:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Die Rolle des IT-Sicherheitsverantwortlichen Vier Kernkompetenzen für CISOs im Jahr 2019
Ob Datenleck, Server-Ausfall oder Industriespionage, Cyberrisiken haben heute spürbare Auswirkungen auf das Geschäft. Deshalb ändert sich auch die Rolle des IT-Sicherheitsverantwortlichen bzw. CISO (Chief Information Security Officer). Heute sind Management- und Führungsqualitäten sowie unternehmerisches Denken bei CISOs genauso essentiell wie Fachwissen im Bereich Cybersicherheit.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
CISOs verantworten heute nicht mehr ausschließlich die technische Seite der IT-Sicherheit – beispielsweise die Implementierung und Verwaltung von Cybersicherheitslösungen auf allen Endpoint-Geräten im Unternehmensnetzwerk; sie müssen sich vielmehr als C-Level-Führungskraft im Unternehmen positionieren, indem sie die eigene Organisation bei der Erreichung der gesteckten Geschäftsziele unterstützen. Denn Cybersicherheit und Datenschutz tragen in Zeiten der Digitalisierung wesentlich dazu bei, dass bessere Produkte schneller als vom Wettbewerb auf den Markt gebracht werden, die Attraktivität für Aktionäre erhöht und insgesamt der Umsatz gesteigert wird.
Als IT-Sicherheitsprofis minimieren CISOs das Risiko gefährlicher Cyberangriffe und Datenlecks. Sie sorgen dafür, dass das Geschäftsmodell des eigenen Unternehmens nicht gestört wird. Dafür sind hervorragendes Know-how in puncto IT-Sicherheit sowie Kenntnisse über die neuesten Technologietrends erforderlich. Allerdings werden CISOs bereits heute auch an ihrer Kompetenz im zwischenmenschlichen Bereich gemessen: soziale Kompetenz, persönliches Auftreten und Geschäftssinn – Soft-Skills sind heute und in Zukunft Teil der Rolle von IT-Sicherheitsverantwortlichen. Hierfür kristallisieren sich vier Kernkompetenzen heraus.
:quality(80)/images.vogel.de/vogelonline/bdb/1520000/1520047/original.jpg "Der CISO ist eine Aufgabe mit guter, aber unklarer Zukunft. (stokkete - stock.adobe.com)")
Die Rolle des CISO im Unternehmen
Welche Aufgaben ein CISO übernehmen muss
1. Geschäftssinn
In der Vergangenheit verantwortete der Chief Information Security Officer – basierend auf der IT-Landschaft des Unternehmens – die firmeninterne Verteidigungsstrategie. Der Unterschied zu heute: Ein moderner Ansatz orientiert sich an der Vision eines Unternehmens. Fast jedes CISO-Stellenangebot auf den einschlägigen Jobbörsen beinhaltet daher nicht nur detailliertes IT-Sicherheits-Fachwissen und diverse Zertifizierungen, sondern auch ausgeprägten Geschäftssinn.
IT-Sicherheitsverantwortliche können daher eine Technologie, die ihr Unternehmen gerne einsetzen würde, nicht ablehnen oder verbieten. Stattdessen müssen sie die damit verbundenen Risiken bewerten und eine Security-Strategie entwickeln, die den Fortschritt der Organisation nicht behindert. Greifen Mitarbeiter beispielsweise über ihre Geräte auf Unternehmensressourcen zu, sollte der CISO in der Lage sein, eine passende und cybersichere BYOD (Bring Your Own Device)-Richtlinie im Netzwerk zu implementieren.
Um es mit den Worten eines amtierenden CISOs zu beschreiben, fungiert er im besten Fall als Cybersicherheitsberater und Risikomanager für alle Unternehmensabteilungen: „Bevor eine neue Technologie in einer Abteilung eingeführt wird, treffe ich mich mit diesen Abteilungen, um sicherzustellen, dass ihre Änderungen nicht gegen unsere Sicherheitsstandards verstoßen. Die erforderlichen Änderungen werden dann gemeinsam vorgenommen, um eine ordnungsgemäße Integration mit unserem Netzwerk zu ermöglichen.“
2. Kommunikations- und Präsentationsfähigkeit
Als Führungskraft müssen IT-Sicherheitsverantwortliche mit dem Management (C-Level) und dem Verwaltungsrat interagieren. Die Herausforderung: nur wenige Top-Manager verfügen über fundiertes Cybersicherheitsfachwissen. Ein CISO sollte daher nicht nur mit IT-Fachbegriffen um sich werfen, wenn er den Vorstand über mögliche Cybergefahren in Kenntnis setzen möchte; er muss in der Lage sein, mit der Chefetage auf Augenhöhe zu kommunizieren.
Die Fähigkeit, komplexe Sachverhalte verständlich zu vermitteln, wird schon lange als Top-Anforderung in Stellenausschreibungen angeführt. Es gilt, Cybersicherheits-Fachjargon in Geschäftssprache zu übersetzen. Vor allem wenn es um unternehmensinterne Verhandlungen von Cybersicherheitsbudgets geht, profitieren CISOs von ausgeprägten Kommunikations- und Präsentationsfähigkeiten.
Budgets für IT-Sicherheit sind häufig Teil der gesamten IT-Ausgaben. Wenn ein CISO an der richtigen Stelle in der richtigen Sprache überzeugende Argumente auf den Tisch legt (beispielsweise Strafen für die Nichteinhaltung von Vorschriften oder geschäftsmindernde Schäden durch frühere Angriffe), erhält das Thema IT-Sicherheit und Datenschutz auch aus Sicht des hierfür nötigen Budgets den Stellenwert, der für die Gewährleistung von Geschäftsgewinnen und Kapitalrentabilität (ROI) nötig ist. Auch der Einsatz und die Vermittlung anschaulicher Reports – zum Beispiel über Cybersicherheitsvorfälle und deren offensichtliche Konsequenzen auf den Unternehmenserfolg – sind Teil der von CISOs benötigen Soft-Skills.
3. Krisenmanagement-Kompetenz
Einem kürzlich veröffentlichten Kaspersky-Bericht zufolge sind 86 Prozent der CISOs davon überzeugt, dass früher oder später im eigenen Unternehmen IT-Sicherheitsvorfälle auftreten werden. Unternehmen können es sich folglich nicht leisten, unvorbereitet zu sein. Jedes Büro verfügt über einen Evakuierungsplan, der im Brandfall befolgt werden muss. Ebenso sollte jedes Unternehmen einen Plan für den Fall eines Cybersicherheitsverstoßes haben, in dem klar dargelegt wird, was zu tun ist, wenn beispielsweise ein Datenleck festgestellt wird.
Ein solcher Aktionsplan darf sich nicht darauf beschränken, betroffene Kennwörter zu ändern oder Systeme wiederherzustellen. Um einen Angriff oder Vorfall schnell zu beheben, muss der CISO die Handlungsverantwortlichkeit im eigenen Unternehmen kennen – beziehungsweise wer in welchen Abteilungen über den Vorfall informiert werden muss. So müssen Rechts-, PR- oder Customer-Success-Teams schnellst möglich eingeweiht werden, da sie ihrerseits zum Krisenmanagement beitragen können. Im Falle eines Sicherheitsvorfalls ist es essentiell, dass der CISO während der gesamten Krise über alles informiert ist und als Bindeglied zwischen den Stakeholdern innerhalb der Firma fungiert. Er koordiniert das IT-Sicherheitsteam bezüglich der anstehenden Vorfallreaktionen, informiert unternehmensweit über den aktuellen Stand und berät zur weiteren Lösung der Situation.
4. Aufsichts- und Führungsqualitäten
Aktuelle Studien zeigen, dass Unternehmen zunehmend mit dem Mangel an Sicherheitsexperten zu kämpfen haben. Dieses Problem wird dadurch verstärkt, dass es laut 62 Prozent der CISOs zu wenige Cybersicherheitstalente gibt. Das hat Auswirkungen auf das Thema Mitarbeiterbindung. Denn ein Mangel an Sicherheitsfachkräften und -talenten erhöht deren Nachfrage. Experten werden zunehmend von anderen Unternehmen umworben. Ein CISO erklärt die heikle Situation: „Ich manage sehr talentierte Cybersecurity-Spezialisten, auf die es verstärkt Headhunter abgesehen haben.“ Hinzu kommt, dass der Fachkräftemangel auch das Arbeitspensum des aktuellen Sicherheitsteams erheblich erhöht.
Ein IT-Sicherheitsverantwortlicher sollte daher einen Führungsstil pflegen, dem seine Mitarbeiter gerne folgen; er sollte das Team unterstützen und ein Händchen für Mitarbeitermotivation haben. Die Motivation beschränkt sich nicht nur auf monetäre Anreize. Sie kann durch Entscheidungsverantwortung, Lern- und berufliche Entwicklungsmöglichkeiten (beispielsweise durch Teilnahme an Sicherheitskonferenzen) oder schlichtweg durch Anerkennung der harten Arbeit ermöglicht werden. Was für die eine Person zutrifft, mag für die andere möglicherweise nicht das Richtige sein. Um sein Team effektiv zu managen, muss ein CISO individuelle Anreize beziehungsweise die richtige Motivationsquelle finden.
Soft-Skills und Fachwissen gehen Hand in Hand
Die Rolle eines IT-Sicherheitsverantwortlichen ist vielseitig und herausfordernd. Sie umfasst die Kombination aus sozialer Kompetenz (Soft-Skills) und technischer Expertise (Hard-Skills). Management- und Führungsqualitäten, ein breites IT-Verständnis, unternehmerisches Denken und Cybersicherheitsfachwissen sind gefragt. So trägt der CISO entscheidend für den Geschäftserfolg des gesamten Unternehmens bei.
Über den Autor: Maxim Frolov ist Vice President of Global Sales bei Kaspersky Lab.
(ID:45760930)
:quality(80)/images.vogel.de/vogelonline/bdb/1965900/1965920/original.jpg "CISOs schaffen Mehrwerte, indem sie die unter anderem sicherheitsrelevante Prozesse und die Einhaltung von Reglements rationalisieren. (gearstd - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1904500/1904578/original.jpg "„Policy-as-Code kann viele Nacharbeiten vermeiden, die entstehen, wenn sich Entwickler der Sicherheitsrichtlinien nicht bewusst sind.“ (sarayut_sy - stock.adobe.com)")