Plötzlich CISO? So meistern Sie die ersten 30 Tage

Als CISO kämpfen Sie oft einen einsamen Kampf. Sie müssen Ihr Unternehmen schützen, zugleich aber auch dessen Wachstum fördern. Dabei sind Sie mit Interessenkonflikten und Budgetbeschränkungen konfrontiert. Und natürlich tragen Sie die Verantwortung für IT-Umgebungen, die verdeckte Schwachstellen aufweisen können. Unter diesen schwierigen Bedingungen ist Sicherheit kein Endzustand, sondern eine Verpflichtung zu effektivem Handeln. In diesem Beitrag finden Sie darum praxisnahe Tipps, die von mir und einigen von mir sehr geschätzten Security-Fachleuten stammen und Ihnen hoffentlich die ersten 90 Tage in Ihrem neuen Beruf erleichtern.
Von   Andreas Schneider   |  Field CISO EMEA   |  Lacework
9. Februar 2024

30-Tage-Checkliste: Zuhören, lernen, prüfen – und im Notfall rasch eingreifen!

In den ersten Wochen in der neuen Rolle ist es in der Tat ratsam, erst einmal zuzuhören, anstatt sofort die Initiative zu ergreifen. Stellen Sie also viele Fragen, bevor Sie tiefgreifende Maßnahmen einleiten. Auf diese Weise sammeln Sie eine Reihe wichtiger Informationen über Ihr Unternehmen und erfahren unter anderem:

– Wie Sie bestimmte Ziele erreichen können (oder eben nicht!).

– Wie Interaktionen ablaufen und welche Rituale dabei zu beachten sind (beispielsweise präsentierte sich jeder viele Arbeitgeber als Unternehmen mit flachen Organisationsstrukturen, obwohl die Hierarchien in der Praxis häufig eher steil sind).

– Wer Entscheidungen trifft – vor allem über Budgets, Personal und geschäftliche Prioritäten.

– Wo konkrete oder potenzielle Fehlerquellen liegen und welche Prozesse von der Mitwirkung einer bestimmten Person abhängen.

– Welche Mitarbeiter und Teams gut zusammenarbeiten (und welche nicht).

Erst mit diesem Wissen sind Sie in der Lage, Projekte auf den Weg zu bringen.

Führen Sie gleich zu Anfang eine Bewertung des Ist-Zustandes durch (und machen Sie sich Notizen für später)

Ein unvoreingenommener Blick zeigt Ansatzpunkte für künftige Änderungsprojekte

Wie bereits erwähnt, ist es in den ersten Wochen wenig ratsam, große Veränderungen anzustoßen. Machen Sie sich deshalb in dieser frühen Phase erst einmal Notizen, die Sie dann später – wenn Sie mehr Kontextwissen haben – erneut zurate ziehen können. Mit anderen Worten: Halten Sie Ihre ersten Eindrücke fest und entscheiden Sie nach einiger Zeit, wann und wie Sie den dort dokumentierten Ist-Zustand infrage stellen. Erstellen Sie beispielsweise einen Kalendereintrag, der Sie in vier Monaten daran erinnert, Ihre anfänglichen Notizen erneut zu konsultieren und auf dieser Grundlage mögliche Ansatzpunkte für künftige Änderungsprojekte zu ermitteln.

Die Bestandsaufnahme erweist sich vielerorts als schwierige Aufgabe

Verschaffen Sie sich trotzdem ein genaues Bild der vorhandenen Ressourcen – auch wenn das meist leichter gesagt als getan ist! Ein probates Mittel sind hier Aufrufe zur Erstellung von Übersichten sowie verschiedene manuelle Prozesse zum Abruf von Ressourcenbeschreibungen, Assetlisten und anderen Informationen. Falls Sie Software eines Visibility-Anbieters verwenden, sollten Sie unbedingt auf eine funktionsfähige Integration achten.

