Foto: Morgan Stanley
Mehrere Führungspositionen bei der National Security Agency, die erste Head of Cybersecurity bei Morgan Stanley Wealth Management and Investment Technology - Rachel Wilson hat eine steile Security-Karriere hinter sich. In ihrer aktuellen Position ist sie für den Schutz der Systeme und Daten von Morgan Stanley zuständig und berät die Unternehmensleitung in wichtigen Cybersicherheitsfragen.
Auf dem jüngsten CSO UK Security Summit hielt die Managerin die Eröffnungs-Keynote und sprach in diesem Rahmen über die größten Veränderungen in Sachen Risiko und Security. Wir haben die Highlights für Sie festgehalten.
"Taktiken, die jeder über YouTube lernen kann"
In den letzten zwei Jahren habe sich die Risiko- und Sicherheitslandschaft erheblich verändert, was sich auf verschiedenen Ebenen auf die Unternehmen auswirke, so Wilson: "Die wichtigste Veränderung der letzten beiden Jahre ist die Demokratisierung fortschrittlicher Cyberfähigkeiten. Früher ging das Gros der maliziösen Aktivitäten von Nationalstaaten aus - Regierungen, die Regierungen hacken. Das hat sich verändert - wir wissen, dass inzwischen rund 70 Prozent der bösartigen Cyberaktivitäten im Internet finanziell motiviert sind."
Cyberkriminalität werde zunehmend opportunistischer, wobei die Verluste durch Datendiebstahl und Cyberbetrug in den letzten 24 Monaten sprunghaft angestiegen seien, so die Sicherheitsentscheiderin. "Wir konnten auch beobachten, dass Banden aus der traditionellen, organisierten Kriminalität auf den Cyberbereich umsatteln - in verblüffendem Umfang, Ausmaß und mit atemberaubender Geschwindigkeit. Dabei werden sehr fortschrittliche Cyber-Tools, -Techniken und -Taktiken eingesetzt, die inzwischen jeder über YouTube lernen kann. Das hat den CISO-Job dramatisch verändert."
Die Natur der Cybersicherheit habe sich jedoch auch durch die Pandemie und die hierdurch bedingte Verlagerung auf Remote- und Hybrid-Arbeitsplätze, erheblich verändert: "Viele CISOs wollten schon lange als Business-Enabler wahrgenommen werden. Mitte März 2020 mussten dann ganze Belegschaften ins Home-Office geschickt werden - und viele CISOs mussten ihrem Vorstand erklären, wie sie das effektiv und sicher bewerkstelligen."
Das habe nach Wilsons Einschätzung auch dazu geführt, dass viele Sicherheitsverantwortliche inzwischen deutlich vertrauter im Umgang mit Sicherheitskonzepten wie Multi-Faktor-Authentifizierung und Zero Trust sind, die sehr schnell umgesetzt werden mussten: "So anstrengend das auch war - es war fantastisch. Hybride Umgebungen sind für viele CISOs ein echter Segen, weil sie nun endlich eine Agenda vorantreiben können, die nicht mehr nur erstrebenswert, sondern existenziell ist."
"CISOs müssen viel mehr reden"
"CISOs und Unternehmen sollten jetzt vollständig in einen Cloud-First-Ansatz investieren", empfiehlt Wilson."Wenn wir über die End-to-End-Resilienz unserer Plattformen nachdenken, warum sollten wir uns dann von der Kapazität von Rechenzentren und den Mitarbeitern einschränken lassen? Die Cloud-First-Agenda wird durch die Pandemie und den Remote-Work-Trend getrieben."
Patch Management sei laut Wilson ein weiterer Bereich, in dem Unternehmen ihre Einstellung ändern müssten: "Im Lebens eines CISOs kommt es einem Fluch gleich, der Geschäftsleitung immer wieder erklären zu müssen, wie wichtig es ist, die neueste Schwachstelle zu patchen. Ich habe mich in den letzten Jahren oft wie eine Panikmacherin gefühlt, aber ich glaube, es wird inzwischen verstanden, dass ein Neustart zur Mittagszeit zwar Geld kostet, aber weit weniger als ein Ransomware-Angriff. Dinge, die vor zwei Jahren noch als sehr gute Cybersicherheitshygiene gegolten hätten, sind heute Standard."
Der CISO werde so immer mehr zum Business Enabler und könne die Verschmelzung von Security und Business mit Kommunikation vorantreiben: "Wir bekommen endlich früh und oft einen Platz am Tisch und sprechen darüber, wie man Sicherheit integriert und gleichzeitig gute Geschäftsfunktionen ermöglichen kann." Dabei spiele laut Wilson die Verankerung einer Security-Kultur eine wesentliche Rolle - und die Fähigkeit eines modernen CISOs, Cybersicherheit effektiv zu kommunizieren: "CISOs müssen viel mehr reden. Das liegt nicht in Jedermanns Natur, ist jetzt aber der Schlüssel zu allem." (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.