Umdenken bei IT-Entscheidern

Wie der CSO den Schwarzen Peter los wird

Dietmar Müller ist freier Journalist in München und arbeitet für Computerwoche und Channelpartner.
Maria Korolov berichtet seit mehr als zwanzig Jahren über aufstrebende Märkte und Technologien. Sie schreibt für die US-amerikanische IDG-Publikation CSO.
Manch ein IT-Entscheider muss lernen, auch mal Ja zu sagen. Wir erklären Ihnen, wie das geht.

Gelten Sie in Ihrer Firma als "Mr. No"? Als der Typ, der wegen seiner Sicherheitsbedenken ständig Projekte aufhält und verzögert? Erklären Sie in Meetings mit anderen Managern üblicherweise, dass sie schleunigst mehr Geld benötigen, andernfalls würden fürchterliche Dinge geschehen? Falls ja: Verlangen Sie nach einer Million Dollar und streicheln dabei eine weiße Katze? OK, Sie wissen natürlich, dass Sie mit einer Million nicht weit kommen werden, besser wären... 100 Milliarden Dollar. (Der "one meeeellion dollars"-Spruch wurde durch Dr. Evil im ersten Austin Powers-Film berühmt, aber Dr. No hat ihn in einem James-Bond-Film erstmals verwandt). Und wenn Sie nicht gerade Leute von der Arbeit abhalten oder nach mehr Geld verlangen, dann kommen Sie mit einer schlechter Nachricht, beispielsweise über einen Einbruch, um die Ecke?

"Ich wurde immer als letzter zu Meetings eingeladen", berichtet Adam Ely, der vor der Gründung seines eigenen Sicherheitsunternehmens Bluebox Security bei TiVo and Walt Disney für Security, Compliance und Risk-Management verantwortlich war. "Ich musste oft 'nein' sagen, weil ein Risiko bestand und ich keine Lösung dafür hatte." Nun würden aber immer mehr Verantwortliche umdenken und ihre Rolle neu definieren, weil Ja-Sager einfach mehr zum Geschäftserfolg beitragen können.

Scheideweg für IT-Entscheider: Als Ja-Sager können Sie mehr zum Geschäftserfolg beitragen.
Scheideweg für IT-Entscheider: Als Ja-Sager können Sie mehr zum Geschäftserfolg beitragen.
Foto: Creativa Images_shutterstock.com

Phishing-Mails & Spam abschaffen

Der Versicherungskonzern Aetna aus Hartford, Connecticat, hat erst vor kurzem auf DMARC-E-Mail-Authentifizierung umgestellt. "All Ihre E-Mails werden vom Provider authentifiziert", so Aetna-CISO Jim Routh. "Das bedeutet 65 Millionen Spam- und Phishing-Mails, die erst gar nicht bei uns aufschlagen." Die Folge seien weniger Risiko für die Anwender und weniger Kosten für Aetna, das nun kein Phishing-Problem mehr habe.

Und es führt sogar zu neuen Aufträgen. "Die Sicherheitsabteilung hat das Projekt gemeinsam mit dem Marketing durchgezogen", so Routh. "Normalerweise können die nicht gut miteinander", aber bei Aetna funktioniere das. "Das ist nun ein Verkaufsargument in Gesprächen mit Arbeitgebern, die ihren Angestellten auch etwas Gutes tun wollen."

Tatsächlich wurde Aetna als einziges Unternehmen aus der Gesundheitsbranche von der E-Mail-Security-Firma Agari für 100 Prozent sicher befunden. Dreizehn andere vergleichbare Unternehmen wurden als "verwundbar" eingestuft, mit im Schnitt lediglich 17prozentiger Sicherheit. Laut Agari liegt die Gefahr für Krankenversicherer, dass ihre Mails gefälscht werden, viermal höher als die für Unternehmen aus dem Bereich der sozialen Medien.

Cloud-Gateways nutzen

CSOs kennen die Probleme mit Cloud-Applikationen nur zu gut: "Sie setzen Organisationen Sicherheitsrisiken aus wie etwa Datenlecks, unautorisierte Zugriffe, Denial-of-Service-Angriffe, und so weiter, und so weiter", so Nir Valtman, CISO, Retail, bei NCR aus Duluth, Georgia. Was passiert also typischerweise in einer Firma? Sie werden heimlich eingeführt, ohne Sie davon in Kenntnis zu setzen. Irgendwann bemerken Sie dann, dass bereits die halbe Firma Cloud-Services nutzt und dabei auf Sicherheit pfeift.

