:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Der CISO und der Stellenwert der Security Warum CISOs das Security-Marketing verändern müssen
Gute IT-Sicherheit ist ein Wettbewerbsvorteil, eigentlich ein tolles Argument für mehr Security-Budget. Doch wenn Sicherheit zu sehr als Marketing-Faktor gesehen wird, schadet dies der Security. CISOs müssen Einfluss auf das Marketing nehmen, keine leichte Aufgabe, aber zwingend erforderlich. Die Security braucht einen neuen Stellenwert, um nicht unter die Räder der Werbung zu gelangen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Kein Online-Banking, wenig Social Media oder der Verzicht auf Cloud-Dienste: Sechs von zehn Internetnutzern (62 Prozent) verzichten aus Sicherheitsgründen bewusst auf bestimmte Online-Dienste, wie der Digitalverband Bitkom berichtete. Sicherheit ist den Anwendern wichtig, denn neun von zehn Internetnutzern (89 Prozent) sehen eine wachsende Bedrohung durch Internetkriminalität. Im Vorjahr sagten dies erst 85 Prozent.
Unternehmen, die diese Sorgen der Interessenten und Kunden nicht zerstreuen, die also nicht durch ihre Sicherheit überzeugen, können wirtschaftliche Nachteile erleiden. So jedenfalls argumentiert man gerne, wenn es um die Bewilligung des höheren Security-Budgets geht. IT-Sicherheit ist wichtig für den Erfolg auf dem Markt, ja Sicherheit ist sogar ein Wettbewerbsvorteil, so lauten typische Argumente.
:quality(80)/images.vogel.de/vogelonline/bdb/1570700/1570709/original.jpg "Die Probleme in der IT-Sicherheit werden nicht weniger und die Belastungen für Security-Verantwortliche werden immer größer. (gemeinfrei)")
CISOs sind hohen Belastungen ausgesetzt
Die größten Belastungen für Security-Verantwortliche
Die Wirklichkeit sieht leider anders aus
Jeder kennt solche Umfragen, nach denen die befragten Nutzer stark auf die Sicherheit achten und bei einem Cloud-Dienst eher dann aktiv werden wollen, wenn sie von der Sicherheit und dem Datenschutz überzeugt sind.
Doch die Sicherheit hat trotzdem nicht den Stellenwert, den man vermuten könnte. Eine aktuelle Umfrage des BSI (Bundesamt für Sicherheit in der Informationstechnik) ist ernüchternd: Weniger als ein Drittel der befragten Institutionen verstehen Cyber-Sicherheit als Chance für Innovation. Nur 29 Prozent der Teilnehmer erkennen Cyber-Sicherheit als Wettbewerbsvorteil. 61 Prozent versprechen sich keinen Mehrwert von Cyber-Sicherheit.
Wie kann das sein? Bedeutet das, dass der Hinweis auf den Wettbewerbsvorteil durch Security falsch ist, kein Argument für ein höheres IT-Sicherheitsbudget ist oder in Zukunft nicht mehr sein wird?
:quality(80)/images.vogel.de/vogelonline/bdb/1548200/1548288/original.jpg "Ein CISO sollte psychologische Grundkenntnisse besitzen. Nicht nur, weil es ihm beim Umgang mit seinen Mitarbeitern hilft, sondern auch wenn man Angreifer von außen und von innen verstehen will. (gemeinfrei)")
Hohe Anforderungen an CISOs
Warum CISOs gute Psychologen sein müssen
Wert der Security wird falsch eingestuft
Laut einer Studie von Thycotic beklagt fast ein Drittel der befragten IT-Security-Manager, dass die Unternehmensleitung ihre Arbeit nach wie vor mehr als Kostenfaktor denn als Vermögenswert betrachtet. Das könnte daran liegen, dass laut 65 Prozent der Befragten, Vorstand und Geschäftsführung den Geschäftsnutzen von Security-Investitionen nicht immer erkennen. Nur 15 Prozent der befragten IT-Sicherheitsentscheider sind demnach der Meinung, dass die Geschäftsführung sich der Bedeutung der Security beim Erzielen von Wettbewerbsvorteilen bewusst ist.
Doch ist Security wirklich ein Wettbewerbsvorteil, vergleichbar mit einem besseren Preis, einer schnelleren Lieferung oder anderen positiven Faktoren rund um ein Waren- oder Dienstleistungsangebot? Genau betrachtet, ist Security nicht mit diesen Wettbewerbsvorteilen vergleichbar. Aus diesem Grund ist es auch nicht verwunderlich, wenn die Geschäftsleitung andere Wettbewerbsvorteile als wichtiger ansieht.
:quality(80)/images.vogel.de/vogelonline/bdb/1532100/1532163/original.jpg "Viele CISOs möchten sich neben der IT auch stärker in andere Abteilungen einbringen, um deren Anforderungen besser zu verstehen und Bedrohungen besser bekämpfen zu können. (Sergey Nivens - stock.adobe.com)")
CISO und Digitale Transformation
Der CISO muss sich verändern!
