HZ Creations – shutterstock.com
Die Umsetzung großer Transformationsinitiativen, wie die Einführung von Zero Trust, erfordert mehr als nur technisches Verständnis – und genau hier beginnen die Herausforderungen für viele IT-Sicherheitsentscheider. Sie sind es gewohnt, technisch zu argumentieren, und nicht, einen kulturellen Wandel einzuleiten. Schließlich geht es bei der Ablösung herkömmlicher und gewohnter Infrastrukturen um nichts anderes, als die Komfortzone des Bekannten zu verlassen und Neuland zu betreten.
Die damit verbundenen Unsicherheiten vieler Stakeholder müssen überwunden werden und es gilt, bei skeptischen Führungskräften auf verschiedenen Ebenen Überzeugungsarbeit zu leisten. Das wird nicht mit Hilfe von Fachjargon gelingen. Die Geschäftsleitung sollte vielmehr das Risiko, den Ausweg und die Vorteile begreifen, so dass auch auf dieser Ebene entsprechend kommuniziert werden muss.
Auf die Sprache kommt es an
Der Erfolg auf dem Weg zu Zero Trust beruht demnach weniger auf Technologieverständnis, sondern hängt vielmehr vom Selbstvertrauen und den kommunikativen Fähigkeiten der Verantwortlichen für Cybersicherheit ab. Zero Trust stellt über die Jahre gewachsene Prozesse und Annahmen in Frage. Firewalls und VPNs schufen bislang ein vertrautes, wenn auch lückenhaftes Gefühl der Sicherheit. Zero Trust ersetzt hingegen implizites Vertrauen durch kontinuierliche Überprüfung. Technologisch hat sich dieser Ansatz bereits bewährt. Auf kultureller Ebene ist eine Ablösung des Bekannten viel schwieriger zu vermitteln.
Lesetipp: Zero Trust bereitet CISOs Probleme
IT-Führungskräfte müssen die Vorteile eines Zero Trust-Ansatzes so vermitteln, dass sie auch bei einem nicht-technischen Publikum auf Geschäftsleitungsebene Anklang finden. Das ist kein leichtes Unterfangen für IT-Leader, die sich auf Basis von technischem Verständnis durch die Ränge hochgearbeitet haben. Wenn die technische Vermittlung eines neuen Ansatzes die Beteiligten im Entscheidungsprozess eher abschreckt als überzeugt, kommt die Transformation zum Stillstand und der Prozess zur Ablösung angestammter Infrastruktur verlangsamt sich.
Ziel in dem kommunikativen Prozess muss es also sein, die Geschäftsführung mit ihrer Sprache abzuholen und Sicherheit in ihre Begriffswelt zu übersetzen. Daher kommt es bei der Einleitung einer Sicherheitsmodernisierung darauf an, aufzuzeigen, wie der gesamte Geschäftsbetrieb transformiert werden kann. Entscheiden ist: Wo steht das Unternehmen heute, wo möchte es zukünftig stehen und welche Meilensteine gibt es auf dem Weg dorthin zu bewältigen?
Zero Trust sollte dementsprechend nicht als technischer Trend positioniert werden, sondern als angemessene Reaktion auf branchenweite Notwendigkeiten. Die Ablösung des angestammten Sicherheitsdenkens, verbunden mit dem Burggraben-Modell, bei dem alles innerhalb des Walls vertrauenswürdig ist (Stichwort Firewall), ist eine Mammutaufgabe.
Demgegenüber verzichtet Zero Trust auf jeglichen Vertrauensvorschuss und setzt auf die Überprüfung jedes einzelnen Zugriffs und begrenzt auf diese Weise den Radius eines Angriffs. Das Ergebnis eines solchen Sicherheitsansatzes sind geringere Kosten, weniger Komplexität und trotzdem eine höhere Sicherheit. Diese Sprache vermittelt Ergebnisse, die sich in Wertschöpfung manifestieren.
Überzeugungsarbeit leisten und Zustimmung gewinnen
Wenn die Botschaft in verständliche Worte gefasst wurde, stellt sich die Frage der Vermittlungsstrategie. Der CTO und das Infrastrukturteam sind die ersten Stakeholder im Prozess, die es abzuholen gilt. Eine enge Zusammenarbeit ist entscheidend, um ein potenzielles Ausbremsen der Transformation zu vermeiden. Dieser Ausgangspunkt der kommunikativen Überzeugungsarbeit sollte noch relativ einfach zu bewältigen sein, da auf dieser Ebene eine ähnliche Sprache gesprochen wird.
