Cyber-Sicherheit
Die Zeit des Nerdtums ist vorbei
Jörg Asma leitet den multinationalen Bereich Cyber Security & Privacy Europe bei der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC. Asma hat Elektrotechnik in Jülich und Aachen studiert.
Foto: Giulio_Fornasar - shutterstock.com
Viele Unternehmen haben gerade erst angefangen, in größerem Maße in Cyber-Sicherheit zu investieren und internes Personal aufzubauen, um mit der Vielfalt an Bedrohungen umzugehen. Keine leichte Aufgabe, denn es fehlt weltweit an qualifizierten Mitarbeiterinnen und Mitarbeitern. Eine Studie des US-amerikanischen Instituts of Standards and Technology kommt zu dem Schluss, dass bis zum Jahr 2022 mehr als 1,8 Millionen Arbeitskräfte fehlen, die für die Cyber-Abwehr dringend benötigt werden.
Gleichzeitig verändern sich bereits die Anforderungen an die bestehenden Cyber-Teams der Unternehmen. In einer aktuellen Befragung von weltweit 3.000 Unternehmen durch die Wirtschaftsprüfungs- und Beratungsgesellschaft PwC haben 76 Prozent angegeben, dass die Mitarbeiterinnen und Mitarbeiter in der Cyber-Abwehr sich signifikant verändern müssen, um mit den Anforderungen des operativen Geschäfts mithalten zu können. Jedes fünfte Unternehmen hat sogar unterstrichen, dass es diese Veränderungsnotwendigkeit für 'sehr signifikant' halte. Nur 19 Prozent glauben, wenig verändern zu müssen - und nur gerade einmal zwei Prozent halt dies für überhaupt nicht notwendig.
Fünf Veränderungsanlässe und Treiber sind dabei als besonders relevant benannt worden, die ich an dieser Stelle genauer beleuchten möchte.
1. Engere Einbindung in geschäftliche Prozesse
Mit 72 Prozent hat eine deutliche Mehrheit als das wichtigste Veränderungsfeld eine deutliche stärkere Einbindung der Cyber-Spezialisten in die geschäftlichen Prozesse benannt. Kein Wunder, denn sieht die Realität, die ich im Beratungsalltag immer wieder erlebe, häufig noch so aus: Geschäftsmodell oder Produkt werden entworfen, Lieferketten designt, Marketing aufgesetzt, Preise verabredet. Und ganz am Ende kommt dann noch die Frage an die Cyber-Sicherheit: 'Könnt ihr da mal drüberschauen und das so sicher wie möglich machen?'
Die übliche Reaktion: 'Machen wir gern, aber wir haben leider schlechte Nachrichten für euch: Da müssen wir noch einmal grundlegend ran.' Die Konsequenz: Der Release verzögert sich, die Kosten steigen mehr oder wenig dramatisch an, dem Management kommen Zweifel - und die Cyber-Sicherheit steht im besten Fall als ernstzunehmender Bedenkenträger, im Normalfall als Geschäft verhindernder Verzögerer dar. Das muss sich grundlegend ändern.
Cyber-Sicherheit muss nach dem "Security-by-Design"-Prinzip vom ersten Moment an stets mitgedacht und in alle Prozesse miteinbezogen werden, angefangen von der initialen Entscheidung im Top-Management. Eine solche intensive Einbindung bedeutet für das Cyber-Personal aber auch: Der Elfenbeintrum hat ausgedient. Wer künftig in den Prozessen auf Augenhöhe mit seinen Peers aus dem operativen Geschäft sprechen und diese adäquat beraten möchte, der muss neben einem tiefen Verständnis für Technologie und Sicherheitsthemen ein Business-Denken und eine darauf aufbauende Sprache entwickeln, um angemessen kommunizieren zu können.
2. Risikomanagement von Dritten
Je mehr Komponenten zugeliefert werden, je vernetzter die Supply Chain - desto größer wird das RisikoRisiko, über Dritte kompromittiert zu werden. Vor allem dann, wenn IT-Systeme miteinander gekoppelt werden. Dann kann es plötzlich möglich werden, dass durch eine Unachtsamkeit eines Mitarbeiters seitens eines Zulieferers die Firewalls durch Hacker überwunden werden und der Zugang ausreicht, um auch in die eigenen Systeme einzudringen. Darum haben 64 Prozent der Unternehmen angegeben, dass Risikomanagement von Drittparteien künftig eine entscheidende Rolle spielen wird. Alles zu Security auf CIO.de
Wie das Beispiel zeigt reicht eine rein technische Antwort auf diese Fragestellung nicht aus. Vielmehr ist es notwendig, Dritte einer Untersuchung auf Cyber-Risiken zu unterziehen, Schwachstellen zu identifizieren und Entscheidungen zu treffen, mit wem man in welcher Art und Weise zusammenarbeiten kann. Auch dabei muss gelten: Die Cyber-Abteilung darf nicht als Verhinderer, sondern muss als Ermöglicher wahrgenommen werden.
Das bedeutet für die Mitarbeiterinnen und Mitarbeiter in der Cyber-Sicherheit: Nicht nur das Erlernen, in internen Strukturen und Prozessen künftig eine andere Präsenz zu zeigen ist notwendig. Sondern auch eine Fähigkeit, mit Externen zu kooperieren und gemeinsame Lösungen zu entwickeln. Dies bedarf über das bereits postulierte Business-Denken und eine andere Sprache hinaus vor allem einer gehörigen Portion Einfühlungsvermögen, Empathie und Verhandlungsgeschick.
