Security-Management im Wandel: Warum ein CISO emotionale Intelligenz braucht

Reife Geschäftsleute, die eine digitale Tablette verwenden, um mit einem jüngeren Kollegen in einer modernen Business Lounge Informationen zu besprechen


Foto: marvent – shutterstock.com

Reicht es für einen CISO heute noch aus, ein technisch denkender Spezialist zu sein? Kann er damit den gestiegenen Anforderungen gerecht werden? Was haben bekannte CISOs in großen Unternehmen in den vergangenen Jahren gelernt und wie hat sich ihr Tätigkeitsfeld verändert? Diesen Fragen sind die Analysten von Omnisperience in Zusammenarbeit mit WithSecure (ehemals F-Secure Business) nachgegangen. Die zentrale Erkenntnis ihres Reports “CISOs’ New Dawn“: Ohne emotionale Intelligenz geht nichts mehr. “Soziale Skills befähigen den CISO, sich in Menschen innerhalb und außerhalb seines Unternehmens hineinzudenken und zu koordinieren. In anderen Worten: Er muss ‘Manager’ sein im wahrsten Sinne des Wortes”, fasst Rüdiger Trost, Head of Cyber Security Solutions bei WithSecure in der DACH-Region, zusammen.

Für den Bericht wurden ausführliche Interviews mit 28 CISOs aus den USA, Großbritannien und anderen europäischen Ländern geführt. Für den Bericht wurde auch Scott Goodhart, ehemaliger CISO der AES Corporation, eines amerikanischen Elektrizitäts-Unternehmens mit 18.500 Mitarbeitern und Aktivitäten in 18 Ländern. Goodhart fasst den Rollenwandel seines Berufs folgendermaßen so zusammen: “Für Unternehmen sind die technischen Aspekte im Zusammenhang mit Cybersicherheitsrisiken nicht mehr von anderen Geschäftsrisiken zu unterscheiden. Es ist einfach nicht sinnvoll, Angriffe nur als IT- oder Cybersicherheitsproblem zu behandeln, wenn sie Unternehmen durch Ausfallzeiten, Erpressungsgelder, gestohlenes geistiges Eigentum und so weiter Tausende oder Hunderttausende von Dollar kosten können. In gewisser Weise gehören rein technische CISOs der Vergangenheit an und werden durch Personen ersetzt, die sich explizit darauf verlassen, Risiken in einer viel breiteren, ganzheitlichen Weise zu adressieren.”

Gerade die immer häufiger werdenden Ransomware-Attacken zeigen, dass Cybersicherheit “nur” ein wichtiger Faktor in einem übergreifenden Risikomanagement ist: Wenn die gesamten Geschäftsdaten im Netzwerk verschlüsselt sind und erst gegen Lösegeld wieder freigegeben werden könnten, dann interessiert das auch den CFO: Denn dabei kann es fürs Unternehmen ans Eingemachte gehen.

Matt Stamper, CISO von Evotek, einem Digitalisierungs-Dienstleister aus San Diego, sagt in dem Bericht: “Es geht um Risiken. CISOs sollten keine Entscheidungen treffen, die dann in die Verantwortung anderer fallen.” Und David Lello, CISO von Burning Tree, einem auf IT-Security spezialisierten britischen Beratungsunternehmen hat festgestellt: “Die Betriebswirtschaft horcht auf und fängt an, Fragen zu stellen. CISOs drückten sich früher sehr technisch aus, heute verlangt man von ihnen mehr Business-Sprech.”

Anschauliche Beispiele für die Grenzen des rein technischen Denkens liefern immer wieder die Arbeit von “Red Teams”. Deren Tests, die zum Beispiel Tom Van de Wiele, Principle Security Consultant bei WithSecure, und seine Kollegen durchführen, spüren auf, was Unternehmen in Bezug auf Sicherheit richtig oder falsch machen. Ziel der simulierten Angriffe ist es, Finanzdaten und geistiges Eigentum zu stehlen oder wichtige Teile der IT-Infrastruktur eines Unternehmens unter Kontrolle zu bringen. Die Tests beziehen die gesamte Angriffsfläche eines Unternehmens ein, nicht nur die digitale, sondern auch die physische.

“Viele Unternehmen sind überrascht, wenn wir auf ihre Offline-Server zugreifen, da viele CISOs nicht darauf vorbereitet sind, mit einem Angreifer umzugehen, der sich physischen Zugang zum Firmengelände verschafft”, sagt Van de Wiele. “Dabei ist das überraschend einfach: Alles was Sie brauchen, ist eine Sicherheitsweste und den Anschein zu erwecken, einer körperliche Arbeit nachzugehen. Eine Sicherheitsweste ist besser als Harry Potters Tarnumhang. Ziehen Sie eine an – und Sie kommen überall hinein, es werden keine Fragen gestellt.”

