Die Verantwortung eines CISOs verändert sich ähnlich wie die des CIOs. Er wird mehr und mehr zum Risikomanager von IT-basierten Geschäftsprozessen, genauso wie der CIO auch in eine ganzheitlichere Aufgabe als Verantwortlicher für die Digitalisierung von Geschäftsprozessen wächst. Die Unterschiede sind von Firma zu Firma zwar groß, es lässt sich aber dennoch eine Entwicklungstendenz insgesamt erkennen.
Traditionell liegt der Fokus des CISOs auf IT-Security, also dem Schutz der IT-Systeme und Daten. Identity and Access Management (IAM) und Firewalls sind zwei klassische Beispiele für Schutzmaßnahmen, die aus dieser Phase stammen und heute weitgehend als Standards in der IT etabliert sind.
Als Konsequenz von vermehrten Angriffen und der Erkenntnis, dass Angreifer trotz hoher Schutzmaßnahmen immer wieder erfolgreiche Angriffe platzieren, wird der Fokus stärker auf ‚Detection‘ und ‚Incident Response‘ gelegt. Ziel dabei ist es, durch intensives Monitoring Angriffe frühzeitig zu erkennen und durch schnelle Reaktion den potenziellen Schaden einzugrenzen. Durch diesen Schritt wird die CISO Organisation um die Komponente eines Cyber Defense Centers (oft auch CERT genannt) ergänzt.
Auch wenn die Kommunikation in Richtung Endanwender schon immer zum Aufgabenportfolio eines CISOs gehört, gewinnt diese Komponente durch das vermehrte Auftauchen von Phishing-Angriffen weiter an Bedeutung. Dazu kommt das Thema Klassifizierung. Ziel dabei ist es, zwischen den Informationen, die einen ‚normalen‘ Schutzbedarf haben und den besonders sensiblen Informationen, die z.B. das IP eines Unternehmens darstellen, zu unterscheiden. Hier ist der CISO gefordert, intensiv mit den Fachbereichen zu arbeiten, ihnen die Konzepte in Verbindung mit technischen, aber auch organisatorischen Schutzmaßnahmen nahe zu bringen. Spätestens ab diesem Zeitpunkt ist der CISO nicht mehr der Verantwortliche für IT-Security, sondern für Informationssicherheit.
Mit den Ransomware-Wellen 2017, aber auch den Diskussionen um regionale Stromausfälle durch die Energiewende und ganz aktuell durch den Ausbruch der Covid 19 Pandemie verändert sich in den ersten Unternehmen die Herangehensweise an die Risiken IT-basierter Geschäftsprozesse. In diesem Kontext taucht immer häufiger der Begriff Resilienz auf. Darunter versteht man die Fähigkeit, auch bei Störungen oder Teilausfällen der primären IT-Systeme wesentliche Geschäftsprozesse oder Teile dieser Geschäftsprozesse weiter betreiben zu können. Im Gesundheitsbereich spricht man bei Resilienz auch von Widerstandskraft.
Das Neue an dieser Betrachtungsweise ist die deutlich ganzheitlichere Herangehensweise an die Risiko-Mitigierung. Neben den klassischen Maßnahmen der IT-Security oder den Redundanzmaßnahmen des IT-Betriebes werden auch Sicherheits- und Redundanzmaßnahmen der operativen Geschäftsprozesse betrachtet. Ein Beispiel dafür ist die Erhöhung der Sicherheitsbestände von Rohstoffen oder Fertigprodukten, um die Produktion eines Industrieunternehmens unabhängiger vom Ausfall einzelner Supply-Chain-Systeme oder der Kommunikation untereinander zu machen.
Ein anderes Beispiel ist die Spiegelung von operativen Daten in ein Recherche-System in einer komplett anderen Systemumgebung. Dies hat einem Logistikunternehmen während der Ransomware-Welle 2017 geholfen, den Schaden zu begrenzen, da nach dem Totalausfall der operativen Systeme im eigenen Rechenzentrum viele Information zum Verbleib der Warencontainer aus dem Cloud-basierten Recherche-System rekonstruiert werden konnten.
Im Bereich der IT-Maßnahmen selbst kommt ein anderer Typ von Mitigationsmaßnahmen hinzu. So werden in den Cyber Defense Centern (CERTs) einiger Organisationen sowohl Windows-PCs als auch Macs eingesetzt. Wird bei einem Angriff eine Schwachstelle des einen Betriebssystems ausgenutzt, bleibt die Organisation mit dem anderen Equipment arbeitsfähig.
Im IT-Betrieb kann es sinnvoll sein, für die Backup-Systeme ein anderes Betriebssystem zu nutzen als für die operativen Systeme. Während der Ransomware-Welle 2017 hätte dies einigen Firmen geholfen, sehr viel schneller ihre operativen Systeme wiederherzustellen, da die Backup-Systeme genauso wie die operativen Systeme zunächst bereinigt werden mussten.
Auch kann die gezielte Verteilung von kritischen Applikationen auf unterschiedliche Cloud-Provider helfen, die Resilienz gegen den Ausfall dieser Services zu erhöhen und gleichzeitig Abhängigkeiten von einem Anbieter zu verringern.
Für den CISO bedeutet dies insgesamt, dass er als Partner der Fachbereiche mit diesen Risikoszenarien diskutiert und gemeinsam mit Fachbereich und IT-Organisation unter Kosten-Nutzen-Aspekten die sinnvollsten Maßnahmen zur Erhöhung der Resilienz auswählt. Er rückt damit deutlich näher an das operative Geschäft und wird als Partner der Fachbereiche wichtiger, insbesondere vor dem Hintergrund der zunehmenden Digitalisierung und der gleichzeitig zunehmenden Risiken für IT-basierte Geschäftsprozesse.
Der dritte Teil über Enterprise Architecture Management (EAM) und Cyber Security erscheint in Kürze.
Fragen, Feedback und Kommentare zu diesem Beitrag senden Sie bitte an h.leucker@acent.de
Hermann Leucker | 07.05.2020
