IT-Führungskräfte und die Zukunft
CISOs und das Neue Normal: Herausforderungen und Rolle
Die zukünftige Rolle des CISOs
Von Christoph Volkmer, VP DACH bei Tanium
Die aktuelle Pandemie und der damit verbundene massive Anstieg der Mitarbeiter, die plötzlich von Zuhause aus arbeiten mussten und dies noch tun, hat Unternehmen weltweit vor ungeahnte Herausforderungen gestellt. Insgesamt war und ist das Aufkommen von COVID-19 ein weltweit spürbarer Schock, eine unvorhersehbare Kombination einer Wirtschafts- und Gesundheitskrise, dessen Auswirkungen Einfluss auf so gut wie jedes Unternehmen verschiedenster Branchen weltweit hat. Neben finanzieller Unsicherheit mussten Betriebe weltweit operativ plötzlich komplett neu denken und die Arbeit vom Homeoffice aus gewährleisten.
Auch in Deutschland war Remote Work Anfang des Jahres plötzlich allgegenwärtig: Laut einer Befragung des Digitalverbandes bitkom lag die Zahl der berufstätigen Umfrageteilnehmer, die ganz oder zumindest teilweise von Zuhause aus arbeiteten, bei ganzen 49 Prozent. Für einige der Arbeitnehmer war dies sogar völlig neu, denn 18 Prozent gaben an, dass Home Office in ihrem Betrieb vorher nicht möglich war, bei 15 Prozent war dies bereits teilweise eine Option und nur 3 Prozent arbeiteten vorher bereits komplett von Zuhause aus. Ist dies also ein Vorgeschmack auf das „Neue Normal“?
Dies liegt sehr nahe, wie auch eine vom Fraunhofer Institut im Mai gestartete und derzeit noch laufende Befragung suggeriert. Hierfür wurden 2.000 Teilnehmer befragt und der Trend bestätigt sich. Die Zufriedenheit mit der Arbeit von Zuhause aus liegt bei Führungskräften und ihren Mitarbeitern gleichermaßen bei 90 Prozent, anfängliche Nachteile haben sich über die Zeit ins Positive gewandelt. Dies gilt über eine Vielzahl an Branchen hinweg, allen voran für den IT-Sektor, gefolgt vom Bereich Finance. Die Zahlen sprechen also für eine klare Tendenz in Richtung mehr Remote Work und einer grundlegend neuen Kultur der Arbeitsorganisation und -kommunikation.
Vor „New Normal“: Alte Schwachstellen
Bei allen Vorteilen für Mitarbeiter und Führungsebene gab und gibt es weiterhin große Herausforderungen zu bewältigen. Schon vor der Pandemie Anfang des Jahres gab es in vielen Unternehmen etwa Schwachstellen im Bereich der IT-Security. Bevor das Virus auftauchte, waren die IT-Führungskräfte bereits über mehrere Herausforderungen besorgt. Die Lücken in der Endpunktsichtbarkeit waren so akut, dass 71 Prozent der Befragten einer im April erschienen Studie von Tanium angaben, wöchentlich bisher unbekannte IT-Assets zu finden. Die ausufernde Ausbreitung verschiedener Tools, Schatten-IT, isolierte IT-Teams und veraltete Technik wurden ebenfalls als zentrale Stolpersteine genannt.
Ein Großteil (53 Prozent) der Führungskräfte im Bereich IT war besorgt, dass diese Lücken ihr Unternehmen angreifbar für Cyberangriffe machen, zu Geldbußen aufgrund fehlender Compliance mit Regularien führen und Kunden dazu bringen könnten, sich vom Betrieb abzuwenden. In einer kürzlich erschienen Erhebung , ebenfalls unter IT-Führungskräften, schien sich die Sorge vor mehr Angriffen auf die IT-Sicherheit insbesondere durch COVID-19 zu bewahrheiten. 90 Prozent berichteten über einen Anstieg der Häufigkeit von Attacken. Die Sichtbarkeit neuer Geräte, eine überwältigte IT-Kapazität aufgrund von VPN-Anforderungen und erhöhte Sicherheitsrisiken durch Videokonferenzen waren die drei größten Security-Herausforderungen.
