Security-Prognosen für 2016, Teil 1

Veränderte Wahrnehmung der IT-Sicherheit

| Autor / Redakteur: Greg Day* / Stephan Augsten

Der CSO wird künftig die Firmenleitung direkt über Sicherheitsvorfälle und andere Ereignisse in Kenntnis setzen müssen.
Der CSO wird künftig die Firmenleitung direkt über Sicherheitsvorfälle und andere Ereignisse in Kenntnis setzen müssen. (Bild: Archiv)

IT-Sicherheit gilt ganz klar als technisches Thema, eine Sache der IT-Abteilung eben. Da die Sicherheit mittlerweile aber sowohl gesetzlich reguliert als auch von vielen Kunden gefordert wird, beschäftigt sich künftig vermehrt auch die Geschäftsführung mit dem Thema.

Es gibt heute eine klare Kluft zwischen den Unternehmen, die neueste Sicherheitstechnologie nutzen, und denjenigen, die die gleichen alten Praktiken wie schon seit vielen Jahren weiter verfolgen. Doch es wird mehr Druck geben, um mit der Innovation Schritt zu halten und Sicherheitsvorfälle zu verhindern.

So werden in der EU bald verschiedene Neuerungen eingeführt, darunter Prüfungen der Sicherheitsfunktionen für den Ernstfall und die Pflicht zur Benachrichtigung der Behörden, wenn es zu einem Sicherheitsvorfall kommt. Zu den Neuerungen zählen die Richtlinie zur Netz- und Informationssicherheit und die Reform der Datenschutzverordnung.

Unternehmen, egal ob Teil der kritischen nationalen Infrastruktur oder diejenigen, die Datensätze von mehr als 5.000 EU-Bürgern handhaben, müssen demnach ihre Sicherheitsfunktionen auf den aktuellen Stand der Technik bringen, wobei die letztgenannte Verordnung nach ihrem Risikoprofil ausgerichtet wird. All dies wird dazu beitragen, dass in der Vorstandsetage das Thema Cybersicherheit stärker in den Vordergrund rückt. Viele Unternehmen werden 2016 hier nachbessern müssen.

Einige Cloud-Betreiber wollen zudem sicherstellen, dass Cloud-Daten in der EU vorgehalten werden, um die Einhaltung von Regulierungsvorschriften zu vereinfachen. Ebenso richten Sicherheitsunternehmen jetzt lokale Filterpunkte ein, um lokale Analysen in der EU durchzuführen und betreiben hier Clouds, um den neuen Anforderungen gerecht zu werden.

Dabei gilt es jedoch zu bedenken, dass die meisten Angreifer nicht innerhalb von geografischen Grenzen agieren. Auch wenn Rohinformationen innerhalb der EU gesammelt werden, müssen die Erkenntnisse daraus global geteilt werden, um erfolgreich zu sein. Die EU-Richtlinie zur Netz- und Informationssicherheit enthält aber auch eine Verpflichtung für die Zusammenarbeit bei der Nutzung von Bedrohungsdaten, um Cyberangriffe künftig besser verhindern zu können.

Direkter Draht in die oberste Etage

In den Unternehmen ändert sich derzeit auch die Rolle des CSO. Bislang hat der CSO (Chief Security Officer) als leitender Sicherheitsverantwortlicher an den CIO (Chief Information Officer), den IT-Leiter, berichtet. CSOs berichten demnach immer häufiger an

  • den Aufsichtsrat – zur Einbindung in die rechtlichen Konsequenzen bei Sicherheitsvorfällen –,
  • den Finanzvorstand – aufgrund der potenziellen oder bereits reellen geschäftlichen Auswirkungen – oder
  • direkt an den CEO – aufgrund der höheren Bedeutung der IT-Sicherheit für das Gesamtgeschäft.

Das Thema Cyber-Sicherheit erreicht zunehmend die Vorstandsetage, was die Investitionen und das Engagement für mehr Sicherheit fördert. Die Rolle des CSO verlagert sich dabei von der IT-Risiko- zur Geschäftsrisiko-Ebene. Sicherheit wurde bislang ganz klar als eine Komponente der IT betrachtet. Aus einer Reihe von Gründen ändert sich dies, wie im aktuellen Bericht „Governance of Cybersecurity 2015“ von Palo Alto Networks nachzulesen ist.

Europa weist dabei eine beträchtliche Veränderung bei der Berichterstattung von CSO an den CIO auf – von 50 Prozent im Jahr 2012 auf 33 Prozent im Jahr 2015. Dies zeigt, dass Sicherheit an strategischer Bedeutung gewinnt, denn das Schadenpotenzial ist mittlerweile in hohem Maße unternehmenskritisch.

In seiner neuen Rolle löst sich der CSO zunehmend vom CIO und kommuniziert stärker mit der Geschäftsführungsebene. Die Hauptaufgabe des CIO wiederum ist es, dafür zu sorgen, dass die IT das operative Geschäft effektiv unterstützt.

Eine gesunde Spannung zwischen den Geschäfts- und Sicherheitsanforderungen ermöglicht es, neue Geschäftsmöglichkeiten zu erschließen, ohne dass dies auf Kosten der Sicherheit geht. Solange der CSO – wie bisher in der Regel – an den CIO berichtet, besteht die Sorge, dass sich Interessenkonflikte darauf auswirken könnten, ausgewogene Entscheidungen zu treffen.

* Greg Day ist Regional Chief Security Officer EMEA bei Palo Alto Networks.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43772404 / Mitarbeiter-Management)