Der berufliche Alltag eines Business-orientierten Cybersecurity-Verantwortlichen

Die Zukunft gehört Cybersecurity-Verantwortlichen, die Geschäftsrisiken verstehen und ihre Ziele entsprechend abstimmen können. Hier finden Sie acht tägliche Aktivitäten, die Sie dabei unterstützen können.

Ich arbeite seit 20 Jahren im Cybersecurity-Bereich. Auf der technischen Seite habe ich Penetrationstests und Malware-Analysen durchgeführt. Ich habe Intrusion Detection-Programme und Security Operations Centers geleitet und war für die Richtlinien und Compliance aller Komponenten verantwortlich. In meiner derzeitigen Rolle bei Tenable manage ich die Beziehungen zu Anbietern von 40 Sicherheitstools und bin in der Lage, die tägliche Funktionsweise und Performance jedes einzelnen Tools ziemlich genau zu beschreiben. Ich kann Ihnen sämtliche Schwachstellen sowie die jeweils betroffenen Systeme auflisten, die wir in den letzten 30 Tagen gepatcht haben. Aber wann immer ich mit der Geschäftsleitung und dem Vorstand gesprochen habe – sowohl in meiner jetzigen Rolle als auch in früheren Unternehmen – spielte all dies keine Rolle.

Letztendlich wird mir immer dieselbe simple Frage gestellt: „Wie sicher bzw. gefährdet sind wir?“ Und seit 20 Jahren fällt es mir schwer, eine aussagekräftige Antwort auf diese Frage zu finden. 

Zu Beginn dieses Jahres beauftragte Tenable Forrester Consulting mit der Durchführung einer Studie unter mehr als 800 Business- und Cybersecurity-Leadern weltweit, um die Gründe dafür herauszufinden. Es läuft auf Folgendes hinaus: Zwischen Cybersecurity und Business besteht eine chronische Kluft, die durch Beschränkungen bei den Technologien, Prozessen und Daten, die den Sicherheitsverantwortlichen zur Verfügung stehen, noch verschärft wird.

Doch es wäre falsch, wenn wir nicht auch die menschlichen Faktoren berücksichtigen würden, die den Kern dieser Kluft ausmachen.

Business als Zweitsprache

CISOs und anderen Cybersecurity-Verantwortlichen kommt auf Leitungsebene eine Sonderrolle zu. Wir müssen die Sprachen der Technologie und des Business gleichermaßen fließend beherrschen. Doch im Vergleich zu unseren Kollegen aus der Finanzabteilung oder dem Vertrieb, die möglicherweise ein Master-Studium in Betriebswirtschaft absolviert oder einen ähnlichen Bildungsstand haben, haben viele Cybersecurity-Verantwortliche einen technischen Hintergrund, wie beispielsweise Informatik. Wir arbeiten uns in der Regel über Stellen im technischen Bereich des Unternehmens nach oben. Daher befinden wir uns sofort im Nachteil, wenn wir den Sprung in eine höhere Management- oder C-Level-Rolle endlich geschafft haben. 

Technologie ist quasi unsere Muttersprache. Und die von uns verwendeten Tools und Prozesse beruhen alle auf dieser Sprache der Technologie. Somit erhalten wir Ergebnisse, die wir in unserer Muttersprache klar artikulieren können. Die meisten von uns haben „Business als Zweitsprache“ erlernt und können sich passabel verständigen. Eine gewisse Diskrepanz bleibt dennoch bestehen, zum Teil auch deshalb, weil die für unseren Job notwendigen Tools und Frameworks keine einfache Übersetzung zulassen.

„Es geht darum, zu wissen, wie verschiedene Aspekte aus der Sicherheitsperspektive übersetzt und gegenüber dem Business verdeutlicht werden können“, erklärte Rick Vadgama, VP und CISO bei einer weltweiten Online-Reiseplattform, in einem Interview mit Tenable. „Es gibt viele InfoSec-Experten, die zweifellos über Schwachstellen oder Exploits im Bilde sind. Aber sie wissen nicht, wie sie das so ausdrücken können, dass es für eine Person mit normalem betriebswirtschaftlichen Hintergrund verständlich ist. Ihnen ist nicht klar, wie sie es nachvollziehbar machen können.“

Vadgama studierte Finanz- und Rechnungswesen als Hauptfach und bekleidete zu Beginn seiner beruflichen Laufbahn Positionen mit geschäftlichem Bezug, bevor er erkannte, dass dies nicht seine Berufung war, und in die IT wechselte. Sein vielfältiger Hintergrund hilft ihm in seiner derzeitigen Rolle. „Ich verstehe den geschäftlichen Aspekt. Ich verstehe die Finanzen. Und da ich mich über Stellen in der IT nach oben gearbeitet habe und bereits in verschiedenen Funktionen tätig war – unter anderem als IT-Direktor und Verantwortlicher für Netzwerke und Entwicklungsgruppen –, verstehe ich auch diese Funktionen in ihrem Zusammenhang. Als ich dann in den Sicherheitsbereich wechselte, hatte ich bereits dieses Bewusstsein und war mir auch über den Kontext im Klaren. Und ich weiß, wie die Kluft zwischen Technik und Business überwunden werden kann.“