Tipps von CISOs für CISOs:

„Am Anfang ist es äußerst wichtig, dass Sie sich ein genaues Bild von sämtlichen Ressourcen Ihres Unternehmens machen. Insbesondere müssen Sie unbedingt das Management Ihrer Hardwarekomponenten in den Griff bekommen, weil dies die Grundlage für viele andere Aufgaben bildet. Außerdem benötigen Sie einschlägige Automatisierungslösungen – die Verwendung von Tabellen war noch nie eine gute Idee. Sobald Sie Ihre vorhandenen IT- und OT-Ressourcen überblicken, können Sie im Detail festlegen, welche Maßnahmen erforderlich sind, um Ihr Security- und Risikoniveau zu stabilisieren.“

— Tony Parrillo, Schneider Electric VP Global Head of Enterprise IT Cybersecurity

Finden Sie heraus, welche Kennzahlen Ihre Kolleginnen und Kollegen aus anderen Abteilungen nutzen

Wie wird die Performance des IT-Teams gemessen? Anhand der Bereitstellungsdauer? Oder der Qualität des Codes? Und wie läuft die Beantragung und Bewilligung von Budgets für neue Initiativen ab? Außerdem sollten Sie wissen, welche Metriken für Ihre Rolle relevant sind: Wie stellt sich die aktuelle Leistung des Security-Teams dar? Welche Größen werden vonseiten des CEO und anderen Managern zur Beurteilung Ihres Erfolgs herangezogen? Damit eröffnen Sie sich zugleich die Möglichkeit, in Zukunft Verbesserungen oder Modifikationen dieser Kriterien vorzuschlagen.

Erkundigen Sie sich nach bereits vereinbarten Plänen und nehmen Sie die Compliance-Berichte aus der Zeit vor Ihrem Eintritt in das Unternehmen in Augenschein

Studieren Sie diese genau, befragen Sie aber auch Ihre Kollegen zur praktischen Umsetzung. Meine Erfahrung zeigt, dass jedes Unternehmen über schriftlich fixierte Pläne verfügt, die jedoch in vielen Betrieben nie genutzt oder nur teilweise realisiert werden. Hier ist es in jedem Fall besser, die Wahrheit zu kennen, statt den Kopf in den Sand zu stecken. Wenn Sie die Augen vor nicht eingehaltenen Richtlinien verschließen, erregen diese über kurz oder lang die Aufmerksamkeit von Auditoren und potenziellen Angreifern.

Identifizieren Sie „brandheiße“ Probleme, die Ihre sofortige Aufmerksamkeit erfordern

Einschlägig sind hier unter anderem die Fragen:

– Wo werden die Root-Anmeldedaten aufbewahrt und wie gut sind sie gesichert? (Hoffentlich mit MFA!)

– Werden Workloads als Root ausgeführt? (Hoffentlich nicht!)

– Wer hat Superadmin-Rechte?

– Mit welchem Verfahren werden sie vergeben?

– Werden Daten in gespeichertem Zustand und während der Übertragung standardmäßig verschlüsselt? (Dies ist heute in vielen Fällen leichter denn je, weil Services wie Infrastructure as Code und Möglichkeiten zum Outsourcing datenschutzrechtlicher Verpflichtungen verfügbar sind – ganz zu schweigen von den voreingestellten Verschlüsselungsfunktionen der Cloud-Anbieter.)

– Haben Sie die Berechtigungen ehemaliger Angestellter widerrufen?

– Gibt es hartcodierte Anmeldedaten oder Schlüssel, die manuell oder mithilfe von Skripten rotiert werden müssen? (Verwenden Sie in jedem Fall Schlüsselmanagementsysteme, wo dies möglich ist!)

– Ist das aktuelle Maß an Transparenz ausreichend, um die unbefugte Ausschleusung von Daten aufzudecken?

