:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Tipps für den Start als CISO Der erste Tag als CISO
Es kann schneller gehen, als man denkt: Die Geschäftsführung hat Sie als CISO auserkoren. Selbst wenn Sie sich schon lange mit Cyber Security befassen, kommen nun ganz neue Aufgaben auf Sie zu. Da ist es wichtig, gleich am ersten Tag die Weichen richtig zu stellen. Wir haben wichtige Tipps für Sie zusammengestellt, wie Sie sich für den neuen Alltag als CISO rüsten.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Entweder man arbeitet lange auf eine Karriere als IT-Sicherheitsverantwortlicher oder CISO hin, oder man wird es plötzlich. Der Security- und Compliance-Druck, den viele Unternehmensentscheider verspüren, führt vermehrt dazu, dass die Wahl des CISOs sehr schnell gehen kann, schneller als es dem oder der Betroffenen lieb ist.
Keine Frage, man kann sich geehrt fühlen, wenn der Vorstand oder die Geschäftsführung diese Wahl treffen, denn die Aufgabe ist mit einer großen Verantwortung verbunden, wenn auch oftmals nicht mit einem großen Budget. Doch wenn man sich auf eine wichtige Aufgabe nicht gut vorbereitet, kann der Stress für einen CISO gewaltig werden, schon am ersten Tag.
:quality(80)/images.vogel.de/vogelonline/bdb/1520000/1520047/original.jpg "Der CISO ist eine Aufgabe mit guter, aber unklarer Zukunft. (stokkete - stock.adobe.com)")
Die Rolle des CISO im Unternehmen
Welche Aufgaben ein CISO übernehmen muss
Vorsicht Fettnäpfchen-Gefahr!
Auch wenn man fachlich gut im Thema ist, sich mit Security- und Compliance-Fragen ausführlich befasst hat, lauern bei der neuen Aufgabe als CISO viele Fußangeln. Es sind häufig die weichen Themen wie Kommunikation, die zu ersten Problemen führen.
Ein Beispiel: Sie sind der neue CISO oder die neue CISO und treffen Ihre neuen Security-Mitarbeiterinnen und Mitarbeiter. Ob dies früher Ihre Kolleginnen und Kollegen waren oder nicht, nun ist eine neue Situation eingetreten. Was Sie jetzt sagen, wird anders beurteilt.
Stellen Sie sich also vor, Sie fallen mit der Tür ins Haus und sprechen die Security-Leute in Ihrem Unternehmen auf Punkte an, die Sie schon immer gestört haben und jetzt ändern wollen. Oder Sie sind voller Tatendrang und sprechen von großen Visionen und Veränderungen, obwohl bei den Leuten der Schuh ganz woanders drückt. Der Tritt ins Fettnäpfchen passiert schnell.
Zuerst geht es um den Überblick
Anstatt also über neue Vorstellungen zu reden, sollten Sie an das einfache Prinzip der Datenverarbeitung denken. Zuerst ist die Eingabe, dann die Verarbeitung und dann die Ausgabe. Beginnen Sie deshalb auch als CISO mit der Eingabe, also mit dem Sammeln von Informationen, denn Sie brauchen einen Überblick, der zu einem Durchblick werden muss, soweit dies eben nur bei einem komplexen Thema wie Security geht:
Lernen Sie Ihr Security-Team (neu) kennen. Dazu sollten Sie ein Team-Meeting machen, bei dem zuerst das Team Fragen an Sie stellen kann, und dann sollten Sie fragen, nach Problemen genauso wie nach Ideen.
Nehmen Sie wenn möglich gleich am nächsten Führungskräfte-Meeting teil. Hier treffen Sie Ihre wichtigsten Multiplikatoren und die größten Bremser im Unternehmen. Leider sind die Unterstützer nicht immer diejenigen, die das Security-Budget verantworten, aber wenn Sie zum Beispiel einen Multiplikator im Rechtsbereich finden, kann diese Person Stimmung für mehr Security machen. Versuchen Sie in jedem Fall, den CIO oder den CFO zumindest nicht gegen sich aufzubringen, eine fachliche Freundschaft kann später ja immer noch entstehen.
Treffen Sie sich mit den IT-Administratoren (nach Abstimmung mit der IT-Leitung, versteht sich). Bekanntlich haben die Administratoren eine zentrale Aufgabe, viel Wissen und sind wichtig für die Umsetzung vieler IT-Sicherheitsrichtlinien. Nicht zuletzt müssen Sie die Administratoren aber auch (vorsichtig) sensibilisieren, denn bei ihnen lauern auch große IT-Sicherheitsrisiken.