Für Cybersecurity-Verantwortliche, die sich über Stellen im technischen Bereich nach oben gearbeitet haben, hat Vadgama folgenden Ratschlag: „Verlassen Sie den Sicherheitsbereich und arbeiten Sie eine Zeit lang in anderen Funktionsbereichen – dadurch lernen Sie, die Leitung eines Unternehmens oder einer Gruppe im Kontext zu verstehen. Und kehren Sie dann wieder in den InfoSec-Bereich zurück.“

All das gehört zur täglichen Arbeit

In einem Whitepaper des SANS Institute aus dem Jahr 2003 wurden diese Herausforderungen, die auch heute noch aktuell sind, wie folgt beschrieben: „Die Verantwortlichkeiten [des CISO] sind mit anderen Vorstandsmitgliedern nicht vergleichbar, nicht einmal bei CIOs ist der Aufgabenbereich dermaßen groß.“

Dem Whitepaper von SANS zufolge zählen die folgenden Aufgaben zu den wichtigsten Verantwortlichkeiten der meisten CISOs: 

• Bei Anfragen von Kunden, Partnern und der breiten Öffentlichkeit bezüglich der Sicherheitsstrategie des Unternehmens als Repräsentant des Unternehmens auftreten
• Im Umgang mit Strafverfolgungsbehörden als Repräsentant des Unternehmens auftreten und zugleich dem Ursprung von Netzwerkangriffen und Datendiebstahl durch Mitarbeiter nachgehen
• Sicherheitsanforderungen mit dem strategischen Businessplan des Unternehmens in Einklang bringen, Risikofaktoren identifizieren und Lösungen in beiden Bereichen finden
• Sicherheitsrichtlinien und -verfahren entwickeln, die Business-Applikationen adäquat schützen, ohne die zentralen Anforderungen des Kerngeschäfts zu beeinträchtigen
• Reaktionen auf Sicherheitsverletzungen planen und testen und sich auf potenzielle Diskussionen des Vorfalls mit Kunden, Partnern und der breiten Öffentlichkeit einstellen
• Auswahltests, Bereitstellung und Wartung von Hardware- und Softwareprodukten im Sicherheitsbereich sowie Outsourcing-Vereinbarungen beaufsichtigen
• Einen Mitarbeiterstab leiten, der für die Sicherheit des Unternehmens verantwortlich ist – von Netzwerktechnikern, die Firewall-Geräte verwalten, bis hin zum Wachpersonal

Angesichts des schieren Umfangs dieser Rolle kann es schwierig sein zu entscheiden, wie man seine Zeit an einem typischen Arbeitstag am besten einteilen sollte. Die meisten von uns würden es vorziehen, in der technischen Komfortzone zu bleiben (dargestellt durch die letzten drei Gliederungspunkte oben) und unsere Tage damit zu verbringen, für Vorfälle zu planen und Maßnahmen zu beaufsichtigen, die darauf abzielen, deren Wahrscheinlichkeit zu minimieren. 

In unserer Komfortzone zu verweilen führt uns jedoch nicht zu größerer Sicherheit. Der Studie „Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen“ von Forrester zufolge haben 94 % der Unternehmen in den vergangenen 12 Monaten mindestens einen geschäftsschädigenden Cyberangriff erlitten, der zu mindestens einer der folgenden Konsequenzen geführt hat: Verlust von Kunden-, Mitarbeiter- oder anderen vertraulichen Daten, Unterbrechung des normalen Geschäftsbetriebs, Auszahlung von Lösegeld, finanzieller Verlust oder Diebstahl und/oder Diebstahl von geistigem Eigentum. Und die überwiegende Mehrheit der Befragten (77 %) geht davon aus, dass Cyberangriffe in den kommenden zwei Jahren weiter zunehmen werden.

Aus der Studie geht zudem hervor, dass 66 % der Geschäftsverantwortlichen – bestenfalls – nur einigermaßen zuversichtlich sind, dass ihr Sicherheitsteam in der Lage ist, das Risiko- oder Sicherheitsniveau ihres Unternehmens zu quantifizieren. 

Der Weg zum Business-orientierten Sicherheitsverantwortlichen: 8 Schritte

Es ist klar, dass sich etwas ändern muss. Als Sicherheitsverantwortliche müssen wir Wege finden, um die Abstimmung mit dem Business zu verbessern. Und dazu sind Anstrengungen notwendig – Tag für Tag. Man muss genau darauf achten, wie man seine Zeit priorisiert, damit Abläufe stets so strukturiert sind, dass einem ausreichend Zeit bleibt, um sich auf eine Abstimmung mit dem geschäftlichen Bereich zu konzentrieren.

