CIO und CISO müssen an einem Strang ziehen

Unternehmen, ob groß oder klein, werden zunehmend von Hackern ins Visier genommen. Wie sollen sie sich und ihre Daten schützen? Im Interview mit com! professional erklärt Pascal Kocher, Gründer, CEO und „Chief Hacking Officer“ des in Düdingen im Schweizer Kanton Fribourg beheimateten IT-Security-Audit-Spezialisten Auditron, worauf es beim Schutz der „Kronjuwelen“ einer Firma vor allem ankommt.

Weil Kocher bei Auditron auch in die Rolle des Chief Information Security Officers (CISO) schlüpft, erläutert er auch die Funktion des IT-Security-Chefs in Firmen sowie dessen Verhältnis zu CEO, CFO und CIO.

Pascal Kocher: Das glaube ich weniger. Trügerische Sicherheit gibt es in diesem Sinne nicht. Viele Unternehmen kennen noch nicht alle Angriffsformen, die es gibt. Das können sie auch nicht, denn die Szene wechselt sehr rasch. Ich muss nur eine Woche Urlaub machen und wenn ich zurückkomme, gibt es neue Attacken. Hier den Überblick zu behalten, ist schwierig. Firmen sollten eigentlich immer damit rechnen, dass sie gehackt und angegriffen werden.

Kocher: Beides kommt vor. Wir haben Kunden, die uns konsultieren, bevor etwas passiert ist. Das geschieht etwa dann, wenn sie eine neue Webapplikation implementieren und diese in Sachen IT-Security getestet werden soll.

Dann gibt es auch den anderen Fall: Wir werden angefordert, wenn ein Angriff stattgefunden hat. Das ist für uns oft stressiger und komplexer, gerade wenn jemand das erste Mal auf uns zukommt. Dann gilt es nämlich, sich einen Überblick über die IT-Infrastruktur zu verschaffen. Das ist nicht so einfach, wenn eine Attacke gerade läuft. Daher ist eine gute Vorsorge so wichtig.

com! professional: Wie können Sie denn Firmen im Vorfeld besser absichern?

Kocher: Generell analysieren wir, welche Assets besonders schützenswert sind. Diese Core Assets oder Kronjuwelen zu identifizieren, ist sehr wichtig. Dabei müssen wir den Informationsfluss in einem Unternehmen sehr gut kennenlernen, also über welche Schnittstellen und durch welche Programme die Daten laufen. Wir sind somit bestrebt, den sogenannten kritischen Pfad im Griff zu haben.

Natürlich werden wir daneben auch konsultiert, um einzelne Applikationen zu testen. Wenn es aber darum geht, den Sicherheits-Level in der Firma zu heben, müssen wir eine Gesamtanalyse über alle Assets vornehmen. Schließlich kann ich nur etwas schützen, wenn ich weiß, was es zu schützen gilt. Das zu erkennen, ist in der virtuellen Welt oft schwierig, weil die Einfallswege nicht gleich offenkundig werden. Bestes Beispiel sind WLAN-Installationen. Kein Unternehmen käme auf die Idee, seine LAN-Steckdosen an der Außenwand des Firmengebäudes anzubringen. Bei Wi-Fi ist das anders, dessen Signale sind auch draußen empfangbar.

Kocher: Hier kann ich sehr wohl eine Verbesserung feststellen. Als ich vor gut 20 Jahren erstmals in der IT-Security tätig war, musste man Unternehmen oftmals noch die Einrichtung einer Firewall aufschwatzen. Heute sind viele Schutzvorkehrungen wie Endpoint Protection der Standard und werden nicht mehr infrage gestellt. Allerdings reicht dieser Grundschutz oft nicht aus. Denn es findet ein wahres Wettrüsten zwischen Angreifern und Verteidigern statt. Daneben gibt es neue Einfalls­wege, die sich auftun, etwa über Smartphones. Hier besteht noch großer Aufholbedarf, was die Security anbelangt.

Es werden noch die gleichen Fehler gemacht, die bei PCs vor zehn Jahren gang und gäbe waren. Noch schlimmer: Wenn ich an das Internet of Things denke - ich spreche in diesem Zusammenhang lieber vom Internet of Threats -, sehe ich die IT-Security sogar um 20 Jahre zurückgeworfen. Hier stehen wir leider wieder ganz am Anfang.

