Security-Anbietern stehen viele Wege offen, um CISOs und Sicherheitsentscheider mit Lobpreisungen und Angeboten zu ihren jeweils aktuellen Produkten und Lösungen zu penetrieren. Und die nutzen sie auch: Manche Sicherheitsverantwortliche erhalten mehr als 30 solcher Anfragen pro Woche – per Telefon, E-Mail oder auch über LinkedIn.

Um erkennen zu können, ob das potenzielle neue Produkt auch tatsächlich geeignet ist, müssen CISOs vor allem eines tun: die richtigen Fragen stellen. Für diesen Artikel haben wir mit mehreren erfahrenen Security-Entscheidern gesprochen, die genau wissen, welche das sind.

5 Fragen, die Sie (Security-)Anbietern stellen sollten

1. Wissen Sie über mein Business Bescheid?

Potenzielle Anbieter zu fragen, ob sie die spezifischen Herausforderungen des jeweiligen Unternehmens verstehen, gibt Aufschluss darüber, ob diese ihre “Hausaufgaben” erledigt haben, erklärt Amit Basu, CISO und CIO beim Logistikdienstleister International Seaways: “Ich erwarte, dass ein Anbieter Lösungen für die geschäftlichen Probleme meines Unternehmens vorweisen kann – und nicht nur eine Reihe generischer Funktionen für Probleme, mit denen andere Unternehmen konfrontiert sind.”

Dabei legt Basu nicht nur besonderen Wert darauf, dass die Anforderungen seines Unternehmens erfüllt werden. Für ihn sei auch essenziell, dass ein neues Tool keine technische Überlastung verursache: “Ein neues Produkt ist nur dann relevant, wenn es die Sicherheit eindeutig verbessert, vorzugsweise ein oder mehrere bestehende Tools ersetzt und einen echten betrieblichen Bedarf erfüllt.”

In der Wahrnehmung des Sicherheitsentscheiders verlagerten sich viele Anbieter eher darauf, magische Features anzupreisen, statt zu demonstrieren, wie ihr Produkt reale Security-Probleme löst: “Ich schätze Klarheit und Ehrlichkeit. Wenn ein Tool zwei Anwendungsfälle gut löst, ist das überzeugender als die vage Behauptung, es könne zwanzig lösen.”

In seiner Doppelrolle als CISO und CIO von International Seaways fokussiert sich Basu nach eigener Aussage vor allem darauf, sicherzustellen, dass Security integraler Bestandteil jeder neuen Technologie ist – und keine nachträgliche Überlegung. “Sie können mir kein Security-Produkt verkaufen, das auf veralteter Technologie basiert, die unser Tech-Stack nicht unterstützt. Die Integration muss nahtlos sein”, hält Basu fest.

2. Ist Ihr Produkt in der Lage, zu entlasten und den Betrieb zu optimieren?

Wichtig zu wissen ist für CISOs außerdem, ob und wie ein potenzielles neues Tool die Arbeitsbelastung für die Mitarbeiter reduzieren, Risiken minimieren, die Ausfallsicherheit verbessern oder Prozesse vereinfachen kann. So fragt Basu etwa konkret bei Anbietern nach, ob ihr Produkt in der Lage ist, Funktionen zu konsolideren: “Ist das nicht der Fall, handelt es sich nur um eine weitere, punktuelle Lösung, die die Kosten treibt und den Wartungsaufwand erhöht”, erklärt der Sicherheits- und IT-Chef.

Auch Joshua Scott, CISO beim Plattformanbieter Hydrolix, kennt dieses Problem: “Ich sehe allzu oft Produkte, die scheinbar Mehrwert bieten, aber letztendlich nur Lärm verursachen. Etwa Tools, um Schwachstellen zu erkennen oder andere Scan-Werkzeuge, die dem Team letztlich nur mehr Arbeit bescheren.”

Entsprechend fokussiert Scott nach eigener Aussage seine Fragen an Anbieter insbesondere auf die Bereiche:

Risikominimierung,

Ausfallsicherheit, und

Business Impact.

