:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Hohe Anforderungen an CISOs Warum CISOs gute Psychologen sein müssen
Die Fähigkeiten eines CISO müssen breit gefächert sein. Technisches Know-how, Security-Expertise, Management-Qualitäten und Wissen im Bereich Recht und Compliance gehören dazu. Doch auch Psychologie spielt eine große Rolle bei den Aufgaben eines CISOs. Das gilt nicht nur für Führung und Motivation von Beschäftigten, es betrifft nahezu jede Tätigkeit eines CISOs.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/f7/63f7704ca91c1/3a-logo-mailing-250x100.png "3a-logo-mailing-250x100 (Eye Security)"){kind=logo}
Die Arbeit eines IT-Sicherheitsverantwortlichen, bzw. eines CISO ist zweifellos anstrengend, wegen der Fülle und Dynamik der Aufgaben, den steigenden Risiken, sowie den immer neuen Verfahren bei Angriff und bei Abwehr. Nicht zuletzt aber auch deshalb, weil CISOs nicht immer alle Befugnisse und Budgets haben, die sie bräuchten. So kommt es auch, dass mancher CISO zwar IT-Sicherheitsverantwortlicher genannt wird, aber die letzte Verantwortung für Security gar nicht bei ihr oder ihm liegt.
:quality(80)/images.vogel.de/vogelonline/bdb/1532100/1532163/original.jpg "Viele CISOs möchten sich neben der IT auch stärker in andere Abteilungen einbringen, um deren Anforderungen besser zu verstehen und Bedrohungen besser bekämpfen zu können. (Sergey Nivens - stock.adobe.com)")
CISO und Digitale Transformation
Der CISO muss sich verändern!
Eine solche Situation kann unzufrieden machen. Wie die Studie „ISACA’s State of Cybersecurity 2019 Survey: Retaining Qualified Cybersecurity Professionals Increasingly Challenging for Organizations“ zeigt, haben Unternehmen zunehmend Schwierigkeiten, ihre Security-Experten zu halten. Während 57 Prozent der Befragten angeben, dass ihre Organisationen mehr Schulungen anbieten, um Anreize für die Verbleib von Personen innerhalb der Organisation zu schaffen, geben 82 Prozent an, dass die meisten Personen ihr Unternehmen wegen finanzieller und beruflicher Anreize verlassen, wie beispielsweise höhere Gehälter, Boni und Beförderungen.
Viel Verständnis für Mitarbeiterinnen und Mitarbeiter
Über die „Schwachstelle Mensch“ wird viel berichtet, und tatsächlich lassen sich viele IT-Sicherheitsvorfälle auf Fehlverhalten, Unwissenheit und mangelnde Vorsicht zurückführen. Trotz einer Vielzahl an Sicherheitstrainings und Awareness-Maßnahmen machen die Mitarbeiterinnen und Mitarbeiter immer noch diese Fehler, die teilweise für einen Security-Experten wie „blöde Fehler“ erscheinen.
Ein Beispiel aus der fünften jährlichen CISO Benchmark Studie von Cisco: Mitarbeiter und Nutzer stellen demnach weiterhin eine der größten Herausforderungen für viele CISOs dar. Nur 51 Prozent sind mit ihren Prozessen für die Sicherheit der Mitarbeiter sehr zufrieden. Nun gilt es zum einen, dass man als CISO nicht etwa verzweifelt an der scheinbaren Unbelehrbarkeit der Mitarbeiterinnen und Mitarbeiter, ein weiteres Thema für Eigenmotivation. Aber man muss auch verstehen, warum die Beschäftigten so reagieren und selbst die besten Tipps und Tools zu versagen scheinen.
Security hat viel mit Unternehmenskultur zu tun, mit Einfühlungsvermögen und einer guten Portion Verständnis für die Probleme des normalen Nutzers. Auch hier kann es hilfreich sein, wenn man sich als CISO auch im psychologischen Bereich informiert, um das Rüstzeug zu haben.
:quality(80)/images.vogel.de/vogelonline/bdb/1520000/1520047/original.jpg "Der CISO ist eine Aufgabe mit guter, aber unklarer Zukunft. (stokkete - stock.adobe.com)")
Die Rolle des CISO im Unternehmen
Welche Aufgaben ein CISO übernehmen muss
Angreifer und Innentäter verstehen
Psychologie gehört auch dazu, wenn man die Angreifer von außen und die von innen verstehen will, im Sinne von durchschauen. Als CISO muss man fast schon ein Bauchgefühl für neue Attacken haben und wissen, wie ein Angreifer tickt, was er vorhat, was die Motive sind.
Das gilt ganz besonders für die Innentäter, denn hier soll es nicht zu unbegründeten Verdachtsmomenten kommen, sondern die wirklichen kriminellen Insider müssen erkannt und enttarnt werden. Hier gilt es, die notwendigen Kontroll- und Überwachungsmaßnahmen so zu erklären, dass die Mitarbeiterinnen und Mitarbeiter nicht denken, sie stehen unter Generalverdacht. Gleichzeitig muss man als CISO ein Gefühl dafür entwickeln, warum jemand zum Innentäter wird. Wichtige Antworten liefert auch hier die psychologische Forschung.
