Matej Kastelic | shutterstock.com
Als Chief Information Security Officer (CISO) habe ich den Wandel der Cybersicherheit von einer IT-Nischenfunktion zu einer Priorität auf Vorstandsebene direkt miterlebt. Dieser Entwicklung zum Trotz fehlt es dennoch oft an Tiefe und Präzision, wenn es darum geht, was in der Cybersecurity-Praxis wirklich notwendig ist. Im Kern sollte es darum gehen, IT-Systeme vor unbefugten Eingriffen und Angriffen zu schützen.
Inzwischen ist der Begriff der Cybersicherheit jedoch durch diverse Inhalte verwässert worden, die zwar mit Sicherheit zu tun haben, im Wesentlichen aber nur von den wirklich erfolgskritischen Aufgaben ablenken, die effektiv Risiken mindern und Systemintegrität sicherstellen.
Komplexe Realität, simple Lösungen?
Diverse Online-Artikel nutzen legitime Security-Themen als Aufhänger, lassen dann jedoch relativ zügig erkennen, woher der Wind weht, wenn bestimmte Anbieter-Tools als die ultimative Problemlösung angepriesen werden. Und die vermeintlich wertvolle Diskussion verwandelt sich in einen unverhohlenen Sales Pitch, bei dem Buzzwords zwar intensiv genutzt aber eher nicht erklärt werden. Diese Verlagerung von echten Security-Insights hin zu kommerziellen Interessen kann Unternehmen dazu verleiten, in Security-Lösungen zu investieren, die unter Umständen weit weg von ihren individuellen Herausforderungen sind. Schlimmer noch, verstellen solche oberflächlichen “Diskussionen” den Blick auf die komplexe Cybersecurity-Realität und suggerieren, dass raffinierte Bedrohungen mit einfachen One-Size-Fits-All-Lösungen ausgeschaltet werden können.
Natürlich spielen fortschrittliche Technologien in Cybersicherheits-Toolkit weiterhin eine strategische Rolle, insbesondere in den Bereichen Continuous Monitoring, Threat Detection sowie Incident Response. Wenn diese Technologien allerdings dazu beitragen sollen, Bedrohungen effizienter zu erkennen, müssen sie sorgfältig ausgewählt und mit dem Knowhow erfahrener Sicherheitsexperten kombiniert werden. Technologie ist also kein Allheilmittel sondern vielmehr ein ergänzender Layer, der die Wirksamkeit herkömmlicher Sicherheitsmaßnahmen erhöhen und dynamische Verteidigungsfähigkeiten sicherstellen kann.
Cybersicherheit ist in der Praxis das unermüdliche Streben danach, die sich ständig weiterentwickelnden Bedrohungen zu verstehen und zu entschärfen. Das ist eine Disziplin, die tiefgehendes Knowhow erfordert, wenn es um Systeme, Netzwerke und menschliches Verhalten geht. Natürlich sind auch Vertrieb und Marketing notwendig, um den Verkauf und die Adoption von Sicherheitslösungen voranzutreiben und Marktbedürfnisse zu befriedigen. Fakt ist aber auch: In diesem Bereich ist nicht die gleiche technische Raffinesse und Hands-On-Mentalität notwendig wie in der Praxis. Deshalb ist es essenziell, zwischen diesen beiden Funktionen respektive Rollen zu unterscheiden.
Als Hüter der Cybersicherheit ist es unsere Pflicht, diesen Bereich so zu definieren, dass die grundlegenden Tätigkeiten im Vordergrund stehen. Es gilt, eine Community zu kultivieren, die mehr Wert auf Tiefgang legt als auf oberflächliche, technologische Verlockungen. Dazu ist es auch nötig, die Diskussion wieder von der Spekulation über potenzielle Bedrohungen auf umsetzbare und effektive Verteidigungsstrategien zu lenken. Die Unternehmen müssen parallel einen kritischeren Ansatz verfolgen, wenn es um Investitionen in die Cybersicherheit geht: Sie müssen anerkennen, dass “echte” IT-Sicherheit nicht mit Massenware zu erreichen ist.
Führungskräfte sollten vorrangig Ressourcen schaffen, um robuste interne Cybersecurity-Fähigkeiten aufzubauen – inklusive qualifizierter Sicherheitsteams, umfassender Richtlinien und Continuous Monitoring. So verbessern sie nicht nur das Sicherheitsniveau ihrer Unternehmen, sondern tragen auch dazu bei, die Cybersicherheits-Rollen aufzuwerten. Darüber hinaus gilt es, die Behauptungen von Technologieanbietern in Frage zu stellen und rigoros auf Tests und Wirksamkeitsnachweisen zu bestehen, bevor neue Lösungen implementiert werden.
Quo vadis, Status Quo?
Den Status Quo in allen Bereichen der Cybersecurity zu hinterfragen, empfiehlt sich ganz generell, egal ob es um etablierte Industriestandards oder um populäre Cybersecurity-Events geht (die am Ende mehr einer Sales-Veranstaltung gleichkommen, als verwertbare Insights zu liefern).
Dazu sollten sich Cybersicherheits-Praktiker auch mehr bemühen, über entsprechende Plattformen zusammenzuarbeiten und miteinander in Kontakt zu treten. Das Ziel sollte darin bestehen, eine Community zu fördern, die sich den Prinzipien von Continuous Improvement und Shared Knowledge verschreibt. Nur so ist es möglich, das ganze Buzzword-induzierte Rauschen auszublenden, die Integrität der Security-Arbeit aufrechtzuerhalten und zu sinnvollen, effektiven Best Practices zu gelangen. (fm)
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