Das war jedoch nicht immer so, wie der CISO zugibt: “Anfangs habe ich solche Fragen nicht gestellt. Das kann dazu führen, dass Sie am Ende eine technisch beeindruckende Lösung haben, die kein Problem löst.”

3. Wie hoch ist der Integrations- und Wartungsaufwand?

Für Vasanth Madhure, CISO beim Softwareunternehmen Couchbase, zählen mit Blick auf neue Tools nicht nur die anfallenden Lizenzkosten, sondern auch die Implementierungs- und Schulungsanforderungen für das Security-Team. Deshalb möchte der Sicherheitsentscheider es ganz genau wissen: “Ich frage nach, wieviel Zeit und Aufwand für Konfiguration und Betrieb des Produkts konkret einzuplanen sind. Einige Produkte sind recht unkompliziert, andere erfordern jedoch umfangreiche Konfigurationen.”

Wie Madhure hinzufügt, sei es auch wichtig zu wissen, ob Updates automatisiert oder manuell erfolgen – schließlich wirke sich die laufende Wartung direkt auf die Arbeitsbelastung für die Mitarbeiter aus. “Ich schätze vor allem Tools, die klare, umsetzbare Reportings und aussagekraftige Dashboards bieten – und es idealerweise ermöglichen, den Reifegrad des Sicherheitsprogramms im Zeitverlauf zu tracken”, erklärt der CISO.

Darüber hinaus stellt der Couchbase-Manager auch sicher, keine bösen Überraschungen im Nachgang zu erleben: “Man will nicht in eine Lösung investieren, nur um dann navchträglich festzustellen, dass ein Upgrade auf eine Enterprise-Version nötig ist oder ein zusätzliches Produkt angeschafft werden muss, damit ein bestimmtes Feature funktioniert.“

4. Wie sieht Ihr Update-Zyklus aus?

Hydrolix-CISO Scott befragt Anbieter ausgiebig zu ihren Update-Zyklen – und das aus gutem Grund, wie er erklärt: “Ich möchte verstehen, wie Anbieter mit neuen Frameworks, Compliance-Vorschriften und Security-Herausforderungen Schritt halten. Insbesondere in sich schnell verändernden Bereichen wie Vulnerability Scanning oder GRC.”

5. Können Sie Ihre Aussagen mit praktischen Anwendungsfällen belegen?

Es empfiehlt sich zudem, Anbieter nach konkreten Beispielen dafür zu fragen, wie ihre Lösung bereits die Probleme gelöst hat, mit denen Sie selbst konfrontiert sind. “Support für etablierte Frameworks wie NIST CSF oder MITRE ATT&CK sind zwar nützlich. Noch wichtiger ist allerdings ein Nachweis über optimierten Schutz, verkürzte Erkennungs- und schnellere Reaktionszeiten oder auch geringere Kosten”, konstatiert Basu.

Um sicherzustellen, dass das potenzielle neue Tool keine Vaporware ist, eine schlechte Benutzeroberfläche aufweist oder mit umständlichen Funktionen enttäuscht, setzt Scott in erster Linie auf Live-Demos – und bezieht dabei auch sein Team mit ein: “CISOs verstehen vielleicht auf einer höheren Ebene, warum ein Produkt einen Mehrwert bietet. Aber es kann technische Details geben, die wir übersehen haben – oder etwas anderes, dass die Praktiker einfach besser einordnen können.”

4 Warnsignale, auf die Sie achten sollten

In einer Sache sind sich alle CISOs, mit denen wir gesprochen haben, einig: Es gibt Dinge, die im Rahmen von Sales Pitches oder anderen Angeboten sofort die Alarmglocken schrillen lassen sollten.Dazu zählen demnach insbesondere:

vage oder abwegige Behauptungen,

Panikmache, die darauf beruht Angst, Unsicherheit und Zweifel zu schüren (etwa, wenn ein Sicherheitsvorfall zur Verkaufstaktik wird),

die gehäufte Verwendung von Buzzwords ohne wirkliche Erklärung, und

eine mangelnde Bereitschaft des Anbieters, Feedback zu seinen Verkaufsgesprächen anzunehmen (kein gutes Signal für die künftige Zusammenarbeit).

(fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.