Vor ein paar Monaten habe ich nachgerechnet. Ich bin seit rund 10.000 Tagen in der Cyber-Sicherheitsbranche tätig. Dieser Meilenstein klingt gewaltig, bis man sich bewusst wird, wie schnell aus Tagen Jahrzehnte werden. Dieser Gedanke hat mich dazu inspiriert, auf diese Zeit zurückzublicken, nicht nur für mich selbst, sondern für unsere gesamte Branche. Während die Hauptbedrohungen, mit denen wir konfrontiert sind – Malware, Denial-of-Service- und Meddler-in-the-Middle-Angriffe –, immer die gleichen bleiben, hat ihr Umfeld sich völlig verändert. Damit meine ich nicht nur die Geschwindigkeit, das Ausmaß und die Raffinesse der Bedrohungen und unsere Rolle als Verteidiger, sondern auch die strategische Notwendigkeit, unser Sicherheitsdenken zu ändern.
Harte Lektionen, aber eine fundamentale Erfahrung
Mein eigener Weg begann mit einem ungewollten campusweiten Chaos. Mitte der 90er Jahre erhielt ich als Informatikstudent an der Purdue University eine Aufgabe zur Interprozesskommunikation. Ziel war es, ein Programm zu schreiben, das sich über verschiedene Prozesse hinweg selbst replizieren kann. Die Herausforderung hat mich so gefesselt, dass ich beschloss, einen Schritt weiterzugehen: Was wäre, wenn ich es über mehrere Rechner im Netzwerk replizieren könnte?
Ich hielt das für eine geniale Idee und entwickelte ein Programm, das genau das tat. Es war nicht bösartig, es stahl weder Daten noch löschte es Dateien. Als Lernexperiment fügte ich sogar die harmlose Pop-up-Meldung „Hallo, Erdlinge“ hinzu, um zu prüfen, ob das Programm ausgeführt worden war. Sie können sich wahrscheinlich denken, was dann geschah. Das Programm verbreitete sich allmählich in fast allen Computerräumen auf dem Campus. Die Rechner stürzten unter der unerwarteten Belastung ab, und innerhalb weniger Stunden musste die IT-Abteilung das gesamte Netzwerk abschalten.
Nachdem ich die Tat gebeichtet hatte, bestrafte mich die Universität nicht, was ihr hoch anzurechnen war. Stattdessen arbeiteten sie mit mir zusammen, um einen Kill Switch zu entwickeln und die Schwachstelle zu verstehen. Das war eine fundamentale Erfahrung für mich. Ich habe gelernt, dass man nicht unbedingt alles tun sollte, nur weil man es kann. Vor allem aber habe ich gelernt, wie wichtig Sicherheitsmaßnahmen, Kontrollen und gute „Bremsen“ sind, wenn man einmal zu schnell unterwegs ist. Auch 10.000 Tage später müssen wir Entwickler immer noch lernen, Sicherheit von Beginn an in den Entwicklungszyklus zu integrieren, statt sie als Hindernis auf dem Weg zur Innovation zu betrachten.
Der CISO: Vom Techniker zum Mitglied der Geschäftsleitung
Als ich meine Karriere begann, gab es den Beruf des CISO noch gar nicht. Wir waren Sicherheitsmanager und konzentrierten uns fast ausschließlich auf das Netzwerk und die Endpunkte. Heute ist der CISO zu einem wesentlichen Akteur der digitalen Transformation geworden. Dieser Wandel hat sich nach der Corona-Krise dramatisch beschleunigt. Als sich das Unternehmen an uns wandte, um sicheres mobiles Arbeiten zu ermöglichen, war dies der erste Schritt.
Ein moderner CISO kann nicht mehr nur ein Technologieexperte sein, der unüberlegt das neueste und beste Tool erwirbt. Ich habe beobachtet, dass sich die erfolgreichsten Führungskräfte in vier Schlüsselbereichen weiterentwickeln:
- Strategische Verschiebung: Sie haben sich vom Techniker zur Führungskraft entwickelt und sind in der Lage, auf Leitungsebene zu diskutieren und die geschäftlichen Risiken zu quantifizieren.
- Erweiterung des Wirkungskreises: Ihr Fokus hat sich über die Grenzen des Unternehmens hinaus erweitert und umfasst nun auch das Management von Risiken, die durch die Zusammenarbeit mit Drittparteien entstehen, sowie die Integration von Datenschutz und Compliance. Sie haben verstanden, dass ein Unternehmen immer nur so stark ist wie sein schwächster Zulieferer.
- Optimierung von Investitionen: Sie sind wahre Haushaltsgurus und konzentrieren sich auf die Ermittlung des ROI und die Optimierung des Technologieportfolios, anstatt einfach wahllos neue Produkte anzuschaffen.
