Noch vor ein oder zwei Jahrzehnten war Cybersicherheit nur ein Thema für die größten Unternehmen. Heute, im Zeitalter der digitalen Transformation, muss jedes Unternehmen auf der Hut sein, selbst die kleinsten Unternehmen.
Beim Umgang mit der Cybersicherheit geht es nicht mehr nur um den Schutz vor Viren und Spyware und gelegentlichen Netzwerk Hacks, wie noch zu Beginn des Jahrhunderts. Heute geht es um die Einhaltung von Vorschriften, um Zero Trust, um die Vermeidung von Ransomware-Angriffen, darum, nicht auf gezieltes Phishing herein zufallen, darum, dass Ihre Webanwendungen nicht voller Schwachstellen sind, und darum, nicht nur die Endpunkt-, sondern auch die Cloud-Sicherheit zu gewährleisten. Die Liste der Cyber-Bedrohungen lässt sich beliebig fortsetzen.
Diese rasante Entwicklung, die durch das explosionsartige Wachstum krimineller Organisationen, die sich auf Cyberangriffe spezialisiert haben, vorangetrieben wird, ist nicht leicht zu bewältigen, insbesondere in Branchen wie dem Gesundheitswesen oder den Finanzdienstleistungen, die häufig Ziel von Cyberkriminellen sind. Infolgedessen fühlen sich Cybersicherheitsteams oft wie Zusatzstrukturen an, die nicht vollständig in das Innere eines Unternehmens integriert sind. Und in solchen Situationen erleben Unternehmen die schmerzhaften Folgen einer fehlenden Verbindung zwischen Geschäftsführern und Sicherheitsteams.
Cybersicherheit und das Unternehmen – die besten Feinde
Die Rolle der Sicherheitsteams ist nicht einfach – sie sind gewissermaßen die interne Polizei des Unternehmens, die ein Auge auf die Arbeit der anderen wirft. Und wie bei der normalen Polizei führt dies zu einer gemischten emotionalen Aufnahme durch die beobachteten Personen. Manche Mitarbeiter wissen es durchaus zu schätzen, dass jemand über sie wacht und dafür sorgt, dass ihre Handlungen keine schlimmen Folgen haben. Aber viele sind einfach nur genervt von den Einschränkungen oder fühlen sich unwohl, wenn ihnen jemand in Echtzeit den Rücken freihält.
Diese Beziehung, die man am ehesten als Freundschaft bezeichnen könnte, erschwert es Unternehmensleitern wie der Führungsetage, die Notwendigkeit einer umfassenden Cybersicherheitsabdeckung zu erkennen. Für diese Führungsteams kann ein Cybersicherheitsteam nicht nur eine Belastung für das Budget darstellen, sondern auch ein Faktor sein, der sich negativ auf die Moral im Unternehmen auswirkt.
Die Schwierigkeiten bei der Zusammenarbeit mit Entwicklern
Die größte Diskrepanz zwischen den Sicherheitsteams und dem Rest des Unternehmens ist bei den Entwicklerteams zu beobachten. Eine von VMware in Auftrag gegebene und von Forrester Research durchgeführte Studie aus dem Jahr 2021 ergab, dass 52 % der befragten Entwickler der Meinung sind, dass die Sicherheitsrichtlinien ihre Innovation behindern. Diese Studie zeigt, dass es in dieser Hinsicht einige Fortschritte gibt, aber es ist noch ein weiter Weg zu gehen.
Es scheint tragisch, dass ausgerechnet die Entwickler, die technisch versiert sind und sich in der Regel der Sicherheitsrisiken bewusst sind, das größte Hindernis darstellen, wenn es darum geht, Sicherheitsteams in das Unternehmens-Ökosystem zu integrieren. Dies ist jedoch ein Ergebnis der späten und schnellen Einführung von Sicherheit in Geschäftsumgebungen – wie bereits erwähnt, eher ein Zusatz als ein integraler Bestandteil.
Die schwierige Rolle des CISO
Derjenige, der sich all diesen Herausforderungen in größeren Unternehmen stellen muss, ist natürlich der Chief Information Security Officer (CISO). Auf der einen Seite muss er sich für ein möglichst effizientes Sicherheits-Ökosystem einsetzen, auf der anderen Seite muss er sich dem Widerstand anderer Unternehmensleiter stellen, die mit den Einschränkungen nicht einverstanden sind.