„Mehrwert für das Unternehmen zu erbringen und einen Kreislauf zu erzeugen, der Mitverantwortliche in die Abläufe einbindet, sind die wichtigsten Aspekte bei der Entwicklung zu einem Business-orientierten Cybersecurity-Verantwortlichen“, so Jose Maria Labernia Salvador, Leiter des Bereichs IT-Sicherheit und interne Kontrolle bei LafargeHolcim IT EMEA in Madrid, in einem Interview mit Tenable. „Zudem ist es besonders wichtig, dass Ziel und Vision auf das Geschäft abgestimmt sind. Eine vertrauensvolle und partnerschaftliche Beziehung muss aufgebaut werden, um sicherzustellen, dass ein direkter Austausch stattfindet.“

Laut Vadgama ist das Bemühen um den Aufbau vertrauensvoller Beziehungen im gesamten Unternehmen von entscheidender Bedeutung. Durch die Chance zur Mitwirkung im Datenschutzausschuss seines jetzigen Unternehmens bot sich ihm die Möglichkeit, unter anderem mit Führungskräften aus der Rechtsabteilung sowie aus Produktmanagement und Engineering zusammenzuarbeiten. Aber auch ohne offiziellen Ausschuss ist es möglich, auf andere zuzugehen und unternehmensweit Kontakte zu knüpfen.

„Meetings mit dem IT-Team reichen nicht aus“, erklärte Vadgama. „Es ist auch wichtig, sich beispielsweise mit Kollegen aus der Engineering-, Marketing- und Vertriebsabteilung auszutauschen und diese Beziehungen aufzubauen. Wenn wir dann etwas finden, worum sich diese Teams kümmern müssen, und ich bei ihnen auftauche, sagen sie einfach: Alles klar. Ja, wir wissen, dass wir uns darum kümmern müssen.“ 

Hier finden Sie acht Praktiken, die Sie in Ihren Alltag einbinden können und die Sie auf Ihrem Weg in eine Business-orientierte Zukunft begleiten werden:

1. Befassen Sie sich täglich mit öffentlich zugänglichen Dokumenten Ihres Unternehmens. Achten Sie darauf, auf welche Themen Führungskräfte Ihres Unternehmens in Geschäftsberichten, Pressemitteilungen, Nachrichtenartikeln, sozialen Medien und Branchenforen eingehen.
2. Vereinbaren Sie Gespräche mit Geschäftsbereichsleitern, um sich ein Bild von ihren täglichen Herausforderungen zu machen und Beziehungen aufzubauen. Finden Sie heraus, wie ihre Leistung gemessen wird. Helfen Sie ihnen, Sicherheit anstatt als Hindernis als Triebfeder für ihre geschäftlichen Anforderungen zu betrachten. Dadurch ist es wahrscheinlicher, dass Sie frühzeitiger in strategische Planungen einbezogen werden.
3. Entwickeln Sie ein grundlegendes Verständnis der Prioritäten und Herausforderungen von Unternehmen in Ihrem Branchensektor. Treten Sie Wirtschaftsverbänden oder anderen Berufsvereinigungen bei, lesen Sie B2B-Artikel in Fachzeitschriften und nehmen Sie an Webinaren und anderen Branchenveranstaltungen teil. Dadurch eignen Sie sich ein Grundvokabular an und machen sich mit wichtigen Sichtweisen vertraut, die Ihnen helfen, Ihre Sicherheitsinitiativen besser auf die speziellen Geschäftsanforderungen Ihres Unternehmens abzustimmen.
4. Vereinbaren Sie regelmäßige Gespräche mit Ihren C-Level-Kollegen und finden Sie heraus, was ihnen schlaflose Nächte bereitet. Nur wenn Sie die allgemeineren geschäftlichen Probleme verstehen, können Sie auch ein ganzheitliches Verständnis davon entwickeln, was „Risiko“ für Ihr Unternehmen wirklich bedeutet.
5. Nutzen Sie vierteljährliche Business Reviews als erstklassige Lernmöglichkeit. Hören Sie sich die strategischen Prioritäten und Probleme Ihrer Kollegen genau an und stellen Sie sich die Frage, welche externen geschäftlichen Faktoren diese beeinflussen. Achten Sie darauf, wie jede Führungskraft die Rendite ihrer Business-Investitionen veranschaulicht, und finden Sie Wege, Ihre eigenen ROI-Kennzahlen im Sicherheitsbereich entsprechend anzupassen.
6. Bauen Sie ein Netzwerk aus vertrauenswürdigen Business-Beratern auf. Ziehen Sie Mentoren aus dem gesamten Spektrum der Geschäftswelt hinzu, die Sie beraten, Rückmeldungen geben und Ihnen so dabei helfen, Ihre Kommunikation für den Business-Bereich nachvollziehbarer zu gestalten.
7. Bauen Sie Beziehungen zu den Risikoexperten in Ihrem Unternehmen auf. Cybersecurity ist ein Risiko in sich selbst – und ein Faktor in allen anderen Gesprächen rund um das Thema Geschäftsrisiken. Finden Sie heraus, wie Sie sich effektiv an der Entwicklung von unternehmerischen Risikomanagementstrategien beteiligen können, bei denen Cybersecurity im Mittelpunkt steht.
8. Schenken Sie Beziehungen zu Drittanbietern Beachtung, die in Ihrem Unternehmen bestehen. Möglicherweise haben Sie bereits ein grundlegendes Verständnis der wichtigsten Beziehungen entwickelt, wie etwa zu Ihren Dienstleistern für die Lohn- und Gehaltsabrechnung oder zu ERP-Anbietern. Aber wie viel Einblick haben Sie in die Tools und Plattformen, die von Ihrem Web-Team oder den Service- und Support-Vertragspartnern verwendet werden, die die operative Technologie Ihres Unternehmens warten und betreuen?

