Meinung
Keine Security-Extrawurst für Manager!
Foto: SvetaZi - shutterstock.com
Wenn ich dabei zusehen muss, wie manche Unternehmen solide Cybersicherheitsrichtlinien auf die Beine stellen und für alle Mitarbeiter durchsetzen, nur um anschließend für einen elitären Kreis regelmäßig ein (oder zwei) Security-Augen zuzudrücken, kann ich mich nur stark wundern. Das Prinzip "Mach' was ich sage und nicht was ich tue" funktioniert einfach nicht - weder in Bezug auf trotzige Teenager noch auf IT-Sicherheit.
Davon abgesehen haben CISOs und ihre Teams schon genug um die Ohren und sollten sich nicht mit "C-Suitern" herumschlagen müssen, die davon überzeugt sind, sich - aus Gründen - nicht an Richtlinien halten zu müssen (oder sich erst gar nicht mit dem Thema befassen wollen) und so ein extrem schlechtes Vorbild in Sachen Cybersecurity abgeben. Zu diesem Thema habe ich mich mit einigen Sicherheitsentscheidern ausgetauscht.
Überzeugungsarbeit
Jon Taylor, Director of Security bei Versa Networks, hat zu solchen Vorgängen ebenfalls eine eindeutige Meinung: "Für Unternehmen, die von einem Vorstand geleitet werden, sollte es sich aufgrund von Compliance-Erfordernissen verbieten, in diesem Bereich Raum für Ausnahmen zu lassen. Es ist wichtig, C-Level-Führungskräften zu vermitteln, dass ihr Name und Gesicht das Unternehmen repräsentiert. Ein erfolgreicher Angriff, bei dem Führungskräfte kompromittiert werden, kann also nicht nur schwerwiegende Folgen für das Unternehmen, sondern auch für sie persönlich haben."
Corey Nachreiner, CSO bei Watchguard, sieht das ganz ähnlich und weist darauf hin, dass ein Cybersecurity-Programm nur dann zu einer soliden Sicherheitskultur führen kann, wenn es von der Führungsebene voll unterstützt wird. Er rät Security-Profis deshalb: "Nehmen Sie eine Position als CSO oder CISO nur dann an, wenn Sie sich sicher sind, sich auf den Support von Vorstand und Management-Kollegen verlassen zu können. Führungskräfte sollten offen gesagt nicht nur mit gutem Vorbild vorangehen, wenn es um Policies geht, sondern müssen meiner Meinung nach wachsamer sein als der durchschnittliche Mitarbeiter. Schließlich sind sie eine besonders beliebte Zielgruppe beispielsweise für Spear Phishing."
Das bedeute jedoch auch nicht, Sicherheitsrichtlinien nicht mehr auf den Prüfstand zu stellen, wie der Watchguard-CSO unterstreicht: "Bei der Cybersicherheit geht es nicht um Perfektion, sondern darum, das Unternehmen zu befähigen, mit minimalem Risiko Geschäfte zu machen. Sollte sich herausstellen, dass eine Policy regelmäßig umgangen wird, weil sie tatsächlich für die Geschäftsabläufe hinderlich ist, sind Nutzwert und Risiko weiterhin abzuwägen."
Personalisierungsbedarf
Dass Vorstände und C-Level-Entscheider ihren Security-Pflichten insbesondere mit Blick auf ihre Vorbildfunktion für die Mitarbeiter nachkommen sollten, darin sind sich alle Experte einig. Geht es um die Frage, ob Führungskräften eine VIP-Behandlung in Sachen Cybersicherheit zukommen sollte, sieht die Sache anders aus. Meiner Meinung nach kann es sinnvoll sein, der C-Suite ein spezielles Maß an Security-Support zukommen zu lassen. Das ist zwar nicht immer der Fall, es gibt jedoch auch gute Argumente dafür, zu diesem Zweck ein dediziertes Team einzusetzen.
Taylor befürwortet, das C-Level zumindest gründlicher zu überwachen: "So lassen sich Kompromittierungsindikatoren frühzeitig identifizieren, die speziell auf die Führungskräfte und auch ihre Familienangehörigen abzielen." Darüber hinaus plädiert der Sicherheitschef auch dafür, strengere Kontrollmaßnahmen und Zugriffsbeschränkungen für C-Level-Führungskräfte einzuziehen: "Der CFO kann auf alle Finanzdaten des Unternehmens zugreifen, hat aber keinen Zugriff auf alle personalbezogenen Daten. Die stehen nur dem CPO zur Verfügung. Der CIO hat zwar Zugriff auf Reportings, die über Tools erstellt werden, aber keinen Lese- oder Schreibzugriff auf einzelne Systeme. So lässt sich eine Pufferzone schaffen, die im Falle eines Angriffs auf einen Mitarbeiter der C-Suite den Schadensradius minimieren kann."
Auch Watchguard-CSO Nachreiner positioniert sich bezüglich der Eingangsfrage klar: "Für leitende Angestellte sollten dieselben Sicherheitskontrollen, Richtlinien und Acceptable-Use-Guidelines gelten wie für alle anderen Mitarbeiter - mit dem einzigen Unterschied, dass sie als privilegierte Benutzer beziehungsweise High-Level-Ziele behandelt werden."
Risikominimierung First!
Fakt ist: Security-Teams können und dürfen sich nicht zurücklehnen und wissentlich ins Desaster steuern, nur weil die Führungsriege im Unternehmen keine Lust auf Regeln hat. Gerade wenn Vorstände und Top-Führungskräfte regelmäßig durch schlechte (Sicherheits-)Entscheidungen auffallen, muss die Sicherheitsabteilung alles tun, um das Risiko für das Unternehmen zu minimieren.
Unternehmensentscheider, die angesichts der hinlänglich bekannten Bedrohungen immer noch davon überzeugt sind, dass ihre Stellung sie davon befreit, Sicherheitsrichtlinien zu befolgen, stellen ein enormes Risiko dar - für das im Zweifel der CISO und sein Team geradestehen müssen. Nachreiner konstatiert: "Wenn Sie feststellen, dass C-Level-Führungskräfte Richtlinien ignorieren, ist das ein klares Zeichen dafür, dass Sie in Sachen Cybersicherheit nicht auf den vollen Support der Führungsebene zählen können."
Ist das der Fall, wissen CISOs im Regelfall ohnehin, was zu tun ist. (fm)
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.