Was CISOs dringend ändern sollten

Im Rahmen meiner Tätigkeit als Branchenanalyst führe ich viele quantitative Untersuchungen mit Sicherheitsexperten durch. Eine Frage, die wir den Professionals dabei fast immer stellen, betrifft ihre größten Herausforderungen. Zu den Antworten gehören häufig:

• die große Menge von Alarmmeldungen zu bewältigen,

• die allgemeine Bedrohungslandschaft zu verstehen,

• eine Vielzahl von Tools zu managen,

• manuelle Prozesse zu skalieren und

• der Fachkräfte- beziehungsweise Personalmangel.

Am häufigsten genannt wird aber das Problem, dass akute Probleme mit hoher Priorität und auch Notfälle das Gros der Arbeitszeit fressen. Strategische Themen und Prozessoptimierung stehen hinten an.

Mit einem Messer ins Feuergefecht

Diese Antwort habe ich so oft gehört, dass ich mich fast daran gewöhnt habe. Denkt man aber über die Konsequenzen dieses Umstands nach, tun sich Gräben auf. Wenn die Security-Teams übermäßig viel Zeit mit "Brandschutzübungen" verbringen, impliziert das für mich:

• Ähnlich wie Elliot Alderson, der Protagonist in der Serie "Mr. Robot", wollen Sicherheitsexperten die Welt vor Cyberangriffen und den Verwüstungen, die sie anrichten, bewahren. Dabei sind die Tage der Professionals oft gefüllt mit Notfalleinsätzen und Chaosbewältigung. Keine Frage, dafür verdienen Sicherheitsexperten unsere Dankbarkeit und unseren Respekt.

• Das beständige Löschen von Bränden bringt aber einen entscheidenden Nachteil mit sich: Die Profis arbeiten reaktiv und ziehen von Brandherd zu Brandherd - oft ohne die Dinge grundsätzlich zu durchdenken. Angesichts der ständigen Notfälle machen diese Sicherheitsteams viele Kompromisse. Sie verlassen sich auf ihre Intuition und ihr individuelles Know-how, aber zu wenig auf bewährte Prozesse. Ironischerweise kann das zu mehr Komplexität, Unsicherheiten und Zeitaufwand in Notfallsituationen führen.

• Security-Teams haben unser Verständnis verdient. Sie sind in der Regel unterbesetzt, überlastet und mit einem unablässigen Strom von Alarmmeldungen mit hoher Priorität konfrontiert. Solche Arbeitsumgebungen sind ungesund und setzen auch stoische Sicherheitsprofis unter Stress. Kein Wunder also, dass Untersuchungen von ESG und der Information Systems Security Association (ISSA) zum Ergebnis kommen, dass 71 Prozent der Sicherheitsexperten sagen, ihre Arbeit sei mit einem ungesunden Maß an Stress verbunden. Das führt dann oft zu psychischen Problemen, einer toxischen Arbeitsatmosphäre und einer hohen Personalfluktuation. Damit werden Cybersicherheitsinitiativen ineffektiv und ineffizient.

• Die Vorbereitung auf künftige Angriffe beginnt zu leiden. Die ständige Reaktion auf Notfälle raubt Zeit, die für Schulungen, Testing und Prozessoptimierungen nötig wäre. Das zwingt viele Teams dazu, sich auf das Wissen zu verlassen, das sie haben. Da sich Cyberangriffe jedoch ständig weiterentwickeln, werden auch die besten Qualifikationen mit der Zeit verblassen. Irgendwann wird das Sicherheitsteam agieren, als käme es mit einem Messer zu einer Schießerei.

5 Tipps für bessere Security-Arbeit

Sicherheitsentscheider und CISOs sind gut beraten zu prüfen, ob ihre Teams durch einen kontinuierlichen Zustand der Alarmbereitschaft gelähmt werden. Ist das der Fall, sollten Sie diese Situation dringend ändern. Diese fünf Tipps helfen dabei:

1. Verbessern Sie die Sicherheitshygiene und das Posture Management.

2. Segmentieren Sie die Netzwerke, um die Angriffsfläche zu verringern.

3. Erfassen Sie umgesetzte Maßnahmen und wandeln sie diese in formale, automatisierte Security-Prozesse um.

4. Operationalisieren Sie das MITRE-ATT&CK-Framework, um Aktivitäten wie Security Engineering, Testing und Alarmpriorisierung zu steuern.

5. Stocken Sie überlastete Teams mit Hilfe von Security-Service-Providern auf.

Zugegeben, das sind wenig originelle Tipps. Allerdings zeigen die Aussagen von Sicherheitsexperten, dass viele Unternehmen in Sachen IT-Security nicht die richtigen Entscheidungen treffen - oder es gar nicht erst versuchen. Wie Albert Einstein einmal sagte: "Die Definition von Wahnsinn ist, immer wieder das Gleiche zu tun und andere Ergebnisse zu erwarten."

Wenn Sie Ihre Sicherheitsteams einer nicht enden wollenden Flut von Alarmmeldungen und Notfällen aussetzen obwohl das auch anders beziehungsweise besser ginge, verdienen Sie es, gehackt zu werden. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.