Der CISO - Aufklärer, Polizist und Bergführer in Personalunion
02.06.2016 von Jürgen Mauerer
IT-Sicherheit und Datenschutz werden im digitalen Zeitalter mehr und mehr zur Management-Deisziplin. Viele (große) Unternehmen setzen daher einen Chief Information Security Officer (CISO) ein. Doch bislang hat sich weder eine einheitliche Sichtweise des Berufsbilds etabliert noch ist die Position des CISO in der Organisationsstruktur von Unternehmen genau definiert.
CISOs haben sich in ihrer Funktion als Treiber der IT-Sicherheit vor allem in großen Unternehmen und Mittelständlern mit meist mehr als 1000 Mitarbeitern etabliert. Nahezu jedes DAX30-Unternehmen verfügt über diese Position.
Die Rollenabgrenzung von CISO und CSO ist nicht immer ganz eindeutig geregelt. Uneinheitlich auch die Rolle des CISOs in der Organisationsstruktur der Unternehmen - das zeigen die Beispiele Linde Group, Allianz und Hellmann Worldwide Logistics.
Unabhängig davon, ob der CISO an den CIO, Vorstand oder andere Rollen berichtet - er sollte grundsätzlich im Unternehmen gut vernetzt und kommunikationsstark sein, um das Management und die Mitarbeiter aus den Fachabteilungen vom Sinn und Mehrwert der IT-Sicherheit zu überzeugen.
"Ich will nicht der Polizist sein, der auf die Einhaltung von Regeln pocht und Knöllchen verteilt, sondern ein Art Bergführer, der die Vorstände berät und auf den Gipfel führt, ihnen die Risiken bewusst macht, aber auch die Maßnahmen und Wege aufzeigt, wie man diese Gefahren umgeht." Mit diesen Worten beschreibt Stephan Gerhager, Chief Information Security Officer bei der Allianz Deutschland AG, sein Selbstverständnis als CISO. Er blickt auf eine lange Erfahrung als CISO zurück. Vor seiner Zeit bei der Allianz war er drei Jahre bei Audi und sieben Jahre bei E.ON Energie für Informationssicherheit verantwortlich.
Stephan Gerhager, CISO der Allianz: "Ich will nicht der Polizist sein, der auf die Einhaltung von Regeln pocht und Knöllchen verteilt." Foto: Allianz Deutschland AG
Seiner Meinung nach haben IT-Sicherheit und Datenschutz in den letzten Jahren erheblich an Bedeutung gewonnen: "Da mittlerweile nahezu alle Prozesse digitalisiert und viele Systeme über das Internet verbunden sind, werden sie sensibler und angreifbarer. Eine Hacker-Attacke wirkt sich heute unmittelbar auf den Geschäftsbetrieb aus, kann etwa zum Stillstand der Produktion führen und erhebliche finanzielle oder Imageschäden verursachen", erläutert Gerhager.
Das setzt IT-Security-Verantwortliche unter Druck
Fehlende Fachkenntnisse Die IT-Industrie wächst schneller, als die Universitäten qualifizierte Fachkräfte in den Markt bringen können. So bleiben zahlreiche IT-Abteilungen unterbesetzt und unterqualifiziert. 76 Prozent der von Trustwave für die Studie Befragten fühlen sich deshalb genötigt, sich selbst in ihrer täglichen Arbeit ständig zu übertreffen, um den Fachkräftemangel etwas zu kaschieren. Trustwave-Marketingchef Cas Purdy sieht externe Security-Service-Unternehmen wie sein eigenes in einer guten Position, IT-Abteilungen zu unterstützen.
Ungeduldiger Vorstand Vier von zehn Security-Experten mögen Vorstandssitzungen überhaupt nicht. Direkt vor oder nach einem solchen Meeting haben sie nämlich den meisten Stress. Damit ist die Zahl derer, die sich von den eigenen Chefs stark unter Druck gesetzt fühlen sogar knapp höher als die Zahl derer, die sich unmittelbar nach einem großen Datendiebstahl gestresst fühlen (39 Prozent der von Trustwave Befragten).