Sprechen Sie mit den verschiedenen Beauftragten, also Datenschutzbeauftragten, Qualitätsmanagementbeauftragten und was es sonst noch bei Ihnen an Beauftragungen gibt. Diese Beauftragten können zwar nicht direkt beim Budget helfen, aber sie können durchaus Argumente liefern für mehr Security, und sie haben oftmals wertvolle Informationen und Dokumentationen, die Ihnen helfen können, auch die (scheinbaren) Randgebiete der Security besser kennenzulernen.
Das Verzeichnis von Verarbeitungstätigkeiten (früher Verfahrensverzeichnis) aus dem Datenschutz kann eine gute Informationsquelle sein (sofern es denn schon eines gibt). Ebenso können die Prozessbeschreibungen aus dem Qualitätsmanagement einen hilfreichen Überblick bieten. Nicht zuletzt sind Security-Risiken Teil der Business-Risiken. Sprechen Sie mit dem Risk Manager, welche Risikoanalysen bereits vorliegen. Es gibt viele Synergien, die sich nutzen lassen, es gibt nicht nur die Unterschiede in den Prioritäten zum Beispiel zwischen Datenschutz und Security, sondern viele Gemeinsamkeiten.
Natürlich helfen Ihnen auch alle Security-Unterlagen, die es bereits im Unternehmen gibt, alle Security-Konzepte und -Richtlinien, die vielleicht ja unvollständig oder veraltet sind, aber einen Anfang darstellen, der besser ist als ein leeres Blatt Papier.
Schließlich: alle Mitarbeiterinnen und Mitarbeiter sollten wissen, dass Sie der oder die neue CISO sind. Wahrscheinlich wird nicht gerade ein Sommerfest anstehen, bei dem Sie eine kleine Ansprache machen können. Aber es gibt vielleicht ein Intranet, einen internen Newsletter, wo Sie sich vorstellen und als Ansprechpartner anbieten können.
:quality(80)/images.vogel.de/vogelonline/bdb/1584700/1584735/original.jpg "CISOs brauchen inzwischen gute Argumente für mehr Budget in der IT-Sicherheit. (gemeinfrei)")
Der CISO und der Stellenwert der Security
Warum CISOs das Security-Marketing verändern müssen
Werden Sie zum Gesicht der Security
Viele Security-Experten sind nicht so gerne im Rampenlicht, selbst wenn zum Beispiel gerade ein komplexer Angriff erkannt und abgewehrt wurde, bleiben sie gerne im Hintergrund. Da gibt es viele Bereiche in dem Unternehmen, die sich für weitaus kleinere Erfolge feiern lassen.
Sie müssen als CISO nicht zum Verkaufsstar werden, der jeden unterschriebenen Auftrag durch die Gänge der Firma trägt und vorzeigt. Aber Sie müssen sichtbar und präsent sein und die Bedeutung der Security zeigen, vielleicht sogar verkörpern. Mrs. Security oder Mr. Security genannt zu werden, muss nicht Ihr Ziel sein, aber es wäre nicht schlecht, wenn man Sie so sieht.
Erfreulich ist, dass Sie dazu keine Werbekampagne machen müssen, Sie müssen einfach nur vor Ort sein, also Ortsbegehungen machen. Vieles können Sie zwar über Ihre Management-Systeme abrufen und in Berichten nachlesen, aber verlassen Sie wann immer möglich Ihr Büro und sprechen Sie mit den Leuten, gleich vom ersten Tag an.
Bekanntlich sind wir Menschen immer noch das Sicherheitsrisiko Nummer 1, aber auch gleichzeitig ein mögliches Bollwerk gegen Social Engineering, wenn wir die Sicherheit vor Augen haben. Da hilft es, den oder die CISO vor Augen zu haben, nicht nur bei Security-Schulungen, sondern im betrieblichen Alltag. Diese Präsenz kostet Zeit, aber es ist eine gut investierte Zeit. Sie werden sehen, was Sie alles erfahren werden, was für Ihre Arbeit als neuer CISO wertvoll sein wird.
(ID:46064297)
:quality(80)/p7i.vogel.de/wcms/b8/1d/b81dd82e19df7a55d8953da7b4c30800/0114868455.jpeg "CISOs sollten die durch Rechts- und Compliance-Experten entstehenden Mehrwerte in einem unternehmensweiten Ansatz nutzen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")