Laut dem Cloud Gateway Provider CipherCloud handelt es sich bei 86 Prozent aller in Unternehmen eingesetzter Cloud-Apps um Schatten-IT. Eine durchschnittliche, global aufgestellte Firma nutze gut und gerne mehr als 1100 Cloud-Apps. Valtman rät daher zum Einsatz von Cloud Gateways: "Diese Gateways bieten Tools für das Aufspüren und Überwachen von Apps und machen sie so sicher."

Die Anbieter helfen dabei, populäre Apps wie Salesforce, Office 365, Google Apps und Online-Storage zu schützen, auch bieten Sie Zugangskontrolle für selbstgebaute Apps. "Anwender können damit Geräte, IP-Adressen, Betriebssysteme und ähnliches eindeutig identifizieren", so Yair Grindlinger, CEO und Mitbegründer der Sicherheitsfirma FireLayer aus Redwood City, Kalifornien.

"Das schützt wirkungsvoll vor Phishing, Malware, Social Engineering und andere Angriffsarten." Mit einer solchen Lösung können CSOs in die Offensive gehen und bei neuen Cloud-Installationen tatkräftig mithelfen, statt sie nachträglich einfach nur zur Kenntnis zu nehmen.

Aber Gateways kommen nicht nur den Anwendern zugute. Cloud-Service-Anbieter können sich mit Gateway-Anbietern zusammentun und den Kunden integrierte Security anbieten. Damit verursacht Security nicht nur Kosten, sondern trägt auch zum Umsatz bei.

Angestellten Gehör schenken

Als Adam Meyer noch CSO bei der Washington Metropolitan Area Transit Authority war, hielt er immer Meetings während des Mittagessens ab. Bei Kaffee und Snacks konnten die Mitarbeiter ihre drängendsten Fragen zur Sicherheit stellen. Er erwartete Fragen zum Online-Zugang in der Firma, doch "in 99 Prozent aller Fälle ging es eher um private Probleme". Diese betrafen etwa den Rechner des Sohns oder die Frage, ob man der App der Hausbank trauen kann. Es funktionierte dennoch sehr gut, so Meyer, der heute als Chief Security Strategist bei den SurfWatch Labs arbeitet.

"Dadurch, dass wir das so persönlich aufgezogen haben, wurden die Mitarbeiter mehr für Sicherheitsfragen sensibilisiert. Das war nichts Hochoffizielles, eher eine private Konversation, und sie wussten dadurch, das ich es nur gut mit ihnen meine", so Meyer. Sie verstanden sein Anliegen zunehmend besser und sprachen immer offener über die Sicherheitsprobleme am Arbeitsplatz. Dadurch konnte auch das Security-Team viel besser arbeiten.

So berichtete etwa ein Mitarbeiter, dass ihm der Austausch von Zugangsdaten viel zu kompliziert vorkam, woraufhin die Firma eine Cloud-Speicherlösung einführte. Der Provider sorgte dafür, dass sensible Daten wie Kreditkarteninformationen besonders abgesichert werden. "Damit haben wir auch Bedrohungen durch Malware wie etwa Ransomware reduziert", so Meyer. "Unsere Verfügbarkeit ging nach oben, unser Schutz vor verlorenen Daten wurde größer, und alles in allem waren die Mitarbeiter glücklicher - außerdem halbierten wir die Kosten für Storage."

Vernetzte IT-Entscheider

Jeder Mitarbeiter versuche sein Bestes, nach Maßgabe seiner persönlichen Fähigkeiten. "Die Frage ist, wie wir sie dazu bringen können, in Sachen Security aufmerksamer zu werden - ohne ihre Arbeit zu verkomplizieren. Im Business geht es nicht darum, Geld zu verlieren - jeder einzelne Mitarbeiter soll etwas davon in die Firma bringen. Wir haben dafür einige Hindernisse abgebaut, ohne tief in die Organisationsstruktur einzugreifen."

Meyer rät anderen CSOs und CISOs dazu, schleunigst enge Kontakte zu anderen Abteilungsleitern zu knüpfen: "Wenn eine Abteilung ein bestimmtes Ziel in sechs Monaten erreichen will, dann sollten Sie sie dabei tatkräftig unterstützen. Die Abteilung kann keine Ewigkeit warten, das kostet sie aus ihrer Sicht viel zu viel Geld. Sie sollten keine 50 Millionen Dollar Umsatz wegen eines Sicherheitsrisikos in Höhe von zwei Millionen Dollar aufs Spiel setzen. Das macht einfach keinen Sinn. Nehmen Sie das Risiko an und schauen Sie nach vorne." (fm)