Erkennen vs. vorbeugen Die Erkennung von Schwachstellen, Malware und schädlichen Netzwerkaktivitäten stellt für jeden zweiten IT-Security-Experten eine Aufgabe im Tagesgeschäft dar, die mit großem Druck verbunden ist. Es geht darum, Hintertüren in den Systemen zu entdecken, die als Einfallstor missbraucht werden könnten und diese zu schließen, bevor es zu einem Sicherheitsvorfall kommt. Ein Katz-und-Maus-Spiel, was einen gewissen Druck entstehen lässt.
Zu frühe Releases Wenn IT-Produkte veröffentlicht werden, bevor sie wirklich fertig sind – das ist ein Problem, das 77 Prozent der von Trustwave Befragten nur zu gut kennen. Denn zumeist mangelt es den neuen Errungenschaften gerade an einem – an Sicherheit. Dennoch werden Sicherheitsspezialisten häufig von ihren Unternehmen dazu genötigt, das unfertige Produkt so schnell wie möglich aus der Tür zu bringen.
Internet der Dinge Wenn alles mit allem vernetzt ist und entsprechend viele neue Angriffspunkte entstehen, sind neue Aufgaben für Security-Experten nicht weit. Das Internet der Dinge (IoT) beherrscht viele Unternehmen und stellt IT-Verantwortliche vor die Aufgabe, entsprechende Lösungen zu entwickeln und zu integrieren. Mehr als jeder zehnte Security-Verantwortliche fühlt sich dadurch unter Druck gesetzt, dass ihm gar nicht die Wahl gelassen wird, ob er IoT-Technologie überhaupt als sinnvoll erachtet. Es geht oftmals nur darum, sie schnellstmöglich einzubauen – unter Sicherheitsaspekten alle andere als schnell erledigt.
Big Data Der Diebstahl von Kundendaten und von Intellectual Property bestimmt die Schlagzeilen – entsprechend groß ist die Angst von Unternehmensverantwortlichen, dass ihnen so etwas auch widerfahren könnte. Security-Verantwortliche haben großen Druck dadurch, fast die Hälfte von ihnen fürchtet sich vor einem Hack im großen Stil – dass erst Kundendaten abhandenkommen, dann auch noch Firmengeheimnisse verschwinden und es anschließend neben dem herben Imageverlust auch noch zu Gerichtsverfahren kommt. Ganz unbegründet ist diese Angst nicht – zahlreiche reale Fälle, die genau so oder ähnlich abgelaufen sind, geben dieser Befürchtung Nahrung.
Angebot und Nachfrage Dass es an Security-Personal fehlt, wurde bereits deutlich. Der Bedarf an Experten ist dennoch erstaunlich: Fast jeder Dritte für die Trustwave-Studie Befragte wünscht sich eine Vervierfachung des IT- und IT-Security-Personalstamms im eigenen Unternehmen. Jeder zweite immerhin eine Verdoppelung. Ähnlich groß ist der Wunsch nach einem höheren IT-Security-Budget.
Sicherheit des Arbeitsplatzes Wenn es zu einem Security-Vorfall gekommen ist, fürchtet nur jeder zehnte Verantwortliche um seinen Job – was maßgeblich mit dem Fachkräftemangel zusammenhängt. Sollte doch einmal die Entlassung drohen, finden Security-Experten schnell wieder einen Arbeitgeber. Also immerhin ein Punkt, an dem sich nur wenige größere Sorgen machen müssen.
Sicherheit wird zur Management-Disziplin
Diese Gefahren und Risiken gelten für alle Branchen. Firmen unterliegen denselben Angriffsmustern, selbst wenn sie unterschiedliche Schwerpunkte setzen - sei es, dass eine Versicherung sensible Kundendaten schützen muss, ein Energie-Unternehmen die Informationen der Anlagensteuerung absichert, damit das Stromnetz nicht ausfällt, oder der Automobilhersteller geistiges Eigentum wie die Entwicklungs-Daten neuer Fahrzeugmodelle hütet.