Eine erfolgreiche Transformation erfordert jedoch eine Zustimmung, die über IT- und Infrastrukturteams hinausgeht. Eine Gruppe, deren Unterstützung entscheidend für die Umsetzung ist, sind die Leiter der verschiedenen Geschäftsbereiche. Diese Business Units konzentrieren sich in erster Linie darauf, ihren Gewinn zu steigern. Sie müssen finanziellen Erfolg erzielen, die betriebliche Effizienz und Kundenzufriedenheit sicherstellen und Störungen minimieren.
Um ihr Vertrauen und ihre Zusammenarbeit zu gewinnen, müssen sich CIOs und CISOs mit deren Geschäftsalltag auseinandersetzen. Maßgeschneiderte Gespräche, die die Prioritäten der Bereichsleiter aufgreifen und sich auf ihre betrieblichen und finanziellen Risiken konzentrieren, können zielgerichtet auf Augenhöhe stattfinden.
Ein Beispiel: In einem Gespräch mit Werksleitern sollte es nicht um komplexe Authentifizierungsverfahren gehen. Zielführender ist es, zu erklären, wie Cyberangriffe zu Produktionsausfällen, Datenverlusten und Bußgeldern wegen Nichteinhaltung von Vorschriften führen können. Diese Themen bereiten den Managern schlaflose Nächte. Wird Zero Trust als Mittel zum Zweck dargestellt, um Produktionsziele zu erreichen und zum Schutz ihrer Gewinn- und Verlustrechnung, verwandelt man den Wechsel des Sicherheitsmodells in einen geschäftlichen Vorteil.
Auch auf den Zeitpunkt und die Häufigkeit der Kommunikation mit den Führungskräften kommt es an, um eine einheitliche Ausrichtung im gesamten Unternehmen zu schaffen und aufrechtzuerhalten. Die regelmäßige Beschäftigung mit dem Thema Cybersicherheit in vierteljährlichen Besprechungen sorgt dafür, relativ schnell Dynamik und Vertrauen in der Führungsebene aufzubauen.
Wenn die anfängliche Skepsis nachlässt, können diese Besprechungen zu kurzen Check-Ins im halbjährlichen Takt abgewandelt werden. Dann sollten praktische Belange und messbare Ergebnisse im Fokus der Gespräche stehen. Dabei können auch Sicherheitsrisiken als geschäftliche Prioritäten neu definiert werden.
Anhänger schaffen
Cyberrisiken haben sich in den vergangenen Jahren von einem Nischenbereich zu einem Thema mit hoher Relevanz avanciert, das ganz oben auf der Agenda jedes CEOs und Vorstandsmitglieds steht. Gespräche mit Führungskräften werden daher zunehmend positiver von diesen Stakeholdern aufgenommen. Ist das Vertrauen in die Umsetzung eines neuen Sicherheitsansatzes erzielt, wird es zunehmend einfacher, das Engagement für jeden einzelnen Aspekt der eigentlichen Transformation zu erhalten.
Bevor ein solches Transformationsprojekt abgesegnet wird, tun CIOs und CISOs gut daran, sich auf eine anfängliche Zurückhaltung auf Seiten der Führungsebene einzustellen. Der CFO, der Chefjustiziar oder Mitglieder des Aufsichtsrats können hier helfen und sich als Verbündete erweisen. Dieser Personenkreis kann subtilen Druck ausüben, wenn traditionelle Entscheidungsketten versagen, und zögerliche Führungskräfte zu Veränderungen ermutigen.
CIOs und CISOs sind mehr als lediglich die Wächter angestammter Technologien. Sie müssen sich zu Fürsprechern eines kulturellen Wandels verändern, um Brücken für die Modernisierung bauen zu können. Dazu ist die Bereitschaft erforderlich, den Führungsstil an die Anforderungen anzupassen. Schließlich liegt es an ihnen, die Sicherheitstransformation auf den Weg zu bringen und dazu die Sprache der Geschäftsführung aufzugreifen. (jm)
No Responses