CISO Voices: Der CISO als Kommunikationsexperte – Teil 6
So gut wie keine Branche ist vor Cyberkriminellen sicher. Gleichzeitig werden einige Branchen häufiger von Bedrohungsakteuren ins Visier genommen werden als die meisten anderen.
Als Sicherheitsverantwortlicher in der Rechtsbranche hat Christian Toon viele Cyberangriffe miterlebt – einige davon waren erfolgreich, andere nicht. In einem Gespräch mit Jenny Radcliffe für den „Human Factor Security“-Podcast sprach Christian Toon über seine Erfahrungen, den Mangel an Sicherheitsfachkräften und viele weitere Themen.
Im Folgenden finden Sie eine Zusammenfassung des Gesprächs.
Ein Blick auf die Rechtsbranche
In den vergangenen 12 bis 18 Monaten haben wir eine deutliche Zunahme bei Angriffen auf die Rechtsbranche und den Dienstleistungssektor verzeichnet.
Es gibt viele bekannt gewordene Fälle, bei denen Cyberkriminelle beispielsweise Anwaltsbüros mit Spearphishing-Angriffen ins Visier genommen haben. Obwohl wir also einen massenhaften Anstieg feststellen, sind diese Angriffe sehr gezielt auf Unternehmen und Einzelpersonen ausgerichtet.
Zudem sind Phishing-E-Mails immer noch ein großes Problem. In einer Branche, in der ständig Informationen per E-Mail ausgetauscht und weitergeleitet werden, lassen sich gut formulierte schädliche E-Mails nur schwer erkennen.
Das Problem beim Phishing ist, dass Technologie uns nur bis zu einem gewissen Punkt weiterbringt. E-Mails sind ein universelles Medium, auf das wir zur Kommunikation angewiesen sind und das Unternehmen benötigen, um Links oder Dokumente weiterzugeben.
Die sich ändernde Rolle des CISO
Die Rolle des Chief Information Security Officer (CISO) ist in Bezug auf die Verantwortung und die Bedeutung in Unternehmensumgebungen enorm gewachsen. Wir gelten heute als erste Anlaufstelle für unterstützende Beratung zu den unternehmensspezifischen Risiken.
Die Vorstände erkennen, dass Cybersicherheit unbedingt als einer der wichtigsten Risikofaktoren berücksichtigt werden sollte. Es gibt nur wenige andere Bereiche, in denen die Geschäftsabläufe eines Unternehmens in weniger als einer Stunde stillgelegt werden können. Abgesehen von Erdbeben oder anderen Naturkatastrophen gibt es nichts Vergleichbares mit dem Potenzial, ein Unternehmen in diesem Ausmaß zu beeinträchtigen.
Aber auch wenn die Rolle umfangreicher geworden und mit mehr Verantwortung verbunden ist, dürfen wir sie nicht isoliert betrachten. Informationssicherheit ist ein Mannschaftssport. Alle müssen an einem Strang ziehen: von den Mitarbeitern an der Front bis hin zu denen hinter den Kulissen, in allen Abteilungen und auf allen Unternehmensebenen.
Um dies zu erreichen, müssen wir einige Hürden beseitigen, die wir im Bereich der Informationssicherheit wohl selbst geschaffen haben – die Schlagworte und den Hype. Zudem müssen wir uns bewusst machen, dass Mitarbeiter kein Interesse an bestimmten Konzepten wie Zero Trust haben – die meisten verstehen schlicht nicht, was das in der Praxis bedeutet. Deshalb müssen wir diese Begriffe übersetzen und mit der alltäglichen Arbeit in Verbindung bringen.
Wird der Fachkräftemangel durch unterschiedliche Vorstellungen verursacht?
In unserer Branche ist schon seit einiger Zeit die Rede vom Fachkräftemangel. Ich finde jedoch, dass es eher an unterschiedlichen Vorstellungen liegt. Nach wie vor haben Arbeitgeber bei der Suche nach Bewerbern eine vorgefasste Meinung darüber, wie Sicherheitsexperten aussehen sollten.
Viele Unternehmen möchten immer noch Mitarbeiter, die mit Anzug, Hemd und Krawatte in einer formellen Büroumgebung mit einer festen Karrierestruktur und wenig Raum für Entwicklung glücklich sind. Doch auf dem Markt gibt es immer weniger solcher Menschen. Andererseits gibt es einige, die möglicherweise mit überzogenen Erwartungen an die für sie geeigneten Rollen ins Berufsleben eintreten. Diese Kluft macht es sehr schwierig, den Erwartungen gerecht zu werden.
Wir müssen den Blick darauf richten, was einen Arbeitsplatz für die Arbeitnehmer von heute attraktiv macht. In unserer Branche gibt es keine Spitzengehälter. Wie können wir die potenziellen Bewerber also auf andere Weise für die Arbeit begeistern?
Es gibt Regierungsinitiativen, die darauf abzielen, diese Wahrnehmung zu ändern und eine jüngere und besser vorbereitete Zielgruppe anzusprechen. Trotzdem bleibt noch viel zu tun.
In der Zwischenzeit dürfte es vermehrt zu Outsourcing kommen, da Unternehmen Schwierigkeiten haben, die benötigten internen Mitarbeiter zu finden und zu halten. Und je länger sie ohne diese Leute auskommen müssen, desto stärker sind sie gefährdet – und desto schlimmer wird die Situation werden.
Möchten Sie mehr von CISOs hören?
In unserem Podcast „CISO Voices“ können Sie sich das vollständige Interview von Jenny Radcliffe mit Christian Toon sowie weitere Folgen anhören. Jenny Radcliffes Human Factor Security-Podcasts bieten auch weitere interessante Einblicke von Cybersicherheitsexperten.
Laden Sie außerdem unseren Voice of the CISO Report 2023 herunter, um zu erfahren, wie sich unsere Branche an die Zeit nach der Pandemie anpasst und welche Rolle die Mitarbeiter in puncto Cybersicherheit spielen.