Chief Intrusion Scapegoat Officer?: 11 Wege aus der Sündenbock-Falle

Foto: koliw – shutterstock.com

Kryptografie-Spezialist Jon Callas witzelt gerne, dass CISO auch für Chief Intrusion Scapegoat Officer stehen könnte. Denn Sicherheitsentscheider würden oft in eine Position gedrängt, in der sie nur verlieren könnten, teilt er auf Twitter mit:

Laut Callas, bei der Electronic Frontier Foundation für den Bereich Public Interest Tech zuständig, seien CISOs oft verantwortlich und machtlos zugleich: Sie wüssten, was zu tun ist, um Risiken zu mindern, bekämen dafür aber nicht genug Unterstützung.

Dieses Dilemma droht viele Sicherheitsentscheider zu überfordern. Fast 90 Prozent der CISOs outen sich im Rahmen einer aktuellen Studie (PDF) als mäßig oder stark gestresst. Eine weltweite Umfrage des Beratungsunternehmens Heidrick & Struggles zeigt auf, dass viele CISO-Karrieren als Resultat von häufigen Wechseln geprägt sind: Fast ein Viertel der befragten Sicherheitsentscheider war weniger als zwei Jahre bei ihrem vorherigen Arbeitgeber im Amt – 62 Prozent sind seit weniger als einem Jahr in ihrer aktuellen Position.

Trotz der Milliardenbeträge, die jedes Jahr durch Cyberkriminalität verlorengehen: Viele Unternehmen sind offenbar noch immer der Überzeugung, einen CISO zu verpflichten, stelle nur einen weiteren Haken auf der To-Do-Liste dar. “Unternehmen müssen verstehen, dass es zu ihrem Vorteil ist, den CISO zu unterstützen”, unterstreicht Callas und fügt hinzu: “Und die CISOs müssen sich dieses Vertrauen auch verdienen.”

Die folgenden 11 Strategien können CISOs dabei unterstützen, ihre Erfolgschancen zu erhöhen und nicht als Sündenbock zu enden.

1. Rote Flaggen erkennen

Kandidaten für den Job des Chief Information Security Officer können schlechte Arbeitgeber manchmal schon während des Vorstellungsgesprächs erkennen. Versuchen Sie beispielsweise als erstes durch direkte Fragen herauszufinden, wie es um Sicherheitsniveau und -kultur des Unternehmens bestellt ist. An der Art und Weise, wie die Antwort formuliert wird, können Sie eventuell bereits ablesen, ob der potenzielle Arbeitgeber mit offenen Karten spielt. Vermittelt er nicht diesen Eindruck, kann das vielsagend sein.

Gleiches gilt für die Rolle der Person, die das Vorstellungsgespräch führt, merkt Eric Noonan, Gründer von CyberSheath und ehemaliger CISO von BAE Systems, an: “Wenn ich nur von Leuten aus der IT-Abteilung befragt werde und nicht von Führungskräften wie dem CFO, dem Chief People Officer oder dem Chief Revenue Officer, wäre das für mich ein deutliches Warnsignal, dass das kulturelle Engagement in Sachen Cybersecurity noch stark ausbaufähig ist.” In diesem Zusammenhang ist es nach Meinung von David Stapleton, CISO beim Risk-Management-Anbieter CyberGRX, ebenfalls ratsam, sich nach der Risikostruktur des Unternehmens zu erkundigen. Das könne dabei helfen, zu verstehen, ob das Management über Sicherheitsrisiken nachgedacht hat: “Wenn Sie diesen gewissen entrückten Blick wahrnehmen, wissen Sie Bescheid.”

Darüber hinaus sollten sich CISOs in spe unbedingt dafür interessieren, an wen sie in ihrer neuen Rolle berichten, meint Chip Gibbons, CISO beim Managed-Services-Anbieter Thrive. “Je nachdem, ob Sie dem CEO, CFO, CTO oder gar der Rechtsabteilung unterstellt sind, können Sie ablesen, was man von Ihnen erwartet.”

Weitere Fragen, die CISOs bei einem Bewerbungsgespräch stellen sollten, könnten sich etwa auf die Höhe des Budgets, die Größe des Teams und die Maßnahmen zur Mitarbeiterbindung beziehen.

2. Realistische KPIs aushandeln

“Eines der ersten Dinge, die CISOs tun sollten, nachdem sie einen Job bekommen haben: erreichbare Key Performance Indicators aushandeln”, meint Michael Hamilton, Mitbegründer und CISO des Sicherheitsanbieters Critical Insight. Im nächsten Schritt gelte es für CISOs, das tolerierbare Risikoniveau der Organisation zu verstehen, eine Risikobewertung durchzuführen und die zu lösenden Probleme in Zahlen zu gießen.

