Verschiedenste Fähigkeiten

Informationssicherheitsbeauftragte (ISB) oder auch CISOs (Chief Information Security Officers) benötigen eine Reihe an Fähigkeiten um ihr Aufgabengebiet effektiv und effizient abdecken zu können.

Verständnis für das Unternehmen, bzw. für die die Organisation

Erfolgreiche ISB müssen sich heutzutage von den vorhergehenden Generationen von ISB abheben, indem sie ein gutes Verständnis für die jeweilige Organisation einschließlich Zielen, Herausforderungen, Branchen-Spezifika und auch Wettbewerbern über den abgegrenzten Bereich der Informationssicherheit hinaus entwickeln. Von den Mitgliedern der Geschäftsleitung oder Vorständen wird erwartet, dass sie jeden Bereich des Unternehmens verstehen, hinterfragen und zu ihm beitragen (auch wenn er nicht direkt zu ihrem unmittelbar abgegrenzten Aufgabenbereich gehören sollte). Analog sollte sich die Situation auch im öffentlichen Sektor bei beispielsweise Dienststellenleitungen darstellen.

Ein moderner ISB muss sich daher aktiv in die Lage versetzen, diesen Gesamt-Überblick ebenfalls zu erhalten - auch wenn dies vornehmlich im Kontext der Informationssicherheit (“mit der Informationssicherheits-Brille auf der Nase”) geschehen wird. ISB denen dies nicht gelingt, werden weiterhin als sehr technische Fachkräfte angesehen werden, die einer Führungskraft unterstellt werden und deren Aussagen schlimmstenfalls von Entscheidern in einem Unternehmen als unverständliche, fachliche Äußerungen interpretiert werden können.

Ohne Verständnis der umfassenden Geschäftstätigkeit einer Organisation werden ISB kaum von der obersten Führungsebene wahrgenommen werden und die benötigte Rückendeckung zur Erfüllung ihrer Aufgaben erhalten. Zur Entwicklung dieser Fähigkeiten muss ein ISB zwangsläufig über den eigenen Tellerrand hinaus schauen.

Kontinuierliches Lernen

Da sich Informationssicherheits-Risiken und Angriffsvektoren ständig verändern, müssen ISB eine kontinuierliche Lernbereitschaft an den Tag legen, um sich an neue Entwicklungen anpassen zu können. Jeder gute ISB verbringt einen großen Teil seiner Zeit damit, zu verstehen, wie sich die derzeit bekannten Sicherheitslücken mit der sich entwickelnden Bedrohungslandschaft überschneiden und wie man die Sicherheitslage des Unternehmens ständig verbessern kann.

Informationssicherheit ist ein ständiges Katz- und Mausspiel, bei dem man für einen nachhaltigen Erfolg sowhl strategische Überlegungen anstrengen als auch auf dem neuesten Stand der Technik sein muss.

Heutzutage gehört es ebenfalls dazu, sich bezüglich der zahlreichen aktuellen und künftigen Vorschriften, Verordnungen, Gesetze und Regeln zur Informationssicherheit auf dem aktuellen Stand zu halten. Ein reiner Fokus auf technische Neuerungen gehört der Vergangenheit an. In Bezug auf den fortwährenden Technologiewandel muss auch bezüglich regularischer Aspekte Schritt gehalten werden.

Effektive Kommunikation

Die Fähigkeit, auch ein „technisches“ Thema effektiv und zugänglich gegenüber den verschiedenen Beteiligten kommunizieren zu können ist ein wesentlicher Schlüssel zum Erfolg in der Informationssicherheit. Umgekehrt ist es ebenso wichtig, “geschäftlich-unternehmerische” Themen verständlich für technische Fachleute vermitteln zu können. Ohne die Entwicklung von Fähigkeiten mit verschiedensten Akteuren in deren “verständlicher Sprache” zu kommunizieren, werden moderne ISB selten erfolgreich sein können.

ISB entwickeln, etablieren und leiten komplexe Informations-Sicherheitsprogramme, die oftmals Auswirkungen auf alle Aspekte einer Organisation haben. Die an dieser Stelle benötigte Kommunikation umfasst sämtliche Facetten: von Motivation und Führung eines eigenen Teams über die Förderung einer sicherheitsbewussten Kultur im gesamten Unternehmen bis hin zum effektiven Management sicherheitsrelevanter Vorfälle und Krisen über viele verschiedene Organisationseinheiten hinweg.

