CISOs: Helden ohne vorzeigbare Ergebnisse?

Die Position des Chief Information and Security Officers (CISO) rückt immer stärker in den Fokus. Die Herausforderung dieser Rolle ist jedoch größer als man denkt. Es gilt, eine effiziente Strategie zum Schutz des Unternehmens aufzustellen, die jeder Mitarbeiter verstehen und mitgestalten kann. Dabei ist gerade der menschliche Faktor das größte Sicherheitsrisiko für jede Cybersecurity-Strategie. Zahlen belegen, dass es kontinuierlichen Trainings bedarf, um die Aufmerksamkeit der Belegschaft aufrechtzuerhalten. Bereits eine Pause von wenigen Wochen kann zu einem signifikanten Abfall des Sicherheitsdenkens führen.

Zeitgleich wird der Erfolg eines CISOs, anders als bei anderen Positionen, an nicht eingetretenen Ereignissen gemessen. Das wiederum macht die Erfolgsmessung deutlich schwieriger: Solange es zu keinem Zwischenfall kommt, wird die Notwendigkeit eines CISOs hinterfragt. Erst wenn es zum Zwischenfall kommt, steht er im Fokus. Oft heißt es dann, die Sicherheitsstrategie des CISOs war nicht elaboriert genug. Der Hund liegt jedoch an einer anderen Stelle begraben: Für Unternehmen stellt sich nicht die Frage, ob es irgendwann zu einem Zwischenfall kommt, sondern wann – und wie gut sie darauf vorbereitet sind.

Kommt mit großer Einfachheit auch großes Risiko?

Der Erfolg einer Cybersicherheitsstrategie bemisst sich also unter anderem daran, wie lange es keine relevanten Sicherheitszwischenfälle gibt und wie schnell darauf reagiert werden kann. Die Krux dabei ist, die Verfahren so einfach wie möglich zu halten, damit die komplette Belegschaft der Strategie folgen kann, und dabei trotzdem der bestmögliche Schutz geboten wird. Hier gilt es, die Lebenswelt der Mitarbeiter in die Überlegungen einzubeziehen.

Dabei liefern die am häufigsten genutzten Tools manchmal die größten Angriffspunkte. So können besonders im Umgang mit Microsoft365 ungeahnte Sicherheitslücken entstehen. Dateien werden über einen Link geteilt, und mit den falschen Einstellungen der Zugriffsrechte kann jeder auf die Inhalte zugreifen, der den Link dazu hat – ein Einfallstor für Hacker. Ein Weg aus dieser Misere kann beispielsweise sein, neben der Implementierung eines effektiven Berechtigungsmanagements auch zusätzliche Tools zur Kontrolle zu nutzen. So wird mit nur wenig Aufwand messbar sichergestellt, dass tatsächlich nur autorisierte Personen Zugriff auf sensible Daten bekommen und Karteileichen – beispielsweise nach Kündigung eines Mitarbeiters – schnellstmöglich beseitigt werden.

ISO27001-Zertifizierung liefert Einblicke

Doch wie lässt sich der Erfolg einen CISOs nun messen? Die in Arbeit befindliche Dokumentation für die geplante ISO27001-Zertifizierung liefert hierzu Einblicke. Schlüsselindikatoren für eine gute Erfolgsmessung sind:

• Abdeckung der Sicherheitsscans
• Anzahl der Sicherheitsvorfälle sowohl mit als auch ohne menschliche Ursache
• Abdeckung der Mitarbeiterschulungen
• Ergebnisse aus Phishing-Simulationen
• Umfang der verschlüsselten Festplatten auf Anwender-Rechnern
• IT-Systeme mit installiertem Virenscanner
• Anzahl schwerwiegender Risiken aus Risikoanalyse
• Dauer bis zur Installation eines neuen Patches mit mittlerer oder hoher Kritikalität