, um sämtliche Bemühungen im Handumdrehen zunichtezumachen.

Falls Sie damit planen, Ihren Job zu behalten, sollten Sie die folgenden neun Dinge unbedingt unterlassen.

1. Sich selbst überschätzen

Selbstüberschätzung kann in einen empfindlichen Karriereknick münden. Insbesondere, wenn sie dazu führt, dass (Sicherheits-)Lösungen eingesetzt werden, die zwar unter Umständen populär sind, sich aber noch nicht bewährt haben. Steve Tcherchian, CISO beim Security-Softwareanbieter Xypro Technology Corporation, spinnt das Szenario weiter: “Diese Art von ‘Ansatz’ schafft Sicherheitslücken, erhöht das Risiko für menschliches Versagen und führt zu einem falschen Sicherheitsgefühl unter den Stakeholdern – bis es schließlich zu einem katastrophalen Sicherheitsvorfall kommt.”

Ein übermäßig ausgeprägtes Selbstvertrauen kann auch dazu führen, dass IT-Sicherheitsentscheider – und ihre Teams – in Selbstgefälligkeit abdriften, wie der Xypro-CISO warnt: “Wenn Einzelpersonen oder Unternehmen davon ausgehen, ausreichende Security-Prozesse etabliert zu haben, sinkt ihre Wachsamkeit, die Schutzmaßnahmen veralten nach und nach – und die Anfälligkeit für neue Bedrohungen steigt.”

2. Komplexität fördern

CISOs, die sich von Technologietrends, respektive –hypes vereinnahmen lassen, statt sich auf die wesentlichen Aufgaben ihrer Rolle zu fokussieren, müssen ebenfalls damit rechnen, karrieretechnisch zu entgleisen. Richard Watson, Global Cybersecurity Consulting Leader bei der Unternehmensberatung EY, veranschaulicht die Folgen dieser Entwicklung: “Im Ergebnis werden zahlreiche Technologien angeschafft, die unnötige Komplexität einführen und vom Wesentlichen ablenken. Die Komplexität wiederum verursacht weitere Kosten während Integrationen neue Sicherheitslücken aufwerfen, die Angreifer zu ihrem Vorteil ausnutzen können.”

Erschwerend komme laut dem EY-Chefberater hinzu, dass auch Komplexität ein falsches Sicherheitsgefühl vermitteln könne – schließlich gingen Unternehmen davon aus, von den neuesten technologischen Innovationen in besonders hohem Maße geschützt zu werden.

3. GRC vernachlässigen

Eine weitere vielversprechende Option, um die eigene Security-Karriere zu verkürzen: Einen Cybersecurity-Stack ohne formelles GRC-Programm (Governance, Risk & Compliance) auf die Beine stellen. Scott Hawk, CISO beim Netzwerkserviceanbieter Velaspan, erklärt äußerst detailliert, warum: “Dieser Fehler hat potenziell verheerende Wirkung, weil er diverse Unternehmensaspekte betreffen kann. Ohne solides GRC-Programm ist es wesentlich wahrscheinlicher, dass zu viel Geld für Technologie ausgegeben wird, ein falsches Gefühl der Sicherheit entsteht, kritische Security-Komponenten übersehen werden und ein Alignment mit anderen Geschäftsbereichen verhindert wird.”

Als Gegenmittel empfiehlt auch Hawk ein GRC-Framework wie COBIT. Das stelle sicher, dass Risikomanagement, Compliance-Anforderungen und Governance in die Gesamtstrategie des Unternehmens integriert werden: “GRC wird Cybersecurity unternehmensweit zum Gesprächsthema machen. Das unterstützt dabei, Prioritäten zu setzen und Akzeptanz zu fördern. Mit GRC wird Cybersicherheit zum Business Enabler”, weiß der Sicherheitsentscheider.

4. Alignment verfehlen

Der größte Bock, den Sicherheitsprofis schießen können, ist weder technischer noch finanzieller Natur. Richard Caralli, Senior Cybersecurity Advisor beim Plattformanbieter Axio, verrät, was für CISO-Karrieren seiner Meinung nach sogar noch schädlicher ist, als potenzielle Bedrohungen nicht zu erkennen: “Cybersecurity-Programme nicht im organisatorischen Gesamtkontext zu durchdringen und zu gestalten, ist der größte Fehler, den IT-Sicherheitsentscheider begehen können. Der Schutz dessen, was für die Lebensfähigkeit des Unternehmens essenziell ist, sollte über Prioritäten und Investitionen im Bereich Cybersicherheit bestimmen.”

Laut Caralli gehöre es unbestreitbar zu den Pflichten von CISOs, Cybersicherheitsinitiativen auf die Beine zu stellen, die an den Zielen und Werten des Unternehmens ausgerichtet sind. Falls dieses Alignment fehlt, prophezeiht der Berater unschöne Konsequenzen: “Es besteht die Gefahr, dass Investitionen falsch ausgerichtet, Ressourcen unzureichend genutzt und allgemein schlechte Cybersecurity-Ergebnisse erzielt werden.”

5. Access Control hintanstellen

“Den Wald vor lauter Bäumen nicht sehen” gibt es auch im Cybersecurity-Entscheiderumfeld. Etwa, wenn der CISO ein Gros seiner Zeit darauf verwendet, sich über Backdoors in den Systemen Gedanken zu machen – darüber aber das Thema Access Control vernachlässigt. Nitin Sonawane, Mitbegründer des Identity-Spezialisten Zilla Security, warnt eindrücklich vor einem solchen Szenario: “Digitale Identitäten sind das Haupteingangstor zu Systemen. Sind sie unzureichend abgesichert oder falsch konfiguriert, ist das potenziell verheerend – speziell überprivilegierte Identitäten stellen im Falle eines Angriffs ein erhöhtes Risiko dar.”