Grundsätzlich kann ich aber konstatieren, dass Firmen die IT-Security verbessert haben und ernster nehmen. Allerdings ist auch die zu schützende Infrastruktur komplexer geworden. Wie erwähnt spielen dabei Smart­phones und IoT-Geräte eine Rolle, aber auch die zunehmende Nutzung der Cloud. Die größte Gefahr droht dabei in Bezug auf die Entstehung einer regelrechten Schatten-IT. Denn viele Anwender nutzen Cloud-Dienste unter Umgehung der IT-Abteilung, um den manchmal langwierigen Implementierungs- und Bewilligungsprozess in den Firmen zu vermeiden.

Kocher: Das ist definitiv so. Aus meiner Sicht gibt es zwei maßgeblich Security-Axiome, bei denen die größten Probleme entstehen. Das erste ist die Software als solche, die ja nicht so geschrieben werden kann, dass alle Codezeilen fehlerfrei sind. Deshalb wird auch die Software-Qualität nach Fehlern pro Anzahl Zeilen beurteilt.

Guter Quelltext weist beispielsweise einen Fehler auf 2.000 Zeilen auf. Nicht jeder Fehler kann dabei als Schwachstelle genutzt werden. Aber man kann davon ausgehen, dass große Programme wie ein Betriebssystem mit Millionen von Zeilen Code unweigerlich Verwundbarkeiten aufweisen. Ein Angriffsvektor ist damit die Software. Axiom zwei ist aber, wie Sie gesagt haben, der Mensch. Es gibt immer jemanden in einem Unternehmen, der beispielsweise beim Erhalt einer Phishing-E-Mail auf den Link klickt. Somit muss man an beidem arbeiten: updaten und sensibilisieren.

Kocher: Am besten wirken Videos und Computer-based Trainings, die sich die Mitarbeiter individuell und bei genügend Zeit anschauen oder durchführen können. Was nichts bringt, ist, wenn man die Mitarbeiter einmal im Jahr zusammentrommelt und in einem großen Saal einen Vortrag über die richtigen Verhaltensweisen hält. Sie können sicher sein, dass die meisten den Inhalt einer solchen Präsentation schon nicht mehr wissen, nachdem sie den Saal verlassen haben.

Kocher: Das kommt sehr stark darauf an, ob ein Unternehmen schon einmal einen Sicherheitsvorfall hatte. Ist dies der Fall, ist auch die Awareness durchaus vorhanden - zumindest mittelfristig (lacht). Denn das Sicherheitsbewusstsein nimmt mit der Zeit auch wieder ab. Ist dagegen noch nie etwas passiert, ist die Awareness gering ausgeprägt.

Kocher: Das Hauptproblem liegt darin, dass IT-Security zunächst nur etwas kostet, aber dem Unternehmen erst einmal keinen direkt erkennbaren Mehrwert bringt. Dies auch im Gegensatz zur IT, die anerkannterweise der Effizienz­steigerung dient, sich also auf den Umsatz auswirkt.

Security macht dagegen nicht mehr Umsatz, sondern weniger Verlust. Das ist schwieriger zu vermitteln, und zwar obwohl es mittlerweile genügend Beispiele dafür gibt, wie geschäftsschädigend ein Hacker­angriff sein kann. Hier lassen sich die Umsatzverluste relativ gut berechnen. Hinzu kommt der Imageschaden und der Reputationsverlust, der immens sein und ein Unternehmen sogar ruinieren kann.

Kocher: Die Diskussionsbasis dreht sich hier um ein klassisches Risk-Management. Die Frage, die ich mit dem CEO und CFO erörtern muss, lautet: Wie viel kann ich verlieren in Bezug auf den Umsatz, damit mein Unternehmen als Ganzes oder auf einzelne Abteilungen bezogen noch operabel bleibt und der Imageschaden sich in Grenzen hält?

Danach muss ich mit Szenarien operieren, da es sich bei der IT-Security um ein technisch sehr komplexes Thema handelt. Diese müssen zudem ganzheitlich sein. Denn es nützt nichts, wenn man Teile der Unternehmens-IT optimal absichert - beispielsweise, weil man sich ein neues IT-Security-Produkt zulegt -, dabei allerdings dann vergisst, die anderen Teile zu schützen.

Kocher: Auch wenn die CISOs schon ein „C“ in der Bezeichnung haben, sind sie vielerorts noch nicht auf der CxO-Ebene angesiedelt. Das müsste sich meiner Meinung nach ändern. Jemand, der sich grundsätzlich mit dem Risk-Management auseinandersetzt, das kann auch ein CSO oder CRO sein, sollte deshalb in der Geschäftsleitung einen Sitz haben. Denn die weiteren Mitglieder der Führungsetage haben tendenziell andere Interessen.