Denn es verhält sich wie immer, wenn die hierarchischen Verhältnisse nicht eindeutig geklärt sind: Auch ein Lieferant hat seinen Stolz, ihm können nicht einfach Maßnahmen verordnet werden, die künftig umzusetzen sind. Vielmehr gilt es die genauen Herausforderungen zu benennen und gemeinsam spezifische Lösungen zu erarbeiten, um die andere Seite integrativ zu beteiligen. Ein ausgeprägtes Kooperationsvermögen wird darum künftig notwendig sein.
3. Automatisierung, KI und neue Technologien
Während aus meiner Sicht die beiden ersten Themen deutlicher Kompetenzentwicklung in den Cyber-Einheiten der deutschen Unternehmen bedeuten, ist die dritte Priorität der Unternehmen (49 Prozent) mutmaßlich leichter zu lösen - obwohl sie technisch deutlich anspruchsvoller und komplexer ist. Es geht um die Einführung von Automatisierung, der Nutzung von Künstlicher Intelligenz und der Weiterentwicklung der eingesetzten Technologien.
Die meisten Cyber-Teams bestehen heute zum Großteil aus IT- und Digitalspezialisten sowie Technikern. Abseits von Entwicklern, über die nicht jedes Unternehmen verfügt, ist die Sicherheitsabteilung oft die technischste. Darum steht das Thema - auch ganz ohne Anforderung seitens des Managements - bereits auf der Agenda und wird kontinuierlich weiterentwickelt. Bisher galt: Was technisch möglich ist, wird spätestens mittelfristig implementiert.
Meine Empfehlung an die Cyber-Verantwortlichen: Nutzen Sie dieses Thema nicht nur, um Effizienzgewinne zu erzielen. Sondern setzen Sie es auch bewusst ein, um im Unternehmen den eigentlichen Wert von Cyber-Sicherheit zu verdeutlichen. Ein Beispiel: Mittlerweile gibt es selbst lernende, intelligente Lösungen zur Klassifizierung von Daten. Das automatisierte Klassifizieren und spätere Auffinden dieser Daten spart Mitarbeiterinnen und Mitarbeitern viel Zeit und gibt Freiheit, sich auf andere Themen zu konzentrieren. Das zu vermitteln halte ich für die eigentlich wesentliche Kompetenzanforderung bei dieser Veränderung, weniger die Aneignung des technischen Know-hows.
4. Holistische Risiko-Betrachtung
Stellt man die Frage, wer denn in Unternehmen für 'Risk' verantwortlich ist, bekommt man zumeist sehr unterschiedliche Antworten - je nachdem, wen man fragt. Der Grund: Das Thema ist häufig nicht zentral gesteuert oder koordiniert, sondern findet in unterschiedlichen Unternehmensbereichen statt. Finanzielle Risiken, juristische Risiken, logistische Risiken, IT-Risiken, etc. Und obwohl all diese Risikofelder eng miteinander verknüpft sind, haben nur wenige Unternehmen stand heute eine echte Transparenz über all diese vorliegen.
Der erste Schritt in eine solche Transparenz und Koordination ist gerade bei Konzernen gemacht: Da gibt es den ein oder anderen Chefjustiziar, der auch im Vorstand sitzt und gleichzeitig für Recht und Compliance zuständig ist, ebenso existiert auch eine Berichtslinie zum finanziellen Risiko. Darin wird sich künftig auch die Cyber-Sicherheit einreihen müssen, denn sie betrifft bei zunehmender Digitalisierung künftig so gut wie jeden geschäftlichen Prozess.
Neben der Fähigkeit, mit dem operativen Geschäft zusammenarbeiten zu können, wird es darum auch notwendig sein, mit Juristen und Compliance-Spezialisten einen Modus der Zusammenarbeit zu entwickeln. Erneut bedarf es dem Erlernen einer weiteren Sprache und dem Ausbau der kommunikativen SkillsSkills. Insgesamt 37 Prozent der Befragten haben diese Entwicklung als Top-Priorität benannt. Alles zu Skills auf CIO.de
5. Direkter Bericht an das Top-Management
Für 21 Prozent der befragten Unternehmen hat die Berichtsfähigkeit an das Top Management einen sehr hohen Stellenwert. Es geht damit Hand in Hand mit den bisher bereits beschriebenen Trends: Wer mit dem Top Management kommunizieren will, muss verstehen wie dort gedacht und gesprochen wird. Dazu gehört: Dass die 'Opportunity' gern dem 'Risk' vorgezogen wird. Und dass Mitarbeiterinnen und Mitarbeiter, die als Verhinderer empfunden werden, deutlich weniger Bedeutung erlangen als diejenigen, die sich als Ermöglicher empfehlen.
Ich persönlich empfehle seit Jahren, der Cybersicherheit einen Platz am Cheftisch zu ermöglichen - aber das kann natürlich nur klappen, wenn sie auch die richtigen Kompetenzen mit an diesen Tisch bringt. Und die müssen über das Fachliche weit hinaus gehen.
Entscheidende Beobachtung: Die eigentliche Herausforderung für die Cyber-Abteilungen von heute wird nicht die technologische Entwicklung sein. Denn da sind Cyber-Kämpfer zu Hause, da fühlen sie sich wohl. Das haben sie drauf. Die Soft Skills sind es, auf die es künftig ankommt, um die Hard Skills effektiver und effizienter einsetzen zu können.
Eine Übung, die schon lange hätte von Seiten der Cyber-Abwehr kommen sollen - wo man sich aber allzu lang hinter technischen Argumenten versteckt hat. Heute wird die Veränderung vom Business gefordert. Das mag dem ein oder anderen nicht gefallen, wird aber trotz des vorherrschenden Personalmangels als zusätzliche Anforderung für jegliche Form von persönlicher Entwicklung das wichtigste Kriterium werden. Die Zeit des Nerdtums ist vorbei.