CISOs sollten Vertrauen ganz generell zugunsten von Verifizierung über Bord werfen. Kontrolle ist bekanntlich besser als Vertrauen. Foto: Juice Flair – shutterstock.comVertrauen ist keine Einbahnstraße – und wird mithilfe von Verifizierung erworben und erhalten. Ganz wie das alte Sprichwort “Vertrauen ist gut, Kontrolle besser” nahelegt.Jedes Unternehmen, unabhängig von seiner Branche, hat Verpflichtungen, die auf Vertrauen basieren – sei es mit Kollegen, Mitarbeitern, Lieferanten oder Anbietern. Das wissen CISOs meist besser als alle anderen. Denn sie arbeiten besonders oft mit Tools, die Ressourcen schützen sollen – und müssen darauf vertrauen können, dass die Software wie angekündigt funktioniert. Diverse Fälle von Vaporware machen an dieser Stelle klar: Trust kann niemals absolut sein.Verifizieren Sie, was Sie könnenSnehal Antani, CEO beim IT-Sicherheitsanbieter Horizon3, hält grundsätzlich nichts von Vertrauen: “Als Branche haben wir ein Problem mit der Effektivität von Security-Maßnahmen, da die vielen Tools und Prozesse der Anbieter innerhalb des SOC unter erheblichem Aufwand konfiguriert und abgestimmt werden müssen. Das wissen auch die Angreifer und konzentrieren sich auf die Nahtstellen zwischen den Tools. Unternehmen, die Millionen in neue IT-Sicherheitslösungen wie SIEM, UBA oder EDR investieren, sollten also nicht einfach davon ausgehen, dass Angriffe erfolgreich abgewehrt werden – sondern die Wirksamkeit ihrer Tools frühzeitig und kontinuierlich überprüfen.” Viele Cybersecurity-Entscheider neigen dazu, ihre Verifizierungsbemühungen nur auf den Tech-Stack zu konzentrieren. Das greift laut James Hadley, Gründer und CEO von Immersive Labs, entschieden zu kurz: “Ihre Mitarbeiter sind das eigentliche Unterscheidungsmerkmal. Ganz gleich, wie sicher sich Ihr Team in Bezug auf seine eigenen Fähigkeiten fühlt – wie können Sie ohne Messwerte wirklich wissen, dass es auf den nächsten Angriff vorbereitet ist? Solange dafür keine Beweise vorliegen, ist Vertrauen bedeutungslos.”Hadley empfiehlt CISOs deshalb, alte Denkweisen und unregelmäßige Check-the-Box-Ansätze bei Cybersecurity-Schulungen aufzugeben: “Überprüfen Sie stattdessen lieber Ihre Teams regelmäßig auf Herz und Nieren. Verlangen Sie dabei konkrete Nachweise dafür, dass sie für aktuelle Bedrohungen gerüstet sind. Es ist naiv, darauf zu vertrauen, dass Mitarbeiter, die einen Universitätsabschluss in Informatik, eine Zertifizierung oder Berufserfahrung haben, auch wirklich cyberresilient sind.Laut dem Experten gebe es sehr wahrscheinlich immer Bereiche, die verbessert werden können. Diese müssten identifiziert und anschließend die entsprechenden Fähigkeiten bewertet, trainiert, erweitert und unter Beweis gestellt werden. “Von den Technikern bis zu den Führungskräften”, wie Hadley betont. “Cybersecurity-Führungskräfte werden mit einer Reihe von Empfehlungen und Richtlinien für den Aufbau eines Zero-Trust-Frameworks gefüttert”, meint Chaim Mazal, Chief Security Officer bei Gigamon. Er fügt hinzu: “Meine Empfehlung: Stellen Sie in der gesamten Hybrid-Cloud-Infrastruktur Ihres Unternehmens Observability sicher. Das wird die Sicherheitsanforderungen der Hybrid Cloud über Zero Trust hinaus erfüllen.” (fm)Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.Jetzt CSO-Newsletter sichern Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online. SUBSCRIBE TO OUR NEWSLETTER From our editors straight to your inbox Get started by entering your email address below. Bitte geben Sie eine gültige E-Mail-Adresse ein. Abonnieren