Angesichts zunehmender Hacker-Attacken sollten daher alle Unternehmen Informations-Sicherheit zum strategischen Ziel erklären. Neben technischen Maßnahmen gehören dazu Policies, Prozesse, Sicherheitsstrategien und -architekturen sowie die Sensibilisierung der Mitarbeiter für die Sicherheitsrisiken (Security Awareness). Eine wichtige Rolle bei der Umsetzung dieser Strategie spielt der Chief Information Security Officer (CISO).
Das Einmaleins der IT-Security
Adminrechte Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
E-Mail-Sicherheit E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Unternehmensvorgaben Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles Kontrolle der Logfiles
Datensicherung Auslagerung der Datensicherung
Sicherheitsanalyse Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Hier stellen sich folgende Fragen: Hat sich die Position des Chief Information Security Officers bei Unternehmen in Deutschland bereits durchgesetzt? Wo ist der CISO organisatorisch im Unternehmen angesiedelt? In welchem Verhältnis steht der CISO zum CSO (Chief Security Officer) und zum CIO?
CISO etabliert sich in (großen) Unternehmen
Interessant sind hier die Ergebnisse einer Umfrage von Dell unter 175 IT-Verantwortlichen von Unternehmen jeder Größe in Deutschland zum Thema Sicherheit. Demnach war im Oktober 2015 in 64 Prozent der befragten Unternehmen der CIO für die IT-Sicherheit verantwortlich, nur sechs Prozent hatten die Position des CISO eingerichtet. Hier besteht aber eine klare Korrelation zur Mitarbeiterzahl: Je größer das Unternehmen, desto häufiger existiert ein CISO.
Dies bestätigt Marc Fliehe, Bereichsleiter Sicherheit beim Branchenverband Bitkom: "CISOs haben sich in ihrer Funktion als Treiber der IT-Sicherheit vor allem in großen Unternehmen und Mittelständlern mit meist mehr als 1000 Mitarbeitern etabliert. Nahezu jedes DAX30-Unternehmen verfügt über diese Position." Neben der Größe sei die CISO-Position abhängig von der Branche des jeweiligen Unternehmens, der IT-Durchdringung und der Bedeutung, die das oberste Management der IT-Security zumisst.
Marc Fliehe, Bereichsleiter Sicherheit beim Bitkom: "CISOs haben sich in ihrer Funktion als Treiber der IT-Sicherheit vor allem in großen Unternehmen etabliert." Foto: Bitkom
Matthias Zacher, Senior Consultant bei IDC, bestätigt all diese Punkte, sieht aber bei der Abgrenzung der Position des CISO vom CSO (Chief Security Officer) noch Nachholbedarf. "Es gibt noch keine klare, einheitliche Definition und Sichtweise für die Position des CSO und CISO. Teilweise werden diese beiden Begriffe synonym verwendet. Das hängt vom Zuschnitt der Aufgaben und den Zuständigkeiten im jeweiligen Unternehmen ab. Ein Beispiel: Ist der CISO oder der CSO für die Sicherheit von Produktionsanlagen zuständig?"
Begriffsklärung: CIO, CSO und CISO
Semantisch unterscheiden sich der CSO und der CISO durch den Buchstaben "I" für Information. Fehlt aber eine genaue Rollenbeschreibung, kann es zu Überschneidungen oder Missinterpretationen kommen. Daher hier eine kurze Abgrenzung der drei Positionen CISO, CSO und CIO, wie sie sich aus unserer Recherche ergeben haben:
CISO: Der Fokus des CISO liegt auf der Sicherheit digitaler Informationen, sprich Daten und Informationen in elektronischer Form, sowie den dazugehörigen Komponenten wie Netzwerken, Systemen und Anwendungen. Zu seinen Aufgaben zählen präventive, aufdeckende als auch reagierende Sicherheitsmaßnahmen. In seiner Verantwortung liegt es zudem, Ziele und Richtlinien zur Einhaltung der IT-Sicherheit für sein Unternehmen zu erarbeiten, festzulegen und praktisch umzusetzen. Der CISO überprüft das Sicherheitsbewusstsein der Mitarbeiter regelmäßig und schult sie bei Bedarf.