Setzen Sie wichtige Themen ganz oben auf die Agenda

Organisieren Sie die Identitäten

Ein effektives Identitäts- und Zugriffsmanagement ist das A und O. Daher sollten Sie sich an diesem Punkt mit den Zugangsmechanismen Ihres Unternehmens, einschließlich aller Drittanbieter-Apps befassen. Vereinheitlichen und vereinfachen Sie die Zugriffsprozesse und richten Sie Föderationen und Single-Sign-On (SSO) ein. Somit können Mitarbeiter benötigte Anwendungen mit geringem Aufwand in Anspruch nehmen und bestimmte Tools nur mit Ihrer Genehmigung freigegeben werden. Begleitend sollten Sie die bestehenden Cloud-Zugriffsrechte kontrollieren und mithilfe von Vorlagen neu organisieren. Besondere Relevanz besitzt in diesem Zusammenhang das Thema „Zero Trust“ – ein zugegebenermaßen allzu oft benutztes Modewort, als dessen Kern ich folgendes Prinzip ansehe: Stufen Sie weder Personen noch Geräte als vertrauenswürdig ein, nur weil sie mit Ihrem Netzwerk verbunden sind. Konkret bedeutet das vor allem, dass Sie die erteilten Berechtigungen konsequent „zurechtstutzen“ und eine Kombination aus Perimeterschutz und IAM-Tools implementieren sollten. Das bringt einen gewissen Arbeitsaufwand mit sich, sorgt jedoch für ein optimales Zusammenspiel von Identitäts- und Zugriffskontrollen.

Tipps von CISOs für CISOs:

„Priorisieren Sie rigoros diejenigen Maßnahmen, die das Security-Niveau des Unternehmens am stärksten heben. Denn am Ende kommt es vor allem darauf an, pragmatisch zu handeln und sich nicht in unmöglichen Aufgaben zu verzetteln. Außerdem sollten Sie bei der Festlegung von Zielen unbedingt Managerinnen und Manager für relevante Produkte sowie aus den technischen Bereichen und der IT-Abteilung einbeziehen. Gemeinsam ist es deutlich einfacher, die richtige Balance zwischen realistisch erreichbaren Zielsetzungen und drängenden Herausforderungen zu finden. Meiner Erfahrung nach empfehlen sich in den meisten Fällen vierteljährliche oder monatliche Treffen mit dem abteilungsübergreifenden Managementteam zur Festlegung quantifizierbarer Ziele.“

– Olga Lagunova, Chief Technology Officer, GoTo

Nutzen und optimieren Sie das Ticketing-System

Die Erstellung und Bearbeitung von Trouble-Tickets kostet viel Zeit und Nerven, lässt sich jedoch kaum vermeiden – kaum ein Unternehmen verfügt nicht über ein Issue-Tracking-System. Zudem profitiert auch das Security-Team selbst von einem solchen Tool, weil dieses von Haus aus Funktionen rund um die Genehmigung und Authentifizierung von Tickets bereitstellt und die betreffenden Prozesse somit deutlich besser dokumentiert als ein bloßer E-Mail-Trail. Das können Sie auf verschiedene Weise zu Ihrem eigenen Vorteil nutzen. Zum einen haben Sie die Möglichkeit, Reaktionszeiten und die Dauer bis zur Behebung eines Vorfalls genau zu ermitteln und zu messen. Zum anderen sind sie jederzeit darüber im Bilde, welche Probleme wiederholt auftreten und welche „Routine-Anfragen“ automatisierten Bots übertragen werden können. Außerdem können Sie für Ausnahmefälle spezifische Maßnahmen festlegen, sodass beispielsweise ein bestimmtes Team erweiterte Berechtigungen erhält, wenn es ein Trouble-Ticket erstellt. Auf diese Weise minimieren Sie die „Grauzone menschlicher Entscheidungen“.

Richten Sie Ihre Weiterbildungs- und Rekrutierungsmaßnahmen auf automatisierungsaffine Technikspezialisten aus

Beginnen Sie im Team mit der Konzeption von automatisierten Lösungen für jene Probleme, die ganz oben auf Ihrer Agenda stehen. Dadurch sprechen Sie gezielt die Mitarbeiter und Talente an, die maschinelle Lösungen für manuelle Aufgaben bevorzugen.

Erfassen und analysieren Sie aussagekräftige Kennzahlen

Welche Teams überschreiten festgelegte Grenzen am häufigsten? Warum? Ist Ihre IT-Umgebung zu restriktiv strukturiert oder liegt es am Unvermögen der betreffenden Mitarbeiter?

Nehmen Sie Ihre Anbieter unter die Lupe, genau wie zuvor Ihre Ressourcen

In welchen Bereichen fallen aktuell Ausgaben an? Welchen Nutzen ziehen Sie aus Ihren gegenwärtigen Anbietern? Wann steht die Erneuerung von Verträgen an? Gibt es Möglichkeiten zur Konsolidierung abonnierter Funktionen?