Für alle oben genannten Schritte Zeit zu finden und zusätzlich alle anderen Tätigkeiten effektiv auszuüben, die zu Ihrer Rolle gehören, mag als kaum zu bewältigende, geradezu entmutigende Aufgabe erscheinen. Sie werden nicht alles auf einmal erledigen können. Wählen Sie eine oder zwei Tätigkeiten aus, die Ihnen am sinnvollsten erscheinen, und fangen Sie damit an.

Ein Ansatz besteht laut Labernia darin, „oben anzufangen“. „Geschäftsverantwortliche sind in der Regel sehr offen für Gespräche, sobald sie die Komplexität und Risiken der gegenwärtigen Situation im Cybersecurity-Bereich verstehen. Dann können Sie nach und nach auf andere Schlüsselbereiche des Unternehmens eingehen. Statt – wie so häufig – mit Ablehnung zu reagieren, sollte Wissen im Vordergrund stehen. Es gibt immer einen Weg, das Geschäft auf sichere Weise zu führen, sobald die Ziele klar sind.“

Wenn Sie sich bewusst dafür entscheiden, Ihre Komfortzone im Technologiebereich zu verlassen und sich stärker an Geschäftsanforderungen auszurichten, profitiert davon nicht nur Ihr Unternehmen. Diese Entscheidung bringt Sie auch beruflich weiter, denn sie versetzt Sie in die begehrte Position, Strategien zur Reduzierung des Geschäftsrisikos aktiv mitzugestalten.

Lesen Sie die Blog-Reihe: Die Entwicklung zum Business-orientierten Cybersecurity-Verantwortlichen

Die Blog-Beiträge in dieser Reihe befassten sich mit den Herausforderungen bei der Abstimmung von Cybersecurity und Business sowie mit Gründen, warum es Cybersecurity-Verantwortlichen schwer fällt, die Frage „Wie sicher bzw. gefährdet sind wir?“ zu beantworten. Außerdem untersuchten wir, was COVID-19-Reaktionsstrategien über die Kluft zwischen Business und Cybersecurity aussagen, erörterten die Frage, warum bestehende Cybersecurity-Metriken zu kurz greifen, untersuchten fünf Schritte für eine bessere Abstimmung mit dem Business und boten einen Einblick in den beruflichen Alltag eines Business-orientierten Cybersecurity-Verantwortlichen.

Mehr erfahren:

• Weitere wichtige Erkenntnisse aus der Studie finden Sie hier
• Laden Sie die komplette Studie Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen herunter
• Lesen Sie diese Blog-Beiträge:
  • Cybersecurity und Business in Einklang bringen: Niemand behauptet, es sei einfach
  • Warum es Cybersecurity-Verantwortlichen schwer fällt, die Frage „Wie sicher sind wir“ zu beantworten
  • Was COVID-19-Reaktionsstrategien über die Kluft zwischen Business und Cybersecurity aussagen
  • Kommunizieren von Geschäftsrisiken: Warum bestehende Cybersecurity-Metriken zu kurz greifen
  • In fünf Schritten zum Business-orientierten Cybersecurity-Verantwortlichen
• Laden Sie das Whitepaper Was es heißt, ein Business-orientierter Sicherheitsverantwortlicher zu sein herunter
• Lesen Sie das E-Book Die Entwicklung zum Business-orientierten Sicherheitsverantwortlichen
• Hören Sie sich die Cyber Exposure-Podcast-Reihe „Interview with Tenable CSO Bob Huber“ an
• Sehen Sie sich folgendes Webinar an: Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen an