Zeit, Ihre Security-Abteilung neu aufzustellen?

Mit mehr als zwei Jahrzehnten Erfahrung im Bereich der Unternehmenssicherheit hat Daniel Schwalbe erlebt, wie sich sowohl die Rolle der Security als auch die Struktur der Teams in diesem Bereich verändert haben. Als er Ende der 1990er Jahre seine Karriere begann, sei seine Security-Abteilung dem Bereich Network Operations unterstellt gewesen. "Tief in der IT vergraben hatte ich das Gefühl, dass niemand mit uns reden wollte", erzählt der Sicherheitsexperte.

Im Laufe der Jahre wurde die Security aus dem Netzwerk-Bereich ausgegliedert und ein dediziertes CISO Office aufgebaut. Das schuf die Grundlage für die Sicherheitsabteilung, sich zu verzweigen: "Es gab ein zentrales Sicherheitsteam, aber wir haben dann damit begonnen, Mitarbeiter in anderen Geschäftsbereichen zu identifizieren, die eine Sicherheitsfunktion übernehmen können. Sie waren zwar nicht direkt Teil unseres Teams, hatten aber Erfahrung in Sachen IT-Sicherheit vorzuweisen. Der Wert dieser Partner außerhalb der Security war immens und hat unsere Effektivität wesentlich gesteigert", so Schwalbe, der zu diesem Zeitpunkt die Rolle eines Directors und stellvertretenden CISOs innehatte.

Die Learnings beeinflussen auch heute noch seine Entscheidungen als CISO des Sicherheitsanbieters Domain Tools. Nach einer Fusion im Jahr 2021 überlegt Schwalbe derzeit, wie er sein wachsendes Sicherheitsteam am besten organisieren kann. Dabei tendiert er zu einer zentralisierten Sicherheitsabteilung mit "Verbindungsleuten" in diversen Fachabteilungen, die sich über die Arbeit der einzelnen Teams informieren, Sicherheitsrisiken schneller erkennen und als vertrauenswürdige Berater fungieren.

"Ein Sicherheitsteam arbeitet am besten, wenn es das Vertrauen und den Respekt der übrigen Abteilungen im Unternehmen genießt", ist Schwalbe überzeugt und verweist zum Beleg auf einen Mitarbeiter, der immer wieder um Hilfe bitten musste, um Zugriff auf ein besonders abgesichertes System zu erhalten. Der zuständige "Verbindungsmann" erkannte das Problem und passte in Kooperation mit der Security-Abteilung die Berechtigungsstufen entsprechend an - ohne dabei das Least-Privilege-Prinzip auszuhebeln.

Schwalbe ist seit Januar 2022 CISO bei DomainTools - nur logisch also, dass er sich als neuer Sicherheitsentscheider Gedanken darüber macht, wie er sein Team am besten organisieren kann. Allerdings sollte das nicht nur der Fall sein, wenn eine Stelle neu angetreten wird: Erfahrene Sicherheitsentscheider und Managementberater sind der Überzeugung, dass CISOs die Organisationsstruktur als Teil ihrer strategischen Gesamtpläne - ebenso wie nach größeren Umwälzungen bei den Business-Anforderungen - überdenken sollten. Schließlich ist das durch Pandemie, Remote Work, Cloud und Digitalisierung in so gut wie jedem Unternehmen der Fall.

Richtiges Modell, richtiger Zeitpunkt

CISOs haben die Wahl zwischen verschiedenen Organisationsmodellen - von stark zentralisiert bis hin zu föderiert und verschiedenen Abstufungen, die dazwischen liegen. Um herauszufinden, welches Modell am besten funktioniert und wie es am besten implementiert werden kann, sollten CISOs die nötige Zeit investieren - diese Bemühungen zahlen sich aus.

"Oft geht es beim Streben nach mehr Security-Effizienz nicht darum, neue Mitarbeiter einzustellen oder mehr Equipment anzuschaffen, sondern darum, wie die Organisation sicherer arbeiten kann", meint Adam Goldstein, Assistenzprofessor für Cybersicherheit am Champlain College in den USA.

