CISO & integrierte IT-Security

IT-Sicherheitsabteilung: Schluss mit der Kleinstaaterei

Sven Janssen leitet seit Februar 2015 die Bereiche Network Security und Channel der Dell Software GmbH in Deutschland. Er ist seit Juli 2006 Country Manager Germany bei SonicWALL und verantwortet damit sämtliche Vertriebs- und Channelaktivitäten für Deutschland. Vor seiner Zeit bei SonicWALL war er von 1999 bis 2004 bei Symantec tätig. Nach einer Position im ChannelMarketing betreute er als Enterprise Partner Account Manager in den Regionen Nord und West namhafte Enterprise VARs.
Viele Unternehmen haben veraltete Systeme und überholte Strukturen, die gravierende Schwachstellen aufweisen. Bösartige Attacken können dann die schlimmsten Folgen haben. Auf der Agenda der IT muss die Sicherheit deshalb an aller erster Stelle stehen, genauer gesagt: eine zentrale IT-Sicherheitsabteilung.

Es gibt eine universelle Gesetzmäßigkeit: je höher ein Risiko, desto mehr Aufwand ist nötig, um es zu minimieren. Das ist beim Auto mit all seinen Sicherheits-Features, beim Kernkraftwerk oder auch im OP so. Besonders vorbildlich agiert die Luftfahrtbranche. Durch ihre strengen Präventionsprogramme sind Flugzeugunglücke extrem unwahrscheinlich geworden. Bis in die IT hat sich dieses Streben nach kompromissloser Sicherheit allerdings noch nicht herumgesprochen - wie es scheint.

Die Existenz der Unternehmen steht auf dem Spiel

Zwar geht es im Unternehmensumfeld nicht um Leben und Tod, aber der Wert von Daten steigt ins Unermessliche, während die Risiken für Unternehmen durch immer ausgefeiltere und agressivere Hacker-Attacken wachsen. Die Wirtschaft des 21. Jahrhunderts hängt untrennbar am Datentropf. Egal, ob die Datenkommunikation gestört oder vertrauliche Informationen gestohlen werden - Unternehmen haben stets das Nachsehen und nicht selten steht dabei ihre Existenz auf dem Spiel. Die größtmögliche Absicherung der IT sollte daher für jede Organisation die oberste Priorität haben und zwar völlig unabhängig von ihrer Größe: Alle sind betroffen.

Eine Verbesserung der IT-Sicherheit ist ohne zusätzliche Investitionen kaum möglich. Daher ist es wichtig, so früh wie möglich die Geschäftsleitung zu involvieren - und nicht gleich über die Technik nachzudenken. Das Bewusstsein für Angriffe auf die IT-Sicherheit ist bei Führungskräften zwar deutlich gestiegen - spätestens seit der NSA- beziehungsweise Snowden-Affäre. Trotzdem bleibt das Nachvollziehen der tatsächlichen Gefahren bei den meisten diffus, vielleicht deshalb, wie sie sich nicht tagtäglich mit den Details von Attacken auseinandersetzen. Wie auch? Im Alltagsbetrieb fehlt meist die Zeit dafür. Idealerweise sollten Sicherheitsverantwortliche deshalb auch vorsehen, Führungskräfte nicht nur in der Implementierungsphase, sondern auch im späteren Verlauf des Sicherheitsprojekts regelmäßig auf dem Laufenden zu halten, etwa in Form von wöchentlichen oder monatlichen Executive Summaries. Grafisch aufbereitet visualisieren solche Reports die tatsächlichen Angriffe und Gefahren sehr plastisch. Diese Absicherung ist die Voraussetzung für die ersten erfolgreichen Budgetverhandlungen und die später langfristig notwendigen Budgetzusagen.

Anschließend sollte eine Bestandsanalyse unter Berücksichtigung aller denkbaren Aspekte durchgeführt werden: zunächst einmal die technischen, also die Auflistung von Geräten und Lösungen und deren Eignung für die Abwehr von Hacker-Angriffen und Cyberattacken. Es ist ebenso wichtig, die unterschiedlichen IT-Bereiche mit ihren jeweiligen Applikations-bezogenen Sicherheitssystemen und Rechteverwaltungen, das Sicherheitsbewusstsein der User, die Abstimmung zwischen den Abteilungen sowie wahrscheinliche interne und externe Gefahrenquellen zu bewerten. Dazu kommen existierende Sicherheitsrichtlinien, tatsächliche und potenzielle Sicherheitspersonal-Ressourcen, und natürlich auch Budgets.