- Führungsqualitäten und Krisenmanagement: Die besten CISOs, die ich kenne, sind arbeitsliebende Allrounder. Sie kennen sich mit DevOps, Finanzen und Recht aus und setzen sich für die Sicherheit im gesamten Unternehmen ein. Zudem sind sie Experten für Krisenmanagement und haben den unvermeidlichen Zwischenfall bestens eingeübt und vorbereitet.
Nicht nur Konsolidierung, sondern Plattformisierung
Unternehmen haben jahrelang versucht, das Problem der Komplexität zu lösen, indem sie Dutzende branchenführende Produkte miteinander verbanden. Das habe ich in meinen früheren Positionen oft genug miterlebt. Das Ziel war, eine „Plattform“ zu schaffen, doch in Wirklichkeit entstand ein Wirrwarr aus unterschiedlichen Tools, die auf keiner Ebene richtig zusammenarbeiteten – weder, was die Richtlinien, noch, was die Kontrolle oder Transparenz betraf. Es hat nicht funktioniert, weil das Problem gespiegelt – und nicht gelöst – wurde.
Als unser CEO Nikesh Arora den Begriff „Plattformisierung“ prägte, kristallisierte sich ein dringend benötigtes Konzept für die Branche heraus. Diese Art der Plattformisierung beruht nicht nur auf Konsolidierung; Konsolidierung ist nur eines der vielen Resultate dieser Entwicklung.
Bei einem echten Plattformansatz geht es um die Rationalisierung der Abläufe über ein einziges, nativ integriertes System. Es geht darum, dieselben detaillierten, präzisen und umfassenden Daten zu nutzen, um Ihr Sicherheitsniveau auf ganzer Linie zu optimieren. Die Vorteile liegen auf der Hand:
- Einheitliche Sicherheit und betriebliche Effizienz: Sie sparen sich die Komplexität der Verwaltung von Dutzenden von Anbietern und isolierten Tools.
- Überlegene Analysefunktionen: Maschinelle Lernmodelle, die mit einem umfassenden Datensatz trainiert wurden, setzen Daten zueinander in Beziehung und liefern Ergebnisse, anhand derer Sie Bedrohungen vorhersehen und verhindern können.
- Nachweisbare Geschäftsvorteile: Sie können der Unternehmensleitung demonstrieren, dass Reaktionszeiten verkürzt, der Aufwand für die Zusammenarbeit mit den Anbietern reduziert und Compliance leichter erreicht werden kann, wenn die Sicherheit als geschäftsfördernder Faktor und nicht als Kostenstelle betrachtet wird.
Die nächsten 10.000 Tage
Die Zukunft lässt sich nur schwer vorhersagen. Eines werden CISOs – oder vielleicht auch Chief AI Security Officers – aber in jedem Fall brauchen: eine flexible Denkweise. Die Zukunft des SOC sollte zu 100 % automatisiert sein. Derzeit sind persönliche AI-Agenten im Kommen, die unsere Kalender und unsere Kommunikation verwalten können. Da scheint es nicht abwegig, sich einen solchen Agenten auch für unsere persönliche Sicherheit vorzustellen.
Unabhängig davon, ob sie von Angreifern oder Verteidigern eingesetzt wird: AI ist immer nur so effektiv wie die Daten, mit denen sie trainiert wurde. Das ist die grundlegende Tatsache. Um den entscheidenden Schritt voraus zu sein, müssen wir unsere defensiven AI-Modelle mit den besten, umfangreichsten und genauesten Cyber-Sicherheitsdaten trainieren.
Um unsere Strategien zukunftssicher zu gestalten, müssen wir eine Kultur des Sicherheitsbewusstseins fördern, in der wirklich jeder Mitarbeitende Verantwortung übernimmt. Jede Digitalisierungsinitiative, die nicht von Anfang an die Cyber-Sicherheit berücksichtigt, ist zum Scheitern verurteilt. Von jener panischen Nacht in einem Computerlabor der Purdue University bis hin zu den heutigen Führungsetagen bleibt die wichtigste Erkenntnis dieselbe: Bei der Entwicklung keine Bremsen vorzusehen, ist nicht innovativ, sondern einfach nur riskant. Die Herausforderung für die nächsten 10.000 Tage besteht darin, Resilienz und Zweckdienlichkeit ins Zentrum unserer Entwicklungstätigkeit zu stellen.
Mehr dazu erfahren Sie in unserem Threat Vector-Podcast.
Haben Sie Interesse an weiteren Beiträgen von Haider Pasha? Dann werfen Sie einen Blick auf seine anderen Blogbeiträge.