Security ist kein Vorteil, sondern das Fundament
Betrachtet man so manche Werbung für IT-Produkte und Lösungen, dann findet man Aussagen wie „Hohe Sicherheit“ oder „DSGVO-Konform“. Beide Aussagen können gute Werbebotschaften sein, sie machen aber eigentlich keinen Sinn. Eine IT-Lösung oder ein IT-Produkt müssen eine angemessene Sicherheit haben und der DSGVO entsprechen, andernfalls werden gesetzliche Vorgaben wie die Datenschutz-Grundverordnung (DSGVO) der EU nicht eingehalten.
Ein Mehr an Sicherheit und Datenschutz, über die bestehenden Anforderungen hinaus, kann dagegen ein Vorteil gegenüber dem Wettbewerber sein. Einerseits könnte man einen Wettstreit, wer mehr Sicherheit und Datenschutz bieten kann, als positiv empfinden. Andererseits hat es auch deutliche Nachteile, wenn man in einen Security-Wettbewerb mit Marktbegleitern tritt.
:quality(80)/images.vogel.de/vogelonline/bdb/1557700/1557706/original.jpg "Die Beauftragung eines CISO als Datenschutzbeauftragter stellt nach Ansicht der Aufsichtsbehörden in aller Regel einen Interessenkonflikt dar. (Monster Ztudio - stock.adobe.com)")
Aufgaben und Stellung des CISO
Datenschutz als Zusatzaufgabe für den CISO?
Security sollte nicht als Wettbewerb gesehen werden
Wer Security mit der Marketing-Brille betrachtet, konzentriert sich eher auf „Hype-Themen“ als auf die Grundlagenbereiche der Security, die bei vielen Unternehmen weiterhin lückenhaft sind. So bringt es wenig, mit der neusten Security-Technologie zu werben, gleichzeitig aber den Basisschutz nicht vollständig umzusetzen.
Natürlich klingt es besser, auf Security mit der neusten KI (Künstlicher Intelligenz) zu verweisen, als zu sagen oder zu schreiben, dass man seine Backups auch wirklich regelmäßig macht. Doch bei einem IT-Sicherheitsvorfall kann sich es schnell rächen, wenn man die wenig spektakulären Security-Aufgaben außer Acht gelassen hat.
Ein weiterer Grund, warum der Marketinggedanke in der Security verändert werden sollte: Wer Security als Wettbewerbsvorteil ansieht, wird sich eher nicht innerhalb der Branche austauschen und helfen, zum Beispiel durch die gegenseitige Warnung vor Bedrohungen und den Austausch von Threat Intelligence.
Während sich Security-Anbieter austauschen und innerhalb der Lieferkette entsprechende, gegenseitige Security-Warnungen erwartet werden, findet der Austausch mit einem Wettbewerber nicht so ohne weiteres statt, wie verschiedene Gespräche des Autors gezeigt haben. Dabei wäre zum Beispiel der Hinweis auf eine branchenspezifische Attacke auch unter Wettbewerbern für die Security insgesamt mehr als hilfreich.
:quality(80)/images.vogel.de/vogelonline/bdb/1520000/1520047/original.jpg "Der CISO ist eine Aufgabe mit guter, aber unklarer Zukunft. (stokkete - stock.adobe.com)")
Die Rolle des CISO im Unternehmen
Welche Aufgaben ein CISO übernehmen muss
Was dies für CISOs bedeutet
Für IT-Sicherheitsverantwortliche kommen dadurch weitere Aufgaben hinzu, denn ein gezielter Austausch mit dem eigenen Marketing und der Geschäftsleitung ist wichtig. Dabei sollte aus Security-Sicht betont werden, dass IT-Sicherheit kein Wettbewerbsvorteil unter vielen ist, dass sich Security alleine dadurch lohnt, dass sie die Grundlage für die Digitalisierung und für das Geschäft mit Kunden darstellt.
Es ist vielmehr so, dass ein Mangel an Security schlecht für das Marketing und den Kundenerfolg ist und zudem Sanktionen und Bußgelder nach sich ziehen kann. Es geht aber nicht darum, von der positiven Argumentation für Security abzurücken, sondern den Stellenwert der Security richtig zu stellen.
Wenn man auf der Entscheiderebene begreift, dass es nicht darum geht, mehr Sicherheit als der Wettbewerber zu bieten, sondern die Sicherheit, die dem Risiko entspricht, ist viel gewonnen, auch für die Argumentation bei Budgetgesprächen, da das Risiko nicht abnimmt, sondern fortlaufend steigt.
(ID:45998057)
:quality(80)/p7i.vogel.de/wcms/cd/22/cd2205230a5d498e7b84c2cc6b8fd827/0110983933.jpeg "Ein Schutzzaun um das eigene Unternehmen: bei manchen ist dieser höher, bei anderen eher löchrig. NIS2 will zumindest für KRITIS-Unternehmen Einheitlichkeit schaffen. (Bild: SG- design - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5e/84/5e84ae29f924ef54195efa0bf84882bd/0112935782.jpeg "Nur etwa die Hälfte der von Kaseya Befragten kann über mehr IT-Budget verfügen als im vergangenen Jahr. (Bild: vegefox.com - stock.adobe.com)")