:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/30/3030b66cc91bdc748d53ddfa98603890/0114242796.jpeg "Der sichere Betrieb von SAP-Systemen erfordert die individuelle Absicherung des Systems und auch den sicheren Betrieb der gesamten SAP-Landschaft. (Bild: yingyaipumi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/9b/4b9b0e03c93f35253e7bdc638d8c1985/0114368367.jpeg ""Sichere Digitalisierung im Maschinenbau", ein Interview von Oliver Schonschek, Insider Research, mit Christoph Schambach von secunet Security Networks AG. (Bild: Vogel IT-Medien / secunet Security Networks AG / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/12/c212e1f2d8d9ec50fa8c1c40f8aecb22/0114324694.jpeg "Oft totgesagt und trotzdem quicklebendig: Passwörter sind trotz Alternativen noch immer allgegenwärtig und ein willkommenes Ziel für Cyberkriminelle. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/f1/6b/f16b94ff7c9056c68539d3beb864080f/0114259975.jpeg "CISOs verstehen menschenzentrierte Sicherheit in erster Linie als das, was man dazu auf dem Markt einkaufen kann: nämlich Awareness- und Phishing-Simulationen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security Manager Neu als CISO oder Sicherheitsverantwortlicher – was nun?
Haben Sie eine neue Stelle als Chief Information Security Officer (CISO), Chief Security Officer (CSO), Leiter Informationssicherheit oder ähnliches angetreten? Herzlichen Glückwunsch! Es kann ein großartiger Job sein oder Ihr schlimmster Albtraum – manchmal sogar annähernd zur gleichen Zeit.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Zunächst einmal lassen Sie mich sagen: Ich kenne das Umfeld des IT-Security-Verantwortlichen und habe die entsprechenden Narben und Referenzen als Beweis. Ich möchte Ihnen ein paar Tipps für die ersten Tage, Wochen und Jahre geben. Doch zuerst erzähle ich Ihnen einige mögliche Geschichten über Sie und Ihren neuen Beruf, die die Erfahrungen als CISO beeinflussen könnten – oder auch Themen, die Sie persönlich weiterentwickeln sollten:
Ehemalige CISOs in anderen Unternehmen und/oder Branchen
Sie wissen genau worum es geht, jedoch müssen Sie sich ggf. an eine andere Branche oder Unternehmensgröße gewöhnen. Zumindest wird sich sehr wahrscheinlich die Unternehmenskultur von Ihrer vorherigen Organisation unterscheiden und wie wir alle wissen: Culture eats strategy for breakfast.
Ehemalige Berater mit Security-Management Hintergrund (zB Ex-Big4)
Die letzten Jahre haben Sie sich mit der Informationssicherheit vornehmlich in Powerpoint beschäftigt. Vornehmlich trafen Sie auf Alpha-Persönlichkeiten von Partnern und Kunden, die entweder nicht wirklich wissen was sie wollen bzw. brauchen (oder aber sie wissen genau was sie wollen, doch es ist am Ende nur ein internes Machtspiel).
Wahrscheinlich haben Sie ursprünglich einen technischen Hintergrund (z.B. Informatik). Der einzige Code, den Sie seit Jahren angefasst haben, sind allerdings komplizierte sverweis-Formeln in Excel. Sie sind jedoch auch ein bisschen stolz darauf, dass ihre Tabellen den Prozessor eines typischen Laptops lahmlegen.
Religiös lesen Sie die diversen Security Blogs à la Bruce Schneier, Grugq, Brian Krebs oder The Hacker News (und nicht zu vergessen: Taylor Swift), um auf dem Laufenden zu bleiben. Sie sind auch fest davon überzeugt, dass sie immer noch tief in diese Themen einsteigen könnten, wenn Sie es denn nur wollten und die Zeit investierten.
Doch nun kommt das böse Erwachen und die Erkenntnis, dass Sie eigentlich gar nicht so genau wissen, wie man ein erfolgreiches Informationssicherheits-Management auf dem echten „Schlachtfeld„ aufzieht und dass der Arbeitsmodus sehr anders als bisher ist: Eine Million Dinge prasseln gleichzeitig auf Sie ein – vielleicht hatten die alten Kunden doch Recht, als sie damals keine Zeit hatten, Ihre Fragen jetzt genau in diesem Moment zu beantworten.
Ehemalige technische InfoSec-Berater, PenTester, SecOps-Mitglied, Incident-Responder, Forensik-Spezialisten
Sie waren die Elite für das, was Sie taten, also insbesondere offensive Security-Operations, Monitoring von Servern und Steuerung der Bytes, die durch das Netzwerk schießen. Schließlich ist dies auch das einzige, was man wissen muss, um etwas abzusichern: Sicherheit ist ein Technikproblem und muss durch Technik gelöst werden, korrekt? Wer braucht denn diesen ganzen Management-Mist?
