Ich konnte keinen passenden Titel für diesen Beitrag finden, in dem ich verschiedene Erkenntnisse sammeln möchte, die ich in den letzten Tagen erhalten habe und die ich früher oder später gemeinsam mit Rocco Sicilia diskutieren möchte.

Ich beginne mit der Provokation: Die Welt der Cybersicherheit steht sicherlich seit einigen Jahren im Rampenlicht. Provokativ (die Gründe werden wir später sehen) würde ich sie als “trendy” definieren. Es gibt verschiedene Hypes, die einander folgen und Bedürfnisse/Ängste schaffen, um Lösungen und Dienstleistungen zu verkaufen. Es ist nichts Falsches daran, aber wir müssen zwischen Handeln aus “Trendiness” und strategischem Handeln unterscheiden.

Handeln aus “Trendiness” ist ein Impuls, ästhetisch, manchmal sehr persönlich, oft aus Nachahmung heraus getan, und grundsätzlich ist es schwierig, die Motivation hinter einigen Entscheidungen nachzuverfolgen. Weil es genau ein Impuls ist. Übersetzt, für den Zweck dieses Beitrags, sind auf Impuls gewählte Sicherheitsmaßnahmen nicht von einer Strategie geleitet und, wir haben bereits mehrmals darüber gesprochen, sind sie oft unwirksam. Diese Art des Handelns ist äußerst verbreitet und leicht zu identifizieren: Wenn ich frage, “warum” eine Sicherheitsmaßnahme (NAC, Firewall, Security Awareness Training Software…) implementiert wurde, tendiert die Antwort dazu (ich übertreibe und vereinfache) “weil”. Fast immer sind diese auf Impuls gewählten Sicherheitsmaßnahmen nicht in einen Prozess integriert und werden nicht überwacht (wir haben auch darüber gesprochen).

Strategisches Handeln (zusammengefasst) beginnt mit einer Analyse und integriert Sicherheitsmaßnahmen in ein höheres Design. Jede Maßnahme wird mit einem bestimmten Zweck ausgewählt und eingefügt und als solche gemessen. Es können Ausnahmen geben, aber sie sind gut dokumentiert und vorübergehend (mit einem bestimmten Datum). Denn eine Ausnahme schwächt die von uns implementierten Schutzmaßnahmen.

Ein echtes Beispiel, das die Grundlagen betrifft: die Firewall. Alle Unternehmen haben eine Firewall, ob es sich um eine Perimeter-, Dual-Bastion… handelt. Aber fast kein Unternehmen definiert Richtlinien: Richtlinien werden von Technikern erstellt und werden oft gehasst, weil sie die Arbeit anderer einschränken. Strategisches Handeln beginnt mit dem Zweck der eigenen Infrastruktur, die das Geschäft unterstützen soll. Als solche muss sie Dienste bereitstellen, die über Server implementiert sind. Diese Server haben zur Funktion Konnektivitätsbedürfnisse und damit verbundene Risiken. Risiken werden durch die Aufteilung der Server in Bereiche gemildert, und diese Bereiche können nur unter bestimmten Regeln miteinander kommunizieren, die in Firewall-Richtlinien übersetzt werden. In der idealen Welt sollte ich NIE Systeme finden, die öffentlich zugänglich und in als sicher betrachteten Netzwerken positioniert sind. Doch ich finde sie und sie sind oft historische Relikte, verlassen, ungeprüft, aber genau aus “historischen Gründen” ausgestellt.

Weil, in Unternehmen, die Sicherheit von Technikern durchgeführt wird, gibt es keine Kraft, die Welt der Cybersicherheit auf Unternehmensebene zu bringen.

Und dann kommt der CISO.

Die Verantwortung für die Cybersicherheit wird auf den CISO abgewälzt. Und ich meine “abgewälzt”: nämlich das Problem, das früher den Technikern überlassen wurde, wird jetzt einem Manager überlassen, damit das Unternehmen weiterhin darüber hinwegsehen kann. Fangen wir mit den Grundlagen an:

• Ein CISO, der nicht dem Vorstand berichtet, kann seine Arbeit nicht tun;
• Ein CISO, der kein Budget hat, kann seine Arbeit nicht tun;
• Ein CISO, der kein Vetorecht hat, kann seine Arbeit nicht tun;
• Ein CISO, der nicht vor jeder technologischen Wahl konsultiert wird, kann seine Arbeit nicht tun.

Es wurde oft gesagt: Cybersicherheit ist ein unternehmensweites Problem, aber alle tun so, als ob es nicht so wäre. Vor ein paar Jahren hatte ich die Gelegenheit, einige CEOs von mir nahestehenden Unternehmen zu interviewen. Die Antworten waren aufschlussreich, weil sie mir erlaubten, ihre Denkweise zu verstehen und ihre Bedürfnisse zu verstehen. Kurz gesagt: Cybersicherheit ist für sie kein interessantes Thema, weil es an den CIO / CISO delegiert ist (abhängig vom Unternehmen).

Natürlich gibt es viele Ausnahmen, aber das vorherrschende Verhalten, das ich bemerke, ist das, das ich beschrieben habe.