Die Rolle des CISOs im Wandel – für eine sicherheitsorientierte Zukunft

Der Chief Information Security Officer (CISO) ist in modernen Unternehmen nicht mehr wegzudenken. Durch den stetigen Wandel der Sicherheitsbedrohungen, müssen CISOs kontinuierlich ihre Maßnahmen anpassen, um den Anforderungen gerecht zu werden. Gleichzeitig ist ein ganzheitlicher Ansatz zur Bewertung und Prävention notwendig.

Moderne Unternehmen setzen auf den Chief Information Security Officer (CISO), um ihre Sicherheitskultur und -technologie zu gestalten. Diese Aufgabe erweist sich allerdings als äußerst anspruchsvoll. Zwar sind sich Führungskräfte und Vorstände bewusst, dass die Abwehr von Cyberrisiken eine bedeutende Rolle einnimmt. Im Vergleich zu anderen Faktoren wie Kreditwürdigkeit, Liquidität und Marktrisiken fällt es ihnen allerdings häufig schwer, Cybersicherheit richtig einzuschätzen. Darüber hinaus müssen CISOs die Sicherheitsrisiken heutzutage nicht mehr nur identifizieren, vielmehr benötigen sie fundierte Informationen, um Investitionen, Arbeitszeiten und Budgets zu rechtfertigen.

Die Bedrohungen

Sechs Jahre sind seit dem berüchtigten Vorfall bei Equifax vergangen. Das Datenleck bei einer der drei größten Auskunfteien für Verbraucherkredite in den Vereinigten Staaten war ein Wendepunkt: Der Angriff hat gezeigt, dass niemand vor Cyberangriffen sicher ist und Unternehmen nicht nur darüber nachdenken müssen, wie sie Informationen speichern und darauf zugreifen, sondern vor allem, wie sie Daten mithilfe robuster Systeme schützen.

Zwar ist das Bewusstsein für Cyberbedrohungen heute höher als je zuvor – doch gleichzeitig ist auch die Motivation von Cyberkriminellen gestiegen. So nehmen Ransomware, gefälschte Geschäfts-E-Mails (Business-E-Mail-Compromise, BEC) und Erpressungstaktiken immer weiter zu. Zusätzlich bietet die künstliche Intelligenz Kriminellen eine breite Palette an Werkzeugen, die sie gegen unterbesetzte Unternehmen einsetzen können, deren IT-Teams eine Vielzahl an Aufgaben erfüllen. Kurz gesagt: Die Rolle des CISOs ist heute vielfältiger denn je und muss in diesem anspruchsvollen Sicherheitsumfeld eine Vielzahl von Aspekten berücksichtigen.

Prävention und Reaktion

Häufig verlassen sich CISOs zur Abwehr von Bedrohungen auf Technologien, ohne die notwendige Infrastruktur oder Schulungen für ihre Mitarbeiter bereitzustellen. Bei der Sicherheitsstrategie eines Unternehmens empfiehlt sich jedoch ein ganzheitlicher Ansatz, der Menschen, Prozesse und Technologien integriert und auf die Förderung einer Präventions- und Reaktionskultur abzielt.  Mitarbeiter müssen demnach geschult werden, um Phishing und andere Social-Engineering-Methoden zu erkennen. Gleichzeitig ist eine enge Zusammenarbeit des CISOs mit den IT-Teams, die tägliche Aufgaben wie das Einspielen von Patches oder andere prozessorientierte Aufgaben durchführen, unerlässlich. Ein weiterer wichtiger Aspekt der Prävention ist die Transparenz über unternehmensweite Vorgänge. Technologie kann hierbei zwar unterstützen, die geforderte Transparenz zu schaffen, dennoch bedarf es auch menschlicher Ressourcen, um Warnsignale zu überwachen und Bedrohungen zu identifizieren.

Bei der Reaktion auf Bedrohungen ist ein klar definierter Plan entscheidend, der die möglichen Bedrohungsakteure und -szenarien berücksichtigt. Mitarbeiter und Führungskräfte gleichermaßen sollten regelmäßig üben, die aufgezeigten Risiken zu erkennen und die nötigen Schritte zur Abwehr einzuleiten. Zudem bieten moderne Cybersicherheitspläne oft sogenannte „Breach Coaches“, die bei der Entwicklung und Implementierung von Protokollen unterstützen. Dies stellt einen wertvollen Vorteil bei der Ausarbeitung von Reaktionsplänen dar.

Fortschrittliche Sicherheitsmaßnahmen

Durch die wachsende Bedeutung der Unternehmenssicherheit und der steigenden Verantwortung der CISOs sind neue Kompetenzen erforderlich, um die oben genannten Strategien effektiv zu unterstützen. Diese beinhalten:

• Verbesserung des Risikomanagements durch Identifikation und Kommunikation der wichtigsten Sicherheitsrisiken, sowie die Beratung von Geschäftsführern und Vorständen bezüglich Cyberrisiken.
• Implementierung von Schutzmaßnahmen wie physischer Sicherheit, Bewältigung von Nicht-Cyber-Vorfällen, Prävention von Gewalt am Arbeitsplatz, Business Continuity Management (BCM) und Krisenmanagement.
• Gewährleistung der Betriebssicherheit mit Fokus auf den Schutz kritischer Infrastrukturen wie Anlagen, Maschinen und industriellen Kontrollsystemen.
• Sicherstellung von Datenschutz und Privatsphäre, einschließlich Einhaltung von Vorschriften wie der Datenschutz-Grundverordnung (DSGVO).
• Förderung der Cyberresilienz, inklusive Funktionen wie Bedrohungs- und Schwachstellenmanagement, Reaktion und Wiederherstellungsstrategien, Kontinuitätsplanung, DevOps-Kontinuität und Anwendungssicherheit.
• Durchführung bereichsübergreifender Audits, um sicherzustellen, dass Sicherheit im gesamten Unternehmen vertreten und verstanden wird.
• Verwaltung der Kundenbeziehungen auf externer Ebene, um die Investitionen des Unternehmens in Datenschutz und Sicherheit sichtbar zu machen und dadurch Kunden zu gewinnen und langfristig zu binden.

Zur Unterstützung des unternehmensweiten Sicherheitsprogramms setzen viele CISOs auf den Business Information Security Officer (BISO). Der BISO fungiert als regionaler Sicherheitsbeauftragter und ist die erste Anlaufstelle für Sicherheitsbelange in verschiedenen Geschäftsbereichen und Regionen. Er gewährleistet zudem die Einhaltung der Sicherheitsrichtlinien und sensibilisiert das Unternehmen für Cyberrisiken und Verantwortlichkeiten.

Fazit

Die Rolle des CISOs ist anspruchsvoll und entwickelt sich stetig weiter. Angesichts wachsender Cyberbedrohungen ist ein ganzheitlicher Sicherheitsansatz zur Bewertung, Prävention und Reaktion unerlässlich. CISOs müssen dementsprechend in Schulungen investieren, Mitarbeiter sensibilisieren und klare Reaktionspläne entwickeln. Die steigende Bedeutung der Unternehmenssicherheit erfordert von CISOs außerdem die Umsetzung verschiedener Maßnahmen – von Risikomanagement bis Datenschutz. Die Zusammenarbeit mit BISOs sowie die Integration von Sicherheitsmaßnahmen in allen Unternehmensbereichen sind letztendlich entscheidend, um ein sicheres Unternehmensumfeld zu gewährleisten.

Autor: Graeme Payne, Senior Director für Strategie, Risiko, Compliance und Identitätsschutz bei Kudelski Security