Die daraus folgenden Vorschläge zur Risikominderung sollten mit der Unternehmensvision im Einklang stehen und nach Prioritäten geordnet sein, wie Trevon Edgeworth, Red Team Practice Director beim Security-Anbieter Bishop Fox, empfiehlt: “Sie müssen Ihre Anfrage so formulieren, dass sie für den Adressaten von Nutzen ist.”

3. Compliance einbinden

Vorstandsmitglieder und leitende Angestellte davon zu überzeugen, mehr finanzielle Ressourcen für die Cybersicherheit bereitzustellen, kann für CISOs anstrengend werden. Dabei hilft es nicht, wenn Sie versuchen, die Herzen mit Monologen über die Multi-Faktor-Authentifizierung zum Schmelzen zu bringen.

Stattdessen könnte es Ihren Vorschlägen, beziehungsweise Forderungen deutlich mehr Gewicht verleihen, wenn Sie dabei die Compliance einbeziehen. Schließlich weiß von der Personalabteilung bis hin zur Technik jeder im Unternehmen um deren Bedeutung. “Ich ermutige CISOs immer dazu, ihre Geschichte durch die Brille der Compliance zu erzählen, weil die jeder versteht”, offenbart Noonan.

4. Unterstützer finden

In jedem Unternehmen gibt es Menschen, die den CISO unterstützen wollen. Diese gilt es laut Callas zu finden, einzubinden und ihnen zum Erfolg zu verhelfen. Auch die Einbindung von Mitarbeitern aus anderen Abteilungen sei eine Möglichkeit, das zu bewerkstelligen, meint der EFF-Mann und empfiehlt: “Finden Sie die Probleme, bei denen sich alle einig sind, dass sie gelöst werden sollten, es bisher aber niemand getan hat.” Jedes Projekt, bei dem ein CISO helfe, sollte dabei als Chance gesehen und gefeiert werden, meint Callas: “Finden Sie einen kleinen Erfolg und beginnen Sie, daraus Kapital zu schlagen.”

Diese Strategie deckt sich mit der von Tonia Dudley, die beim Sicherheitsanbieter Cofense intern zur CISO aufgestiegen ist: “Als ich diese Aufgabe übernommen habe, meldeten sich sofort ein paar Leute und wollten mit mir in Kontakt treten. An dieser Stelle habe ich gleich klargemacht, dass es mir um Zusammenarbeit, Partnerschaft und gemeinsamen Erfolg geht.”

Als CISO zu arbeiten bedeute jedoch von Zeit zu Zeit auch, als “Therapeut” aufzutreten, meint Callas: “Die Leute kommen mit ihren Horrorgeschichten zu Ihnen und wissen nicht, was los ist, und Sie müssen sie von ihren Problemen befreien. Sie sollten dann die Botschaft vermitteln, dass Fehler menschlich sind und man gemeinsam daran arbeiten sollte, die Dinge besser zu machen.”

5. Schwierige Gespräche führen

Niemand widerspricht gerne einer einflussreichen Person innerhalb des Unternehmens. Das ist aber manchmal notwendig, wie auch Renee Guttmann, ehemalige CISO von Coca-Cola, Time Warner und Campbell Soup, weiß. Sie schlägt für solche Gespräche folgende Satzstrukturen vor:

• “Ich verstehe Ihren Standpunkt. Ich denke, wir sind uns bezüglich X einig. Was Y angeht, aber unter Umständen nicht.”

• “Ich kann Ihren Standpunkt verstehen, aber ich sehe das Ganze aus einer anderen Perspektive.”

Die Managerin hat sich auch eine Strategie für Situationen zugelegt, in denen sie mit der Entscheidung der Person, der sie unterstellt ist, nicht einverstanden ist: “In solchen Fällen wird ein Treffen mit dem CFO und dem Leiter der Rechtsabteilung anberaumt, um das Patt aufzuheben. Manchmal kann schon der Gedanke, ein solches Treffen zu absolvieren, abschreckend wirken.”

6. Externen Support suchen

Selbst CISOs mit den besten Absichten können sich manchmal kein Gehör verschaffen. “Manchmal muss man sich Expertise von außen holen, um sich Gehör zu verschaffen”, empfiehlt Guttmann für diesen Fall. Gibbons stimmt zu und ergänzt: “Externe Berater hinzuzuziehen ist ein guter Weg, um andere Meinungen einzuholen und den Vorstand oder die Geschäftsleitung davon zu überzeugen, das zu tun, was getan werden muss.”