Neben Gefahren durch zu einfachen physischen Zugang decken Red Teams aber immer wieder auch die Gefahren durch Social Engineering auf: Dabei nutzen Angreifer gezielt menschliche Schwächen der Mitarbeiter des Unternehmens aus. Wenn CISOs nicht über den Tellerrand der Technologie hinausdenken, werden sie solche Gefahren nie entschärfen können.

Der Bericht bestätigt diesen Wandel der beruflichen Anforderungen: Zwei Drittel der befragten CISOs sagten, dass emotionale Intelligenz eine immer wichtigere Rolle spielt, wenn es darum geht, Menschen innerhalb und außerhalb ihrer Organisation zu verstehen, sich in sie einzufühlen und mit ihnen zu verhandeln – eine wichtige Voraussetzung angesichts der wachsenden Verantwortung.

Drei Viertel der interviewten CISOs sagte zudem, dass sich ihre Aufgaben vom reinen Fokus auf Netzwerkrisiken hin zur Abdeckung aller Aspekte der eingesetzten Technologie verschoben haben. Bei CISOs, die im Gesundheitswesen, in der Fertigung und im Einzelhandel arbeiten, ist der Wandel am stärksten ausgeprägt. Auf den Punkt bringt es Mauro Israel, Corporate CISO der Orpea Group, die auch in Deutschland einer der größten privaten Anbieter von Seniorenhäusern mit stationärer Pflege ist, sieht das so: “Früher war der CISO der IT-Typ in seinem Silo, jetzt ist er der Visionär der neuen Wirtschaft.”

Ein zentraler Wert dieser neuen Wirtschaft ist Kollaboration. Technisch aufzurüsten reicht nicht mehr, um die Risiken einzudämmen. Es gilt vielmehr, Menschen, Prozesse und Technologien so zusammenzuführen, dass auf Sicherheitsrisiken eine “Continuous Response” möglich ist. Bei WithSecures Detection- und Response-Lösung Countercept etwa werden mehrere Teams im Unternehmen und beim Dienstleister aktiv und arbeiten zusammen, sobald ein Angriff erkannt wird.

In einer solchen Kooperation muss nicht der CISO derjenige sein, der im Detail die größte Fachkenntnis besitzt. Dafür stehen hochspezialisierte Experten in den jeweiligen Teams zur Verfügung. Aber er muss effizient koordinieren und kommunizieren können.

Chani Simms, Managing Director des britischen IT-Security-Beratungsunternehmens Meta Defence Labs und Gründerin der Initiative SHe CISO Exec fordert diese Skills auch bei Dienstleistern ein: “Als IT-Security-Provider müssen wir vorleben, was wir predigen: Wie man die richtige Security-Kultur schafft, das Bewusstsein schärft und Cyberresilienz aufbaut. Entscheidend sind Vertrauen, Resilienz und gute Kommunikation.”

In Frankreich ist EQ (Emotionale Intelligenz) als Geschäftskompetenz sogar eine Anforderung in Regelwerken für börsennotierte Unternehmen. In die Diskussion eingeführt wurde der Begriff im Jahr 1990 von den US-Psychologen John D. Mayer und Peter Salovey. Howard Gardner, Research Professor an der Harvard Graduate School of Education der Harvard University, erläutert den Begriff so: “Der EQ ist der Grad der Fähigkeit, andere Menschen zu verstehen: was sie motiviert und wie Sie mit ihnen am besten zusammenarbeiten.” Und Gene Zafrin, CISO beim amerikanischen Rückversicherer RenaissanceRe, sieht es so: “Es klingt vielleicht trivial, aber ich möchte meine Mitarbeiter besser verstehen. Die größte Wirkung, die ich erzielen könnte, ist, dass jedes Teammitglied erfolgreich ist.”

Die Kommunikation zwischen CISOs, den für IT-Security zuständigen Teams und dem Rest des Unternehmens wird häufiger und umfangreicher. Sei es im Rahmen von Awareness-Trainings, in der Notfallkommunikation oder bei Hinweisen zum Umgang mit neuen Diensten, Applikationen oder Tools. Daher wird auch eine klare und offene Sprache immer wichtiger, die Fachjargon und IT-Sprech vermeidet.

Rüdiger Trost von WithSecure betont zudem: “Für den Erfolg unerlässlich ist auch eine ebenso klare und offene Kommunikation in der Gegenrichtung, damit positives und kritisches Feedback der Anwender auch in den Security-Teams ankommt. CISOs und ihr Team werden nicht immer sofort eine Antwort parat haben – aber sie sollten in der Lage sein, die Suche nach diesen Antworten zu leiten.”

Mehr ausführlichere Erfahrungen von CISOs zum Wandel ihres Berufsbildes finden Sie in dem Bericht CISOs’ New Dawn.

https://www.computerwoche.de/a/warum-ein-ciso-emotionale-intelligenz-braucht,3612703

Leave a Reply