Insbesondere nach Sicherheitsvorfällen nähmen Führungskräfte oft eine Umstrukturierung der Sicherheitsabteilung vor, weiß Jack O'Meara, Leiter des Bereichs Cybersicherheit bei Guidehouse, rät jedoch: "Ich denke, es wäre aufgrund der sich ständig weiterentwickelnden Bedrohungen und der Dynamik des Geschehens sinnvoller, häufiger eine Neubewertung vorzunehmen."

Egal für welche Organisationsstruktur sich CISOs entscheiden - sie alle weisen spezifische Vor- und Nachteile auf und bringen Herausforderungen in Sachen Implementierung mit sich. Laut O'Meara sei es in einem zentralisierten Modell zwar einfacher, Kontrolle auszuüben - dafür verliere man möglicherweise den umfassenden Überblick über alle Technologien, die innerhalb des Unternehmens zum Einsatz kommen, insbesondere, wenn Schatten-IT in den Fachbereichen stark vertreten ist.

"Andererseits können CISOs in einem föderierten Modell leichter mit den Geschäftseinheiten zusammenarbeiten, müssen aber mehr Sorgfalt darauf verwenden, eine starke Governance festzulegen und aufrechtzuerhalten. Nur so lässt sich sicherstellen, dass die Sicherheitsstandards in allen Bereichen des Unternehmens konsequent eingehalten werden", fügt O'Meara hinzu.

In Anbetracht dieser Überlegungen entschieden sich viele CISOs für ein hybrides Modell, bei dem einige Sicherheitsfunktionen zentralisiert und die Sicherheit in die verschiedenen Geschäftsbereiche eingebettet oder mit ihnen verbunden wird. Das sieht auch Schwalbe so und erklärt: "Ich balanciere die Elemente der Modelle zum Teil dadurch aus, dass die Sicherheitsspezialisten zwar an mich berichten - ich sie aber dazu ermutige, regelmäßig in den Fachbereichen, die sie unterstützen, präsent zu sein, beispielsweise indem sie an regelmäßigen Meetings teilnehmen."

Zeit für eine Evaluierung

Es sollte nicht überraschen, dass es auch an dieser Stelle kein One-Size-Fits-All-Modell gibt. Dennoch sollten CISOs bewusste Entscheidungen darüber treffen, wie sie sich und ihre Abteilung organisieren und gegebenenfalls umstrukturieren, statt einfach das zu übernehmen, was sie bekommen oder so zu agieren, wie sie es immer getan haben.

Joe Nocera, Leiter des Cyber & Privacy Innovation Institute bei PwC, rät CISOs, mehrere Faktoren zu berücksichtigen, wenn sie über dieses Thema nachdenken. "Sie sollten sich überlegen, welche unternehmensweiten Dienste Kerndienste sind, die in großem Umfang bereitgestellt werden müssen, etwa ein Security Operations Center, Identity- und Access Management oder Richtlinienkontrollen."

Dabei sollten CISOs auch bewerten, wie und wie gut die Sicherheit mit den Geschäftsbereichen abgestimmt ist: "Wenn die Security die Fachbereiche versteht und dabei helfen kann, die Sicherheit anzupassen, dann können Sie Ressourcen in das Unternehmen einbetten. Diese eingebetteten Ressourcen können entweder eine feste oder eine punktierte Berichtslinie zurück zum CISO haben", so Nocera.