CSO: Beim CSO geht es meist mehr um Safety, also die Sicherheit der physisch-technischen Infrastruktur wie etwa Gebäude- und Personenschutz, Alarmanlagen, Videoüberwachung, Brandschutz, Terrorabwehr oder Schutz vor Einbrüchen. Daher bekleidet diese Position häufig ein ehemaliger Personenschützer. Bei dieser Rollenbeschreibung befindet sich der CSO mit dem CISO auf der gleichen Hierarchieebene. In manchen Unternehmen ist der CSO zusätzlich für IT-Sicherheit sowie Risk und Compliance verantwortlich. In diesem Fall ist der CSO dem CISO übergeordnet.
CIO: Der CIO ist ganz allgemein für den reibungslosen Betrieb der ITK-Infrastruktur verantwortlich. Häufig ist er auch für IT-Security zuständig, so dass der CISO an ihn berichtet.
Uneinheitlich: Die Rolle des CISO in der Organisationsstruktur
Sehr uneinheitlich gestaltet sich auch die Rolle des CISOs in der Organisationsstruktur der Unternehmen. Dies zeigen die Beispiele Linde Group, Allianz AG und Hellmann Worldwide Logistics.
Hellmann Worldwide Logistics
Andreas Goretzky, ist als CISO mit seinem Team weltweit für die Informationssicherheit bei Hellmann Worldwide Logistics zuständig, einem global tätigen Logistikdienstleister mit rund 13.000 Mitarbeitern. Er ist nicht dem Head of Global IT unterstellt, sondern berichtet direkt an den für Security Verantwortlichen im Vorstand. "Der Head of Global IT ist als Kollege auf gleicher Ebene für den IT-Betrieb verantwortlich. Damit vermeiden wir Interessenskonflikte und gehen dem Vorwurf aus dem Weg, wir würden uns selbst auditieren. Für Safety, sprich Werksschutz oder Brandschutz, ist ein Risk Manager zuständig. Bei einem Sicherheitsvorfall tragen der Head of Global IT und der CISO gemeinsam Verantwortung", berichtet Andreas Goretzky.
Als CISO besitzt er bei Hellmann Worldwide Logistics kein eigenes IT-Budget, sondern verfügt nur über einen kleinen Etat in der Personalkostenstelle. Benötigt Andreas Goretzky Geld für notwendige Security IT-Maßnahmen, wird dies im Executive Board oder/und in einem Steuerungsgremium entschieden, das sich aus Vertretern der IT und der Fachabteilungen zusammensetzt.
Andreas Goretzky, CISO bei Hellmann Worldwide Logistics. Foto: Hellmann Worldwide Logistics
Linde Group
Dr. Andrzej Debski, Chief Information Security Officer beim DAX-Unternehmen Linde Group, ist in der IT-Organisationseinheit verankert und dem CIO unterstellt. Dazu sagt er: "Das hat viele Vorteile aber auch einige Nachteile, vor allem dann, wenn es um einen hohen Grad der Objektivität geht. Im Sicherheitsumfeld ist es wichtig, das Prinzip der Rollenteilung zu befolgen und zumindest die Funktionen von Governance, Umsetzung und Kontrolle zu trennen. Das ist ähnlich zu etablierten gesellschaftlichen Strukturen mit Legislative, Exekutive und Judikative."
Das Thema Safety ist bei Linde im SHEQ-Ressort (Safety Health Environment Quality) angesiedelt. Dazu zählen unter anderen entsprechende organisatorische und technische Maßnahmen zum Schutz von Mitarbeitern, der Arbeitsumgebung (Gebäude, Produktionsanlagen, Transportmittel, etc.) und der Umwelt. Linde arbeitet mit Gasen und Gasprodukten, so dass Sicherheitsaspekte nach wie vor eine wichtige Rolle spielen.