Kommunikation ist in alle Richtungen gefragt. Mit Entscheidern muss bezüglich der Freigabe von benötigten Ressourcen kommuniziert und gegenüber Beschäftigten muss ein möglichst informativer Sprachstil gewählt werden, um beispielsweise in Bezug auf drohende Informationssicherheits-Risiken zu sensibilisieren oder abstrakte Konformitäts-Anforderungen verständlicher zu machen. Gut und gerne die Hälfte der Arbeit eines ISB besteht darin, Ideen, Möglichkeiten, Bedenken und Pläne an eine Vielzahl von internen und externen Beteiligten zu kommunizieren.

Gelingt keine gute Kommunikation, werden die Anliegen der Informationssicherheit nicht verstanden und im Schlimmsten fall wird der ISB ausschließlich als lästiger “Nein-Sager” wahrgenommen.

Nervenstärke

Krisenmanagement ist in der Position eines ISB gang und gäbe. Die Bearbeitung von Ereignissen und Bewältigung von Sicherheitsvorfällen gehört oftmals bereits zum Tagesgeschäft.

Beschäftigte eines Unternehmens werden sich zudem im Falle von Krisenereignissen möglicherweise vom ISB anleiten lassen. Aus diesem Grund muss ein ISB Vertrauen in seinen Führungsansatz besitzen und auch ausstrahlen, wenn er eine Strategie zur Reaktion auf Krisen entwickelt und gemeinsam mit Beschäftigten in einer Organisation in die Umsetzung bringen muss.

Daher kann die Fähigkeit einen kühlen Kopf zu bewahren nicht hoch genug angesehen werden. Insbesondere die heutige Bedrohungslage in denen mitunter ganze Organisationen durch Angriffe nachhaltig lahmgelegt werden (beispielsweise durch Verschlüsselung), stellt umfangreiche Anforderungen an die Persönlichkeit und Resilienz moderner ISB.

Priorisierung von Aktivitäten

ISB oder Informationssicherheits-Teams stellen eine Kostenstelle in der Organisation dar. Öfter als einem lieb ist wird man sich in der Rolle eines ISB gezwungen sehen, mit suboptimalen Budgets arbeiten zu müssen.

Eine Priorisierung von Arbeiten stellt bis zu gewissen Grenzen sicher, dass ein ISB auch bei einem niederschwelligen Investitionsprogramm mit den Unternehmenszielen konform gehen kann, Ressourcen effektiv zuweist, die wichtigsten Risiken priorisiert angeht und die Erwartungen interner und externer Beteiligten im Rahmen des Möglichen erfüllen kann.

Wenn die Priorisierung schlecht oder sogar fehlerhaft gestaltet wird, kann dies im Gegenzug zu verringerten Ressourcenflüssen in Informationssicherheitsprojekte, in das gesamtheitliche Informationssicherheits-Management-System, zukünftig reduzierten Budgets, unnötigen negativen Auswirkungen auf die Organisation und Nicht-Einhaltung von Vorschriften führen. Im Endeffekt wird eine fehlerhafte Priorisierung im Ergebnis die Verschwendung von Zeit bedeuten.

Man kann Kosten zur Vermeidung von Risiken im Vorhinein abschätzen, aber man kennt nie die tatsächlichen Kosten dieser Risiken. Besonders Dinge, die nicht passieren, lassen sich nur schwer in greifbare Einsparungen umwandeln. Auch dieser Umstand kann sich letztlich auf das Budget eines ISB auswirken.

Technisches Verständnis

Ein ISB muss in den meisten Fällen nicht das technisch versierteste Mitglied einer Organisation oder des Informationssicherheits-Teams sein. Allerdings muss man in dieser Rolle durchaus aktuelle Bedrohungen der Informationssicherheit, Verteidigungsmechanismen, Verteidigungstechniken und neu aufkommende Technologien verstehen und bewerten können. Ansonsten wird es kaum möglich sein fundierte Entscheidungen zu treffen, ein Team effektiv zu leiten und die eigene Glaubwürdigkeit als ISB zu wahren.

Der technische Schutz wertvoller Unternehmensressourcen ist im Cybersicherheitsumfeld von sehr hoher Wichtigkeit. Es ist entscheidend, dass auch in diesem Bereich die richtigen Fähigkeiten und das richtige Wissen für die Rolle als ISB vorhanden sind. Ansonsten befindet sich der ISB möglicherweise in Besprechungen auf verlorenem Posten und setzt die Organisation vermeidbaren Risiken aus.

Abschließender Gedanke

Das Portfolio aus Fähigkeiten und Fertigkeiten eines ISB ist vielfältig und muss dem Ziel der fortwährenden Anpassung an sich verändernde Gegebenheiten Rechnung tragen. Die hier genannten Punkte stellen keinenfalls das vollumfängliche Bild dar. Sie sollen ledigleich Impulse geben, um über verschiedene Herausforderungen nachzudenken, denen sich ein moderner ISB stellen muss.