Mit der zunehmenden Adoption von Cloud und DevOps müssten CISOs nach Meinung des PwC-Experten auch darüber nachdenken, wie sie Anwendungsentwicklungsteams und agile Softwareentwicklung bestmöglich unterstützen kann: "Bei solchen Fragen geht es weniger um die Größe des Sicherheitsteams als vielmehr darum, wie ausgereift das Unternehmen insgesamt in Sachen Cybersicherheit ist. Wenn der Sicherheit keine Priorität eingeräumt wurde, bevorzuge ich ein zentralisiertes Modell, bei dem man die Dinge zentral vorantreiben und sicherstellen muss, dass auch wirklich etwas passiert. Wenn Sie über Prozesse, Muskelgedächtnis und Governance verfügen, können Sie damit beginnen zu föderieren und einige dieser Dinge auszulagern."

Bewusstes Vorgehen lohnt sich

Wie andere Experten sieht auch Nocera sowohl in zentralisierten als auch in dezentralisierten Modellen Vorteile: "Bei zentralisierten Modellen kann der CISO mehr Einfluss geltend machen. Und es gibt ein höheres Maß an Sicherheit, dass die Ressourcen innerhalb der Richtlinien arbeiten, die der CISO erwartet. Das ermöglicht eine etwas einheitlichere Definition von Rollen, Verantwortlichkeiten und Arbeitsabläufen. Außerdem erhält man mehr Echtzeit-Feedback und Kurskorrekturen. Da die Security nahe am Business oder dem Entwicklungsprozess liegt, ist es auch leichter, sie zu einem integralen Bestandteil zu machen, der möglichst frühzeitig integriert wird. Wenn die Fachbereiche - beziehungsweise Entwickler - den Sicherheitsbeauftragten als Teil ihres Teams wahrnehmen, sorgt das außerdem für mehr Eigenverantwortung."

Allerdings geht es bei der Organisationsstruktur nicht nur darum, die Vor- und Nachteile der jeweiligen Modelle zu verstehen. Vielmehr müssen CISOs zielgerichtet entscheiden, welches Modell zum Einsatz kommt und warum. "Wenn man das tut, kann man meiner Meinung nach mit beiden Modellen das optimale Sicherheitsniveau erreichen", meint Nocera.

Steven Sim, globaler CISO eines großen internationalen Unternehmens und Mitglied der ISACA Emerging Trends Working Group, sieht das ähnlich: "Mein Sicherheitsteam hat eine dreistufige, hierarchische Struktur. Die oberste Ebene umfasst Governance, Incident Management und ein Projektmanagementbüro, das auf globaler Ebene arbeitet. Zudem gibt es regionale Büros und darunter verschiedene Geschäftseinheiten mit eigenen IT- und Sicherheitsteams."

Laut Sim bietet seine Security-Abteilung gemeinsame, zentralisierte Dienste an, ist dabei jedoch so strukturiert, dass einige Aufgaben - wie etwa die Einhaltung lokaler Datenschutzgesetze - dezentral beziehungsweise regional erledigt werden. "Sicherheit liegt zunehmend in der Verantwortung aller und jeder hat eine Rolle zu übernehmen."

Gartner-Direktor Sam Olyaei, Spezialist für Risiko- und Sicherheitsmanagement, schließt sich diesem Standpunkt an: "Die Struktur des Sicherheitsteams beeinflusst den Erfolg, aber das Kernproblem bleibt immer die Governance. CISOs sollten sich zunächst nicht auf ihre Organigramme konzentrieren, sondern darauf, wie ihre Sicherheitsabteilungen in das Unternehmen passen, wie gut die Organisation als Ganzes mit Risiken umgeht, wie ausgereift ihre Prozesse und Richtlinien sind, ob das Unternehmen eher autokratisch oder demokratisch ist. Dann lässt sich ermitteln, wie die Security am besten die Standards in dieser Umgebung vorantreiben kann."

Man könne ein Unternehmen auf tausend verschiedene Arten umstrukturieren - mit unterschiedlichen Berichtslinien, neu organisierten Teams, einem föderierten oder nicht föderierten Modell - "Aber das löst keine Kernprobleme", so Olyaei. "Die Lösung der zugrundeliegenden Governance-Probleme ist wichtiger als der Versuch, ein Problem durch Umstrukturierung zu umgehen." (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.