Als CISO erhält Andrzej Debski zwar Teile des IT-Budgets, die Höhe und Ausgestaltung wechselt aber je nach aktuellen Schwerpunkten. "Die Budget-Hoheit Frage scheint ein Dauerthema fast überall zu sein. Auf der einen Seite ist man bestrebt hohe Qualität der Schutzmaßnahen zu gewährleisten; das geht kaum zum Nulltarif. Auf der anderen Seite ist man in der Regel mit einem engen Korsett der Finanzierung konfrontiert. Ich glaube, es hängt hier viel von den Geschäftszielen, Geschäftsprioritäten, positiven und negativen Erfahrungswerten und der allgemeinen Unternehmenskultur ab."
Dr. Andrzej Debski, CISO der Linde Group. Foto: Linde Group
Allianz Deutschland
Bei der Allianz existiert keine zentrale Einheit, die für Corporate Security zuständig ist. Die unterschiedlichen Security Funktionen sind auf verschiedene Abteilungen verteilt, es gibt aber regelmäßige ressortübergreifende Jour-Fixes der fünf für Sicherheitsfragen verantwortlichen Personen, die als Stabsstelle fungieren: CSO, CISO, Compliance Officer, Datenschutzbeauftragter, Auditor. Der CSO der Allianz kümmert sich um den Gebäudeschutz, der Datenschutzbeauftragte um rechtliche Fragen rund um personenbezogene Daten, der Compliance Officer aus der Rechtsabteilung ist für Compliance-Fragen verantwortlich und der Auditor prüft auf Einhaltung der Vorgaben. "Der ständige Austausch ist sehr wichtig. Als CISO habe ich zudem eine indirekte Reporting-Line zum COO im Vorstand", sagt Gerhager.
Gerhager ist als CISO für die Informationssicherheit aller sensiblen Daten zuständig und dem CIO unterstellt. "Hier handelt es sich aber um eine besondere Konstruktion, da der CIO nicht direkt für den IT-Betrieb verantwortlich ist, sondern die Rolle als IT-Vorstand einnimmt. Er stellt die IT-Anforderungen und steuert den internen IT-Dienstleister AMOS, der sich um die Implementierungen kümmert. Es besteht hier kein Rollenkonflikt für den CIO zwischen Budget und Security, da die Security-Funktion vom IT-Betrieb getrennt ist", so Gerhager weiter.
Der CISO der Allianz verfügt über ein eigenes Budget für Basisaufgaben. Da er alle Business-Projekte beratend zum Thema Informationssicherheit begleitet, laufen alle entstehenden Zusatzkosten für IT-Security über das entsprechende Projekt.
Als "Bergführer, der die Vorstände berät und auf den Gipfel führt", sieht sich Allianz-CISO Stephan Gerharger. Foto: Africa Studio - shutterstock.com
Aufklärung und Überzeugungsarbeit
Unabhängig davon, ob der CISO an den CIO, Vorstand oder andere Rollen berichtet - er sollte grundsätzlich im Unternehmen gut vernetzt und kommunikationsstark sein, um das Management und die Mitarbeiter aus den Fachabteilungen vom Sinn und Mehrwert der IT-Sicherheit zu überzeugen. "Ein CISO kann es nicht allen im Unternehmen recht machen. Robuste Sicherheit ist in vielen Fällen nicht gleichzeitig mit großer Flexibilität oder Anwenderfreundlichkeit verbunden. Die große Herausforderung ist es daher, die Balance zwischen Sicherheit, Kosten und Bedienbarkeit zu finden und die unterschiedlichen Interessen und Einflussfaktoren ausgewogen unter einen Hut zu bringen", betont Linde-CISO Andrzej Debski. Kommunikationsnetze, Systeme und Anwendungen müssten auch im Sicherheitsmodus effektiv arbeiten können und bedienbar bleiben.