Auch ein gutes Standing des CISOs selbst innerhalb der Cybersecurity-Community ist hilfreich, um besser wahrgenommen zu werden. Hamilton hat einige Tipps für Sicherheitsentscheider auf Lager, um sich selbst besser zu positionieren: “Agieren Sie extrovertiert und nutzen Sie Gelegenheiten, sich in den Medien und auf Events als Experte beziehungsweise Speaker einen Namen zu machen. Je besser Sie in die Community integriert sind, desto wertvoller werden Sie für Ihr Unternehmen.”

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

7. People Skills trainieren

Weil einige CISOs einen sehr technischen Hintergrund mitbringen und oft nicht viel Wert auf Soft Skills gelegt haben, kann der Versuch Kontakte zu knüpfen, entmutigend enden. Allerdings lösen effektive CISOs nicht nur technische Probleme, sondern auch geschäftliche und menschliche.

“CISOs müssen sich wahrscheinlich am meisten auf ihre People Skills konzentrieren”, unterstreicht Ken Deitz, CISO beim Sicherheitsanbieter SecureWorks. “Das kann für Menschen, die zur Introvertiertheit neigen, schwierig sein. Dann hilft nur, zu üben: Fangen Sie an, sich vorzustellen und versuchen Sie, eine Agenda für den Aufbau von Beziehungen zu entwickeln. Wenn Sie zu einer Besprechung kommen, sollten Sie darauf achten, mit der Einstellung an die Sache heranzugehen, dass Ihre Aufgabe darin besteht, den anderen die Arbeit zu erleichtern. Sie werden feststellen, dass das ziemlich schnell ein positives Echo hervorruft.”

Der vielleicht einfachste Weg, eine Verbindung zu Menschen herzustellen, ist es, Wertschätzung für ihre Arbeit zu vermitteln. Deswegen hat es sich beispielsweise Guttmann zur Gewohnheit gemacht, jeden Freitag drei Dankes-Mails an ausgewählte Teammitglieder, Kollegen oder Kunden zu verschicken. Ein weiterer Tipp der Managerin: “Bei jeder Präsentation brauchen Sie Folien, in denen die anderen Teams gewürdigt werden.”

8. Mentoring anstreben

Mentoren können CISOs nicht nur das Gefühl vermitteln, unterstützt zu werden. Sie können unter Umständen auch neue Perspektiven und Standpunkte einbringen.

Cyber GRX-CISO Stapleton etwa sieht sich bei Antritt einer neuen Stelle als Erstes nach potenziellen Mentoren um. Dabei interessiert er sich besonders für Menschen mit beeindruckenden Karrieren, da diese dafür bekannt sind, mit Stress umgehen zu können. “Ich bin noch nie abgewiesen worden, wenn ich jemanden diesbezüglich angesprochen habe. Ich glaube, das liegt zum Teil daran, dass das auch eine ziemlich schmeichelhafte Sache für den Angesprochenen ist.”

9. Sicherheit “gamifizieren”

Spielen hilft manchmal – auch wenn es um die Sicherheit geht. So empfiehlt Edgeworth beispielsweise, relevante Metriken zu identifizieren, um die internen Teams um T-Shirts, Medaillen oder Pokale wetteifern zu lassen: “Das Team, das die meisten Phishing-Versuche meldet, gewinnt einen Preis. Sie können auch dazu übergehen, jeden Monat einen Preis zu verleihen.”

10. Hochstapler-Syndrom bekämpfen

Die Komplexität des CISO-Jobs macht anfällig für das Hochstaplersyndrom. Stapleton erklärt: “Security ist ein so weites Feld und es gibt so viele verschiedene Dinge, mit denen man sich beschäftigen muss – man kann Experte in Tausenden von Nischenbereichen der Cybersicherheit sein und wird dennoch ständig mit Kollegen konfrontiert, die neues Wissen einbringen.”

Auf CISO-Einsteiger könne das einschüchternd wirken, meint der Sicherheitsentscheider und fügt hinzu: “Man muss einen Weg finden, diese negative, zweifelnde, innere Stimme zu dämpfen.”

11. Wissen, wann es reicht

Schließlich gibt es auch Situationen, in denen CISOs den Ball nicht mehr vorwärts bewegen können. “Wenn Sie ständig versuchen, sich für die Interessen des Unternehmens einzusetzen und nicht gehört werden oder feststellen, dass Sie von anderen Führungskräften sabotiert werden, sind das Anzeichen für eine schlechte Sicherheitskultur. Spielen sich solche Vorgänge auf Führungsebene ab, dürfte es äußerst schwierig sein, das zu verändern”, konstatiert Stapleton.

Dem kann Callas nur zustimmen: “Wenn man einfach nur Sisyphos-Arbeit verrichtet, tritt man auf der Stelle und sollte der Realität ins Auge sehen: Dann ist es Zeit, sich einen anderen Job zu suchen.”

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.