Paradigmenwechsel bei der IT-Sicherheit

Die Bestandanalyse dient dazu, den nächsten und wichtigsten Schritt anzugehen: den Aufbau einer integrierten Sicherheitsabteilung. Die jüngste Sicherheitsstudie von Dell, die in Deutschland unter IT-Entscheidern durchgeführt wurde, hat bestätigt, was viele IT-Dienstleister immer schon wussten: In Unternehmen jeder Größe ist Sicherheit meist dezentral organisiert, also innerhalb der existierenden Bereichs- oder Applikationswelten. Die CRM-Abteilung kümmert sich um CRM-Sicherheit, die ERP-Abteilung um ERP-Sicherheit, die Netzwerker um ihre Sicherheit, und so weiter. Jeder kocht sein eigenes Sicherheits-Süppchen, man stimmt sich kaum ab, und so entstehen, ganz ähnlich den Informationssilos, voneinander abgeschottete Sicherheitssilos. Über die Zeit bilden sich dann gigantische, hausgemachte Sicherheitslücken heraus, die systembedingt nicht in den Griff zu bekommen sind.

Das Silophänomen ist historisch gewachsen, jeder hinzugekommene Bereich wurde in seiner Gesamtheit von einem eigenen IT-Mitarbeiter verantwortet. So sind kleine territoriale Mächte entstanden, die eine Einmischung der angrenzenden Bereiche nicht dulden - mindestens aber kritisch beäugen. An dieser Stelle geht es weiter mit der Politik, denn beim Aufbau der integrierten Sicherheitsabteilung ist viel diplomatisches Geschick nötig. Letztlich geht es ja darum, die Bereichsleiter davon zu überzeugen, ein Stück ihrer Macht abzugeben, zumindest was die Sicherheit der Systeme betrifft. Das mag zwar für das eine oder andere Ego schmerzhaft sein, für die Gesamtsicherheit des Unternehmens bedeutet es aber einen Quantensprung, denn Lücken können dank der neuen Perspektive erstmals identifiziert und geschlossen werden.

Ist die Kleinstaaterei bei der IT-Sicherheit beendet, ist davon auszugehen, dass die Effizienz aller Aktivitäten deutlich steigt. Sowohl bei der Abwehr von Angriffen, als auch beim Sicherheitsmanagement und am Ende bei den Budgets.

CISO: Strategie, Operatives, Diplomatie und Kultur

Idealerweise übernimmt - je nach Größe des Unternehmens - ein CISO (Chief Information Security Officer) die Leitung der integrierten IT-Sicherheitsabteilung, dessen zentrale Rolle es auch sein wird, mit den Chefetagen professionell zu kommunizieren. Natürlich hat der CISO weitere Aufgaben, die sich von der Erarbeitung der umfassenden Sicherheitsstrategie über die Aufstellung eines unternehmensweiten Regelwerks bis hin zur Sicherstellung der operativen Maßnahmen (Log-Analyse), der Systemmodernisierung und der Schulung von Mitarbeitern erstreckt.

Der CISO ist also verantwortlich für Strategie, Sicherstellung des Operativen und für Diplomatie. Genau genommen ist Lobbyarbeit in zwei Richtungen wichtig: Erstens zielt sie auf die Geschäftsleitung, um das Sicherheitsbewusstsein dort möglichst tief zu verankern und so die Freigabe notwendiger Budgets zu fördern. Zweitens zielt sie auf die einzelnen IT-Bereiche, um sich deren Unterstützung zu sichern, indem immer wieder die Unverzichtbarkeit einer integrierten Sicherheitsabteilung kommuniziert wird.

Agiert ein CISO vorbildlich, schafft er es zudem, unternehmensweit eine faktenbasierte Sicherheitskultur ins Leben zu rufen, sowohl bei Führungskräften und IT-Verantwortlichen, als auch bei allen anderen Mitarbeitern. Eine solche Kultur ist mit Abstand der beste Abwehrmechanismus gegen Bedrohungen für die IT-Sicherheit. (fm)