Andreas Goretzky von Hellmann Worldwide Logistics setzt zur Sensibilisierung der Mitarbeiter auf Transparenz und Awareness-Workshops: "Wir informieren darüber, wie Hacker arbeiten, um die Risiken aufzuzeigen, das Sicherheitsbewusstsein zu schärfen und geben Tipps zum richtigen Verhalten." Hinzu kommen Plakataktionen, E-Mails oder auch elektronische Umfragen, um herauszufinden, was die Mitarbeiter über die Sicherheitsprozesse im Unternehmen wissen. Auch bei den Newcomer-Workshops für neue Mitarbeiter ist Andreas Goretzky oder ein Mitglied des CISO-Teams mit Informationen zu Security-Themen präsent: "Größter Risikofaktor für Sicherheit im Unternehmen ist nicht die Technik, sondern immer noch der Mensch."
Die Security-Trends 2016
Security-Trends 2016 Viren, Cyberkrime, Erpressung, Kreditkartenbetrug - die Liste der digitalen Gefahren im Internet ist mittlerweile langgeworden. Wir haben die Top-10-Bedrohungen für 2016 zusammengestellt.
Malware Bewährte und bekannte Malware-Technologien werden sich weiter entwickeln. Social-Engineering-Methoden, vor allem Tricks und Täuschungsmanöver, die sich wie bei Ransomware bereits erfolgreich bewährt haben, werden Unternehmen weiter terrorisieren. Es mag sein, dass Cyberkriminelle sich in Zukunft mit weniger Beute begnügen müssen. Einfach weil das Bewusstsein für diese Art von Angriffen deutlich gestiegen ist und die Backup-Prozesse sich bei den anvisierten Zielfirmen verbessert haben. Nichtsdestotrotz wird es weiterhin ausreichend ahnungslose Opfer geben, deren Daten einem hohen Risiko ausgesetzt sind. Und mit den Daten unter Umständen ganze Geschäftsmodelle und Firmen.
Datenschutzverletzungen Die Flut an Datenschutzverletzungen wie wir sie 2015 erlebt haben und die damit verbundenen Verluste an Kreditkartendaten und persönlichen Informationen werden auch in diesem Jahr die Zahl der Spear-Phishing-Angriffe und der zielgerichteten Attacken rasant ansteigen lassen. Mittlerweile kursieren derart viele vertrauliche und sensible Informationen im Untergrund, dass Cyberkriminelle anhand dieser Informationen in der Lage sind, spezifische individuelle Profile zu erstellen.
Cyberkrieg Aggressive Akte dieser Art werden zwischen immer mehr Nationen stattfinden, nicht nur zwischen den USA und China, aber auch. Von der Mehrzahl solcher Angriffe gegen Regierungsinfrastrukturen oder als Teil großangelegter Wirtschaftsspionage werden wir vermutlich nicht einmal etwas erfahren. Aber ganz offensichtlich ist das Internet auch aus Politik und strategischer Kriegführung nicht mehr weg zu denken.
Internet of Things Heutzutage ist praktisch jeder mobil unterwegs und wickelt Arbeitsprozesse und Transaktionen entweder über sein Smartphone oder ein WLAN-fähiges Tablet ab. Der überwiegende Teil der Malware, die sich gegen mobile Endgeräte richtet, hat Android im Visier. Das Betriebssystem hat schlicht und ergreifend die weltweit meisten User. Zudem ist die Plattform besonders offen konzipiert. Internetkriminelle gehen traditionsgemäß dahin, wo zahlenmäßig am meisten zu erwarten ist.
BYOD Keine Liste potenzieller Bedrohungen wäre komplett ohne BYOD. BYOD wird propagiert, weil es Kosten spart und Mitarbeiter produktiver und effizienter arbeiten. Allerdings bringt BYOD gerade für die IT-Abteilungen Herausforderungen mit sich, die zu bewältigen der Quadratur des Kreises ähnelt. Unternehmen müssen eine Strategie entwickeln und Richtlinien umsetzen, die zum jeweiligen Anforderungsprofil passen. Zu den zu berücksichtigenden Sicherheitsaspekten gehören: starke Passwortrichtlinien, Verschlüsselung, Geräte-Management, Zugriffskontrollen und so weiter.