:quality(80)/images.vogel.de/vogelonline/bdb/1543000/1543001/original.jpg "94 Prozent der von Tanium befragten deutschen Security-Verantwortlichen gaben an, dass ein wichtiger Patch nicht wie angenommen auf allen Geräten im Unternehmen installiert wurde und sich dadurch eine Sicherheitslücke ergab. (gemeinfrei)")
Neue Tanium Umfrage unter CIOs und CISOs
Keine Sicherheits-Updates aus Angst vor Problemen
Andere Führungskräfte erreichen
Studien wie „Securing the C-suite“ haben die Situation im Management beleuchtet. Besonders schwierig ist es oftmals, im Management selbst für mehr Security zu sorgen, denn trotz der hohen Risiken ist hier der Wunsch nach Ausnahmen bei IT-Sicherheitsrichtlinien besonders hoch. Dann stellt sich die Frage, wie man am besten den anderen Führungskräften klar macht, dass die Vorgaben nicht nur auch für sie, sondern ganz besonders für sie gelten.
Die Treffen im Kreis der Führungskräfte sind häufig ein entscheidender Ort, um den notwendigen Rückenwind für Security-Vorhaben zu bekommen. Wenn man die Kolleginnen und Kollegen im Management nicht für sich und für die Security gewinnt, dann wird es wirklich schwierig. Deshalb hilft es zu wissen, wie man die Manager sensibilisiert, denn Argumente wie „Dein Vorgesetzter will das so“ greifen hier nicht. Man muss die Motive des Managements, die Ziele und die täglichen Probleme kennen, um den richtigen Zugang zu finden.
:quality(80)/images.vogel.de/vogelonline/bdb/1540400/1540480/original.jpg "Das neue eBook \"Cyber Risk Management\" zeigt, was alles unter dem Begriff eines Cyber-Risikos zu verstehen ist und wo IT-Sicherheitsverantwortliche oft zu kurz denken. (Olivier Le Moal - adobe.stock.com)")
Neues eBook „Cyber Risk Management“
Cyber-Risiken erkennen, bewerten und abwehren
Auch die Partner und Dienstleister nicht vergessen
Eine weitere Personengruppe steht häufig im Austausch mit den CISOs, die Anbieter und Dienstleister für Security und die verschiedenen Projektpartner in der IT und in Fachbereichen, in denen die Digitalisierung Einzug hält. Für die Suche, Auswahl, Kontrolle und regelmäßige Zusammenarbeit im Bereich Partner ist neben fachlichen Wissen und organisatorischen Geschick auch Fingerspitzengefühl gefragt. Das gilt generell, doch für CISOs noch einmal besonders. Der Grund: Verantwortliche für IT-Sicherheit setzen vor allem auf die Konsolidierung der Anbieter in komplexen Sicherheitsumgebungen. Das zeigt die fünfte jährliche CISO Benchmark Studie von Cisco. Entsprechend setzt sich der Trend zur Anbieter-Konsolidierung fort: Während 2017 noch 54 Prozent der Befragten weniger als 11 Anbieter nutzten, sind es jetzt 63 Prozent.
Dann stellt sich die Frage: Wer sind die richtigen Anbieter? Wie trenne ich mich von den anderen, die ich vielleicht später aber doch einmal brauche? Das hat nicht nur mit Vertragsrecht, sondern ebenso mit Psychologie zu tun, denn es geht auch hier immer um Menschen und die richtige Kommunikation mit ihnen.
:quality(80)/images.vogel.de/vogelonline/bdb/1298900/1298971/original.jpg "Für die Rollen und Aufgaben in der Security gibt eine Vielzahl von Bezeichnungen. Gibt es keine klare Zuordnung kann das zu organisatorischen Lücken im Security-Konzept führen. (leowolfert - stock.adobe.com)")
Rollen und Aufgaben in der IT-Sicherheit
CISO, Security Manager oder IT-Sicherheitsbeauftragter?
:quality(80)/images.vogel.de/vogelonline/bdb/1312900/1312977/original.jpg "Künstliche Intelligenz ist kein Ersatz für Security-Experten und damit auch kein Ersatz für eine Security-Fortbildung, kann diese aber unterstützen. (kras99 - stock.adobe.com)")
Fortbildung in der IT Security
Künstliche Intelligenz hilft in der Security-Ausbildung
:quality(80)/images.vogel.de/vogelonline/bdb/1315200/1315205/original.jpg "Security-Zertifizierungen sind nicht bei jedem Arbeitgeber ein Muss, aber sie können dabei helfen, eine Stelle gerade in größeren Unternehmen zu bekommen. (Pixabay)")
Zertifizierungen in der IT-Sicherheit
Was bringen persönliche Security-Zertifizierungen?
(ID:45860496)
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/42/7742ab24902a6e1ebf7571ca163af8c1/0112066928.jpeg "Spielen ist nicht nur für Kinder gut! Betriebliche Weiterbildungen und darunter E-Learning funktionieren in Verbindung mit Serious Games viel besser. (Bild: dusanpetkovic1 - stock.adobe.com)")