Stellen Sie sicher, dass Ihr Unternehmen über geeignete Incident-Response-Mechanismen verfügt

Haben Sie einen Dienstplan mit Notfallkontakten? Wo liegt die Toleranzschwelle für die Eskalation eines Vorfalls? Werden Warnmeldungen bei nicht bestätigtem Empfang beispielsweise schon nach 5 oder erst nach 15 Minuten eskaliert?

Setzen Sie Metriken

Legen Sie gleich zu Beginn quantitative Ziele bezüglich der Reaktionszeiten, der Dauer der Behebung von Vorfällen sowie der Zahl der Anfragen, Ausnahmen und so weiter fest. Dabei sollten Sie der Versuchung widerstehen, die betreffenden Metriken zu gamifizieren – schließlich wollen Sie vor allem erfahren, ob Sie im Laufe der Zeit Verbesserungen erzielen.

Bauen Sie produktive Beziehungen auf, um Fürsprecher zu gewinnen

Treffen Sie die Entscheider

Vereinbaren Sie Meetings mit den Leitern der Rechts-, Finanz- und Personalabteilung sowie mit den Managern der Produktteams und mit dem CTO, CIO und CEO Ihres Unternehmens. Das bietet Ihnen die Gelegenheit, von Ihren jeweiligen Gesprächspartnern und -partnerinnen zu erfahren, was ihnen besonders am Herzen liegt und wo ihrer Meinung nach Verbesserungsbedarf besteht. Substanzielle Kritik haben Sie dabei vor allem von der Rechtsabteilung, IT-Experten und Produktmanagern zu erwarten. Außerdem sollten Sie den CEO darauf vorbereiten, dass Sie künftig Maßnahmen zur Minimierung geschäftlicher Risiken vorschlagen werden.

Tipps von CISOs für CISOs:

„Ein gutes Verhältnis zum CIO und anderen Stakeholdern ist essenziell. Wenn die Aktivitäten Ihres Security-Teams nicht auf die allgemeinen Geschäftsziele ausgerichtet sind, laufen Ihre Bemühungen zwangsläufig ins Leere. Erst durch den Aufbau eines Vertrauensverhältnisses zu den anderen Führungsspitzen werden CISOs in die Lage versetzt, Security-Initiativen effektiv voranzutreiben und eine sicherheitsbewusste Unternehmenskultur zu fördern.“

— Jason Thomas, Chief Information Officer und Head of Security von Cole, Scott & Kissane

Begutachten Sie das bestehende Security-Budget unvoreingenommen und mit kritischem Blick

Dabei sollten Sie unbedingt die Möglichkeit in Betracht ziehen, dass Sicherheits-, Cloud- und IT-Budgets im Zuge der fortschreitenden Umstellung auf Cloud-Lösungen und DevSecOps stärker zusammenwachsen. Abgesehen davon ist es wichtig, dass Sie sich genau über den Zeitplan für den nächsten Budgetplanungszyklus informieren, damit Sie gut vorbereitet in die Verhandlungen einsteigen können.

Wenn es um Sicherheit geht, sind gute Absichten nicht genug. Selbst die ausgereiftesten Sicherheitsunternehmen arbeiten noch daran, aber es ist entscheidend, einen soliden Ansatz zu entwickeln. Hier habe ich einige wichtige erste Schritte zusammengefasst, die es Ihnen ermöglichen, effektive Prozesse und Arbeitsweisen für Ihr Team zu integrieren und hohe Standards für die Sicherheit zu setzen.

Andy Schneider begann seine Karriere im Bereich der IT-Sicherheit bereits im Jahr 2000 bei einer Deutschen Landesbank. In den letzten 10 Jahren hatte er verschiedene CISO-Positionen inne. Er ist derzeit als Field CISO EMEA für Lacework tätig und arbeitet zusätzlich als Berater für TX Ventures und verschiedene Security-Start-ups.

Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.

46310

share

Artikel teilen

Top Artikel

Ähnliche Artikel