Nehmen wir etwa den CFO. Er sieht in der IT meist einen reinen Kostenfaktor und in der IT-Security erst recht. Wenn dann die unterschiedlichen Interessen nicht auf Augenhöhe austariert werden können, weil der CISO etwa auf einer tieferen Hierarchieebene angesiedelt ist, kann sich dies negativ auf die Risikobeurteilung auswirken.

Kocher: Grundsätzlich sollten CIO und CISO zusammenarbeiten und an einem Strang ziehen. Allerdings gibt es auch Interessenkonflikte zwischen den beiden. Um ein etwas plakatives Bild zu verwenden, ist der CIO für den IT-Betrieb zuständig. Das heißt, er ist daran interessiert, dass die Lämpchen auf dem IT-Management-Monitor alle grün leuchten und falls sie doch einmal rot werden sollten, schnell wieder auf Grün wechseln. Der CISO dagegen ist in der Verantwortung, dass die Lämpchen lange grün bleiben und nicht lange rot werden. Konflikte sind hier schon mal möglich.

Wenn ich dies auf die Anwenderebene herunterbreche, ist es sogar so, dass die IT oft der „Enabler“ ist, während die IT-Security eher hinderlich sein kann. Denken Sie nur an die Absicherung der Systeme durch Passwörter und weitere Faktoren. Will man hier als CISO einen optimalen Schutz implementieren, wird das für den Anwender unweigerlich komplex und „verhindert“ damit das Arbeiten.

Auf der anderen Seite hängt der Arbeitsplatz auch von der IT-Security ab. Denn wenn ein Unternehmen wegen eines größeren Vorfalls große Umsatzeinbußen erleidet, dann ist dieses gefährdet. Ziel der IT-Security muss es daher sein, möglichst diskret zu schützen, ohne den Anwender zu sehr in Mitleidenschaft zu ziehen.

Kocher: Das sind in der Regel eher die größeren Firmen, die sich im Allgemeinen der Risiken einer mangelnden IT-Security bewusst sind. In klassischen KMUs fehlt diese Po­sition noch. Typischerweise ist da der IT-Leiter auch für die Security zuständig. Tendenziell wird die IT dort auch noch als reines Arbeitswerkzeug wahrgenommen, über dessen Schutz man sich noch wenig Gedanken macht. Allerdings steigt auch hier das Bewusstsein für die IT-Security.

Kocher: Im Grunde genommen das Skill Set eines Projektleiters. Er ist der Kommunikator und sollte über Management­fähigkeiten verfügen. Denn in der Regel hat er ein Team aus technisch versierten IT-Security-Fachleuten, mit dem er Projekte umsetzt. Der CISO braucht also beides, ein bestimmtes tech­nisches Know-how auf der einen Seite. Auf der anderen Seite muss er mit seinem Team und mit der Geschäftsleitung sowie dem Verwaltungsrat stufengerecht kommunizieren können. Dem CISO kommt somit eine klassische Mittlerrolle zu: Er muss „unten“ die Technik verstehen und die Gefahrenlage nach „oben“ verständlich erklären sowie für das Management richtig verpacken können.

Kocher: Durchaus. Denn viele mittelgroße Unternehmen benötigen nicht ständig einen CISO. Deshalb gibt es bereits Firmen, die sich mit anderen einen CISO teilen. Wir stellen beispielsweise solche Leute zur Verfügung, natürlich unter strengsten Non-disclosure Agreements (NDAs). Schließlich darf man hier das Vertrauen der Kunden in keiner Weise gefährden.

com! professional: Ab welcher Größe raten Sie einer Firma, einen CISO zu engagieren, sei es fest oder leihweise?

Kocher: Eigentlich braucht jede Firma, egal wie groß, ab und zu die Sichtweise des CISOs auf die eigene IT-Infrastruktur. Das kann bei kleinen Unternehmen bedeuten, dass sich ein CISO einmal im Jahr die Prozesse und die Sicherheitsmaßnahmen anschaut oder dass er bei der Einführung neuer IT-Produkte und -Abläufe hinzugezogen wird, um sich die mal mit der IT-Security-Brille anzuschauen und zu überprüfen. Schließlich hat jede Firma, wenn sie gehackt wird, Geld zu verlieren.