CISOs in Zeiten von Remote Work
Vor dem Hintergrund dieser Zahlen stellt sich die Frage, wie CISOs im Speziellen hiermit umgehen und wie sich die Rolle von IT-Sicherheitsverantwortlichen künftig ändern wird. Wird es auch hier ein „Neues Normal“ geben, also eine grundlegende Umwälzung der Arbeitsorganisation und Verantwortlichkeiten? Eine Sache, mit der CISOs sich in diesen Zeiten befassen müssen, ist die Tatsache, dass Mitarbeiter im Home Office beispielsweise anfälliger sind für Angriffe etwa durch Phishing – bei allen Vorteilen der Arbeit von Zuhause kann es durchaus zu Phasen kommen, in denen etwa die Vereinbarkeit von Arbeit und Familie schwer fällt und in Angestellte gestresst sind durch diesen Spagat. Dies führt zu einer höheren Anfälligkeit.
Das gleiche gilt auch für die IT-Security-Teams selbst – allgemein sind viele Teams es gewohnt, in einer SOC- oder NOC-Umgebung zu arbeiten. Diese sonst eher kollaborative Tätigkeit nun zum Teil Remote durchzuführen, ist ebenfalls eine Herausforderung. Ein weiterer Schwachpunkt betrifft Internet- und Anwendungszugang. Die Firmen, die bisher aufgrund von Problemen mit der Bandbreite und der Netzwerkleistung Split-Tunneling zulassen mussten, müssen ihre Patch-Updates über ein VPN bereitstellen. Aber jetzt, wo das VPN absolut übersättigt ist und für die Bereitstellung von Kerngeschäftsanwendungen genutzt wird, ist dies eine große Herausforderung.
Dies sind nur einige der Herausforderungen, mit denen sich CISO während der Pandemie beschäftigen müssen. Eine Änderung, die es in Zukunft geben könnte, was die Rolle des IT-Sicherheitsbeauftragten in der Krise betrifft ist die Tatsache, dass sich die Position immer mehr zu einer beratenden Funktion entwickeln wird. Während der COVID-19-Zeit ist die Rolle des CISOs, Kontrollmechanismen zu entwerfen und das Unternehmen bestmöglich zu beraten, wenn es um Risiken und Sicherheitspraktiken für diese neue, sehr spezielle Situation geht. Insgesamt kann man sagen, dass auch der CISO eine höhere Flexibilität mitbringen sollte und in der Zukunft sehr viel beratender agieren wird.
Fazit
Die Vermutung, dass die aktuelle Pandemie und der Zuwachs an Remote Work weltweit zu einem Ausbau von Homeoffice-Möglichkeiten führen wird, scheint sich nach aktuellem Stand zu bewahrheiten. Dies erfordert von allen Mitarbeitern eine erhöhte Flexibilität, bietet aber gleichzeitig auch Chancen und neue Entwicklungsmöglichkeiten. Dasselbe gilt auch für CISOs, denn während ihre Rolle alles andere als einfacher wird, etwa durch einen Zuwachs an Endpunkten, können IT-Sicherheitsverantwortliche sich gleichzeitig mehr beratend einbringen und gemeinsam mit anderen Mitgliedern der C-Ebene das „Neue Normal“ aktiv mitzugestalten. Wichtig ist hier zu betonen, dass Vorsorge besser ist als Nachsorge und Visibilität im Sinne der Endpunkte einer der wichtigsten Punkte sein wird, die darüber bestimmen ob Betriebe von Remote Work profitieren oder ob es für sie zur Gefahr wird – sowohl im Hinblick auf Cyberangriffe als auch unter Compliance-Gesichtspunkten.