Wie der Sicherheitsexperte bemängelt, versäumten es Unternehmen oft, die Zugriffsberechtigungen ehemaliger Mitarbeiter und Partner angemessen zu managen. Das führe zu verwaisten Accounts, die von Bedrohungsakteuren ausgenutzt werden könnten. Die effektivste Form des Identity Managements, da ist Sonawane überzeugt, führe über künstliche Intelligenz: “Die meisten Unternehmen unterhalten heute HR-Applikationen, die als Source of Truth für das Business-Profil jeden Nutzers dient. Findet eine Versetzung statt, entscheidet in der Regel der neue Vorgesetzte des Benutzers, welche Berechtigungen dieser – auf Grundlage des Business-Kontexts – noch benötigt und welche nicht. Dabei kann KI unterstützen.”

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

6. Faktor Mensch ignorieren

Bekanntermaßen bringt es IT-Sicherheitsentscheider (auch karrieretechnisch) nicht weiter, ihr Augenmerk ausschließlich auf technische Lösungen und Prozesse zu legen. Dan Lohrmann, Field CISO bei der IT-Beratung Presidio, sieht das sogar als größtmöglichen Fehler an: “Der Mensch ist immer noch die größte aller Schwachstellen. Sicherheitsexperten, die diesen Fakt unterschätzen oder außer Acht lassen, werden deshalb scheitern.”

Speziell die Tendenz der Mitarbeiter, Kontrollmaßnahmen, etablierte Richtlinien sowie Prozesse zu umgehen, könne zu einer ganzen Reihe von Insider-Bedrohungen führen, so Lohrmann – der diesbezüglich schon Einiges erlebt hat: “Ich habe schon Mitarbeiter erlebt, die hervorragende Cybersecurity-Initiativen sabotiert haben, indem sie schlicht untätig blieben, Dissonanzen innerhalb des Teams gesät haben oder unnötige Risiken eingegangen sind. Dabei sollten Sie im Hinterkopf behalten, dass sich Menschen im Laufe der Zeit auch verändern können: Einige einst hervorragende Mitarbeiter könnten aufgrund von Burnout oder widriger Lebensumstände ihren Fokus verloren haben. Das kann potenziell ebenso großen Schaden anrichten wie ungeschulte oder böswillige Benutzer.”

Als Abhilfemaßnahmen empfiehlt der Field CISO in erster Linie, die Recruiting-Maßnahmen zu optimieren und dabei auch auf ausgiebige Background Checks für neue Mitarbeiter zu setzen. Das könne seiner Meinung nach einen starken Beitrag dazu leisten, das interne Sicherheitsniveau zu stärken. Ergänzend fügt Lohrmann hinzu: “Die Fähigkeit, Hinweise auf einen möglichen Burnout zu erkennen, ist diesbezüglich ebenso wichtig.”

7. Datenballast zulassen

Veraltete Datensätze, die in Cloud-Speichern versauern, sind möglicherweise nicht unbedingt sichtbar und deshalb auch schnell vergessen – können aber jederzeit als CISO-Karrierekiller “zurückkommen”.

Rich Vibert, CEO des Data-Security-Anbieters Metomic, macht deutlich, wo das Problem liegt: “Solche Daten bergen erhebliche Gefahren, die von Sicherheitslücken bis hin zu Compliance-Problemen reichen. Das zuzulassen ist ein besonders dummer, weil äußerst vermeidbarer Fehler. Veraltete Datensätze enthalten möglicherweise sensible Informationen, was gefährlich werden kann, wenn sie in die falschen Hände geraten und die Zugangskontrollen nicht sorgfältig aufgesetzt sind.”

Darüber hinaus könnten veraltete Daten Cyberkriminelle auch mit wertvollen historischen Informationen ausstatten, die sich wiederum für zielgerichtete(re) Social-Engineering-Attacken verwenden ließen, so Vibert.

8. In Silos verharren

Entfällt eine effektive Kommunikation mit Stakeholdern aus nicht-technischen Bereichen, kann das nicht nur Missverständnisse, Misstrauen und Verwirrung hervorrufen: Betroffene CISOs dürften es auch deutlich schwerer haben, ihre Security-Budgets bewilligt zu bekommen.

Jeff Orr, Director bei Ventana Research, rät IT-Sicherheitsentscheidern deshalb dazu, auf Business-Terminologie zu setzen, wenn es darum geht, über kritische Security-Probleme und ihren Business Impact aufzuklären: “Bieten Sie Beispiele an, die Sicherheitskonzepte mit Business-Aktivitäten in Verbindung bringen – und sorgen Sie auch im Rahmen von Reportings für Klarheit.”

9. Selbstgefällig agieren

Der Fehler mit dem größten CISO-Karrierekillerpotenzial ist es allerdings, anzunehmen, alles wäre unter Kontrolle. Howard Taylor, CISO beim Sicherheitsanbieter Radware, kennt Kandidaten, die solchen Annahmen erliegen – und weiß, wie ihre Karriere im Regelfall endet: “Solche Führungskräfte vertrauen vor allem darauf, durch Massen von Zertifizierungen vor Cyberkriminellen geschützt zu sein. Nachdem ihr Unternehmen einen massiven Datendiebstahl durchlebt hat, sind ihre letzten Worte dann ‘Wir haben unser PCI DSS Zertifikat in der Tasche’.”

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

vgwort

Leave a Comment