CIO und CISO müssen an einem Strang ziehen
Mensch als Sicherheitsrisiko
von Jens StarkGeorge Sarpong - 26.03.2019
Guter Quelltext weist beispielsweise einen Fehler auf 2.000 Zeilen auf. Nicht jeder Fehler kann dabei als Schwachstelle genutzt werden. Aber man kann davon ausgehen, dass große Programme wie ein Betriebssystem mit Millionen von Zeilen Code unweigerlich Verwundbarkeiten aufweisen. Ein Angriffsvektor ist damit die Software. Axiom zwei ist aber, wie Sie gesagt haben, der Mensch. Es gibt immer jemanden in einem Unternehmen, der beispielsweise beim Erhalt einer Phishing-E-Mail auf den Link klickt. Somit muss man an beidem arbeiten: updaten und sensibilisieren.
com! professional: Wie sensibilisieren Sie denn am besten? Können Sie uns von erfolgreichen Awareness-Kampagnen berichten?
Kocher: Am besten wirken Videos und Computer-based Trainings, die sich die Mitarbeiter individuell und bei genügend Zeit anschauen oder durchführen können. Was nichts bringt, ist, wenn man die Mitarbeiter einmal im Jahr zusammentrommelt und in einem großen Saal einen Vortrag über die richtigen Verhaltensweisen hält. Sie können sicher sein, dass die meisten den Inhalt einer solchen Präsentation schon nicht mehr wissen, nachdem sie den Saal verlassen haben.
com! professional: Apropos Awareness: Wie hoch ist das IT-Security-Bewusstsein in den Führungsetagen?
Kocher: Das kommt sehr stark darauf an, ob ein Unternehmen schon einmal einen Sicherheitsvorfall hatte. Ist dies der Fall, ist auch die Awareness durchaus vorhanden - zumindest mittelfristig (lacht). Denn das Sicherheitsbewusstsein nimmt mit der Zeit auch wieder ab. Ist dagegen noch nie etwas passiert, ist die Awareness gering ausgeprägt.
com! professional: Wo liegt das Problem?
Kocher: Das Hauptproblem liegt darin, dass IT-Security zunächst nur etwas kostet, aber dem Unternehmen erst einmal keinen direkt erkennbaren Mehrwert bringt. Dies auch im Gegensatz zur IT, die anerkannterweise der Effizienzsteigerung dient, sich also auf den Umsatz auswirkt.
Security macht dagegen nicht mehr Umsatz, sondern weniger Verlust. Das ist schwieriger zu vermitteln, und zwar obwohl es mittlerweile genügend Beispiele dafür gibt, wie geschäftsschädigend ein Hackerangriff sein kann. Hier lassen sich die Umsatzverluste relativ gut berechnen. Hinzu kommt der Imageschaden und der Reputationsverlust, der immens sein und ein Unternehmen sogar ruinieren kann.
com! professional: Wenn Sie sich in die Rolle des CISOs begeben. Wie lautet Ihr „Elevator Pitch“, um den CEO oder den CFO zu überzeugen, für IT-Security mehr Geld zu sprechen?
Kocher: Die Diskussionsbasis dreht sich hier um ein klassisches Risk-Management. Die Frage, die ich mit dem CEO und CFO erörtern muss, lautet: Wie viel kann ich verlieren in Bezug auf den Umsatz, damit mein Unternehmen als Ganzes oder auf einzelne Abteilungen bezogen noch operabel bleibt und der Imageschaden sich in Grenzen hält?
Danach muss ich mit Szenarien operieren, da es sich bei der IT-Security um ein technisch sehr komplexes Thema handelt. Diese müssen zudem ganzheitlich sein. Denn es nützt nichts, wenn man Teile der Unternehmens-IT optimal absichert - beispielsweise, weil man sich ein neues IT-Security-Produkt zulegt -, dabei allerdings dann vergisst, die anderen Teile zu schützen.