Nun, willkommen in der Welt von Budgets und Politik und der Realität von divergierenden Prioritäten und gegensätzlichen Zielen in komplexen Organisationen. Sie werden feststellen, dass es in der Tat wichtig ist, wie Sie hochkomplexe technische Themen strukturieren und Risiken so zu kommunizieren, dass Fachbereiche und der Vorstand tatsächlich auch verstehen, worüber Sie reden.
Das Balancieren all dieser verschiedenen Stränge ist inhärent ein Menschen-Thema und auch mehr eine Kunst als eine Wissenschaft. Vielleicht realisieren Sie sogar, dass Sicherheit (mehr als die meisten anderen IT-fokussieren Themen) im Kern nur um Menschen geht und die Technik dieses nur unterstützt.
Andere Rolle in der IT-Abteilung desselben Unternehmens
Sie kennen das Unternehmen schon sehr gut und auch alle wichtigen Akteure – und selbstverständlich haben die Fachbereiche keine Ahnung von Technik, nur Sie wissen es besser. Außerdem haben Sie sich ja auch bereits um Security gekümmert, als Sie der Administrator für das Active Directory oder das Netzwerk waren. Was kann da schon schiefgehen?
Nun, als erstes sollten Sie so schnell wie möglich akzeptieren, dass Sie nicht mehr Teil der IT sind, auch wenn Sie möglicherweise formell in dieser Abteilung aufgehängt sind. Sie müssen nun eine andere Rolle spielen und manche Ihrer Ziele werden diametral gegensätzlich zu denen der IT sein. Außerdem sollten Sie sich damit anfreunden, dass einige Ihrer Erfahrungen zu Security bestenfalls veraltet sind (Netzwerk-Firewalls und Antivirus zum Beispiel?). Im schlimmsten Fall sind sie sogar völlig falsch.
Also, was sollte man tun?
Lassen Sie mich dies in verschiedene Zeitabschnitte unterteilen, um Ihnen zielgerichtete Hinweise zu geben:
Vor dem Start
Befinden Sie sich noch in der Auswahl bzw. Verhandlung für die Position, stellen Sie unbedingt diese Fragen:
- Was sind die derzeitigen Kernprioritäten Ihrer Organisation?
- Wo ist die Security organisatorisch aufgehängt und wie laufen die Berichtswege?
- Was ist der Grund, diese Stelle jetzt zu besetzen? (Nachfolge, neu eingerichtet)
- Wie läuft der Budget-Prozess ab?
Zudem sollten Sie auch schon im Vorfeld von Vorstellungsgesprächen und dann vor Antritt der Stelle entsprechende Recherche über die Branche und das Umfeld der Organisation betreiben. Es wird später noch sehr wichtig werden, dass Sie genau verstehen, was die geschäftlichen Prioritäten der Organisation sind.
Die erste Woche
Sobald Sie den Job antreten, bekommen Sie Zugriff auf die Interna. Nutzen Sie diese Tage, in denen noch niemand zu sehr Ihre Zeit beansprucht. Wenn Ihr Vorgänger noch zur Übergabe da ist, nutzen Sie das, um Informationen über aktuelle Situation, Projekte und wichtige Stakeholder zu bekommen.
Ist ein Security-Team vorhanden, stellen Sie sich vor und nehmen Sie sich die Zeit, mit jedem Mitglied einzeln zu sprechen. Überfliegen Sie außerdem auch möglichst viel Dokumentation aus der letzten Zeit und klicken Sie sich durch vorhandene Netzwerkordner und Sharepoints.
Der erste Monat
Dies ist die Zeit zum Aufbauen von Beziehungen und des Netzwerkens im Unternehmen. Selbst wenn Sie vorher schon in dieser Organisation waren, sollten Sie dies gewissenhaft tun, da Sie neue Verbündete brauchen. Das Verhältnis zu vorherigen engen Kollegen könnte sich möglicherweise ändern. Hier ein paar Rollen, bei denen es sich lohnt, frühzeitig auf einen Kaffee oder ähnliches vorbei zu schauen:
- IT-Leiter / CIO
- Datenschutz
- Rechtsabteilung
- Unternehmenskommunikation und Pressesprecher
- Customer Service
- Innenrevision
- Personalleitung
- Betriebsrat
- Facility Management (bzw. wer bei Ihnen für physische Sicherheit verantwortlich ist)
- Vorstandsassistenz
Die ersten 100 Tage
In politischen Ämtern gelten die ersten 100 Tage ja üblicherweise als Welpenschutz bzw. zur Vorlage einer Strategie und eines Plans. Machen Sie es genauso! Der erste Schritt ist da eine Bewertung des Ist-Zustands. Dafür können Sie sich Standards und Vorlagen a la ISO 27000 nehmen oder auch Benchmarking-Tools zur Security-Reifegradmessung (sofern diese Tools keine lange Vorbereitungszeit erfordern).