Wearables Dann sind da noch die Wearables. Und es werden immer mehr. Aber sie werden genauer unter die Lupe genommen. Die Benutzer fragen sich zunehmend, wo eigentlich alle die Daten landen, die sie übermitteln. Der Markt für Gesundheits- und Fitness-Apps boomt. Genauso wie der für Wearables aller Art. Mit ihrer steigenden Popularität steigt aber das Sicherheitsrisiko für hoch vertrauliche und sensible Daten. Unter Umständen verursacht durch simple Fehler bei den Privatsphäre-Einstellungen.
TOR Auch als "Dark" oder "Deep Web" bezeichnet, hat TOR an Attraktivität gewonnen. Das Versprechen der Anonymität zieht dabei legitime Nutzer genauso an wie Kriminelle. Neben guten Gründen, die für ein anonymes Netzwerk sprechen, gibt es eine ganze Reihe illegaler Aktivitäten, die sich diesen Schutz ebenfalls zunutze machen. Dazu gehören Verstöße gegen Handelsabkommen, Urheberrechts- und andere Gesetzesverstöße, Foren, in denen mit gestohlenen Kreditkartennummern gehandelt wird, Hacking-Dienstleistungen und Malware aller Art.
Unbekannte Schwachstellen Bisher nicht veröffentlichte Schwachstellen in beliebten Plattformen und gängigen Protokollen werden weiterhin das Ziel von Angreifern sein. Die letzten Jahre haben uns mit einigen Beispielen für solche schwerwiegende Sicherheitslücken in der Kommunikation konfrontiert.
Mobile Zahlungssysteme Mobile Zahlungssysteme arbeiten intensiv daran, digitale Zahlungen sicherer zu machen. Dazu tragen Dienste wie ApplePay, Google Wallet und CurrentC bei. Anbieter versuchen seit einer geraumen Zeit das Verbraucherverhalten in Bezug auf mobile finanzielle Transaktionen durch Technologien wie die Nahfeld-Kommunikation NFC oder das "virtuelle Portemonnaie" zu verändern. Die Early Adopter-Phase verlief nicht allzu glücklich und ließ noch einiges zu wünschen übrig.
Cloud-Speicher Die private Nutzung von Dropbox, OneDrive, Box, Google Drive oder anderen Speicherlösungen in der Cloud führt automatisch zu einem höheren Risiko. Und das für private Daten genauso wie für Unternehmensdaten und Dateien, die in solchen Cloud-Lösungen gemeinsam abgespeichert werden. Dabei sollte nicht unerwähnt bleiben, dass Cloud-basierte Backup-Lösungen nicht vor Ransomware schützen. Eher ist es sogar so, dass etliche Ransomware-Angriffe (wie CryptoLocker) sich auf kostenfreie Dienste wie Dropbox verlassen haben, um ihre schädliche Fracht zu verbreiten.
Die wichtigsten Aufgaben des CISO
Strategische Planung und Entwicklung von Konzepten, Standards und Richtlinien für die Informationssicherheit;
Technische Implementierung von IT-Sicherheit;
Steuerung und Koordination der Sicherheitsmaßnahmen unter Berücksichtigung marktüblicher Standards (IS-Prozessmanagement, ITIL, ISO 27001, COBIT etc.);
Koordinierung und Training der Sicherheitskoordinatoren der Fachbereiche;
Incident und Configuration Management;
Kontinuierliche Analyse und Optimierung der IT-Sicherheitsstrategien in Anlehnung an die Geschäftsprozesse;
Analyse und Bewertung der Risiken für die Informationssicherheit (bereichs- und standortübergreifend);
Planung und Umsetzung der Sicherheitskonzepte in enger Zusammenarbeit mit den Fachabteilungen und IT);
Durchführung/Betreuung und Begleitung von Audits;
Begleitung der Projektarbeit und der Realisierung;
Prävention: Organisation und Koordination von Sensibilisierungs- und Schulungsmaßnahmen zum Thema Informationssicherheit.