Ein sehr einfaches Beispiel für ein solches Problem: Nehmen wir an, ein Unternehmen hat viele Außendienstmitarbeiter, die auf ihren eigenen Rechnern und nicht auf den Laptops des Unternehmens arbeiten. Dies führt zu einer sehr schwierigen Situation, in der der CISO einerseits eine Sicherheitsstrategie entwickeln muss, die es diesen Auftragnehmern ermöglicht, effizient zu arbeiten, und andererseits die Informationen, auf die sie zugreifen, vollständig schützen muss.
Hut ab vor den CISOs. Sie dürfen beim Spagat zwischen dem Vorstand und anderen Interessengruppen, den Cybersicherheitsrisiken, den Budgets und den unzufriedenen Nutzern nicht untergehen.
Nachteile durch begrenztes Bewusstsein
Ein weiterer Faktor, der eine wichtige Rolle bei der Kluft zwischen Unternehmensleitern und Sicherheitsverantwortlichen und ihren Teams spielt, ist die Tatsache, dass es für jemanden, der keine technische Ausbildung hat, schwierig ist, Cybersicherheit zu verstehen. Viele Unternehmensleiter müssen ihren Sicherheitskollegen vertrauen, dass Cybersicherheit nicht nur eine einzige, einfache Aufgabe ist.
Auch hier ist es nicht verwunderlich, dass ein Unternehmensleiter, der mit dem gesamten Umfang potenzieller Cybersicherheitsanforderungen konfrontiert wird, einfach verwirrt ist und nicht versteht, warum so viel Aufwand und Geld nötig sind, um ein effizientes Sicherheitsprogramm aufrechtzuerhalten. Es fällt ihnen schwer zu verstehen, warum das Unternehmen viele Sicherheitsspezialisten und Sicherheitslösungen benötigt. Versuchen Sie beispielsweise, dem stellvertretenden Vorstandsvorsitzenden zu erklären, warum Ihr Unternehmen eine DLP-Lösung, ein XDR-Produkt, einen Web-Schwachstellen-Scanner, einen Netzwerksicherheits-Scanner, eine WAF, ein IDS/IPS sowie Sicherheitsforscher, Incident-Response-Teams, Threat-Intelligence-Leiter, Risikomanagement-Abteilungen und Spezialisten für Cybersicherheitsmetriken benötigt – warum reicht es nicht mehr aus, Microsoft Defender auf allen Rechnern zu aktivieren?
Automatisierung und Tooling – die beste Lösung
Was CISOs und ihren Sicherheitsteams hilft, die besten Ergebnisse zu erzielen, ist die weitestgehende Automatisierung von Verfahren. Der eine offensichtliche Vorteil ist die Effizienz der Arbeit in solchen Fällen – viele Elemente der Sicherheitslage werden vom Tool viel schneller erledigt, als wenn sie manuell durchgeführt werden würden. Ein einfaches Beispiel wäre die Überprüfung von Software-Schwachstellen, bei der manuelle Penetrationstests durch Sicherheitsforschung nicht einmal ansatzweise mit dem Scannen von Schwachstellen mithalten können.
Es gibt jedoch noch einen weiteren großen Vorteil, wenn man so viele Tools wie möglich einsetzt, um die bestmögliche Sicherheitslage aufrechtzuerhalten: Menschen ärgern sich nicht so sehr über Tools, wie sie sich über andere Menschen ärgern. Wenn zum Beispiel ein Sicherheitsexperte einen Mitarbeiter auf ein potenzielles Sicherheitsproblem hinweist, das durch die Handlungen des Mitarbeiters verursacht werden könnte, wird der Mitarbeiter diese Nachricht wahrscheinlich persönlich und emotional aufnehmen. Erhält derselbe Mitarbeiter hingegen eine Nachricht von einem Tool, bevor er die riskante Handlung vornimmt, wird er vielleicht ein wenig über die Technologie schimpfen, aber wahrscheinlich keinen Groll gegen die Software hegen.
Der beste Weg für ein Sicherheitsteam, mit Cybersicherheit umzugehen und gleichzeitig ein gesundes Verhältnis zum Rest des Unternehmens, einschließlich der Geschäftsleitung, zu pflegen, ist daher das richtige Tooling. Wir können Ihnen dabei helfen. Werfen Sie einen Blick darauf.