Picken Sie sich die Kronjuwelen heraus, also die Informationen, Prozesse und Organisationsteile mit dem höchsten Schutzbedarf, und „umkreisen“ Sie diese, um die wichtigsten Abhängigkeiten zu finden (z.B. IT-Systeme, Zulieferer, Standorte) und führen Sie dort zuerst Ihre Reifegradmessungen durch. Damit können Sie die wesentlichen technischen und organisatorischen Schwachstellen herausfinden.
Gruppieren Sie diese in verschieden Themen und mögliche zusammenhängende Projekte. Stellen Sie die Abhängigkeiten dar und priorisieren Sie die Themen (größte Risiken zuerst bzw. Maßnahmen mit Abdeckung vieler verschiedener Risiken, d.h. höchster Return-on-Invest). Dies wird ihr strategischer Dreijahresplan und der Kern Ihres InfoSec-Programms.
Lassen Sie sich die Risikobetrachtung und den Mitigierungsplan von der Unternehmensleitung absegnen bzw. verlangen Sie klare, dokumentierte Aussagen, welche Risiken vorerst akzeptiert werden. Kommunizieren Sie den Plan an alle Betroffenen.
Das erste Jahr
Starten Sie nun die ersten Projekte aus Ihrem Plan. Ich empfehle Ihnen stark, sich hier nicht zu überfrachten. Selbst wenn Sie das Budget dafür leicht bekommen sollten (wenn die Risikoargumentation schlüssig war, ist das eigentlich kein Problem), Sie selbst und Ihr Team werden nur begrenzte „PS auf die Straße bekommen“. Security-Projekte können zudem auch schmerzhaft für die restliche Organisation sein und große Veränderung in deren Abläufen bedeuten, die Sie nur begrenzt verkraften.
Meine Empfehlung: Starten Sie am Anfang nicht mehr als drei parallele neue Security-Projekte. Und eines dieser ersten Projekte sollte die Erstellung oder Verbesserung eines Incident-Response Plans sein und dessen simulierte Übung mit allen wichtigen Stakeholdern (siehe die „Kaffee-Liste„ von oben).
Die ersten drei Jahre
Überprüfen Sie Ihren Plan mindestens einmal jährlich und berichten Sie dies der Unternehmensleitung um den Plan ggf. gemeinsam anzupassen. Führen Sie Ihren Projekte durch und kommunizieren Sie Erfolge. Lernen Sie aus den operativen Themen und optimieren Sie diese ggf. als weitere Projekte im Sinne kontinuierlicher Verbesserung.
Möglicherweise gab es IT-Sicherheitsvorfälle. Nutzen Sie die Erkenntnisse daraus für breit gefächerte Awareness-Maßnahmen innerhalb und außerhalb der Organisation und reden Sie so offen wie möglich darüber (Okay der Unternehmensleitung und -Kommunikation dafür einholen bzw. diese in die Awareness-Maßnahmen einbinden).
* Stefan Sulistyo ist Mitgründer und Geschäftsführer derAlyne GmbH. Zuvor sammelte er über zehn Jahre lang Erfahrung im Management von IT-Sicherheit in verschiedenen großen Unternehmensberatungen bei Großkunden in diversen hochregulierten Branchen. Zudem war er in leitender Position verantwortlich für IT-Sicherheit bei einem führenden Medien- und Telekommunikationsunternehmen. Sulistyo ist Mitglied bei (ISC)² und ISACA und verfügt über Zertifizierungen als Certified Information Systems Security Professional (CISSP) und Certified Information Systems Auditor (CISA).
(ID:44180489)
:quality(80)/p7i.vogel.de/wcms/b8/48/b8489c3077650ce466d0f8d5df168a60/0112486449.jpeg "ISX-Keynote-Sprecher Jannik Christ unterstützt Unternehmen und Konzerne im Bereich der Informationssicherheit mit dem Schwerpunkt auf Security Management. (Bild: Christ Security)")
:quality(80)/p7i.vogel.de/wcms/41/98/4198deaa53a07b680c066e95d66f1421/0109019435.jpeg "Ein CISO ist nicht nur ein weiterer IT-Experte, sondern eine wichtige Führungskraft auf oberster Ebene in einer Organisation. (Bild: jamesteohart - stock.adobe.com)")