{"id":3113,"date":"2025-05-09T04:00:00","date_gmt":"2025-05-09T04:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=3113"},"modified":"2025-05-09T04:00:00","modified_gmt":"2025-05-09T04:00:00","slug":"cisos-sprechen-heute-die-sprache-des-business","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=3113","title":{"rendered":"\u201eCISOs sprechen heute die Sprache des Business\u201c"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
srcset=”https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/05\/NickGodfrey8975_16hi.jpg?quality=50&strip=all 4256w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/05\/NickGodfrey8975_16hi.jpg?resize=300%2C168&quality=50&strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/05\/NickGodfrey8975_16hi.jpg?resize=768%2C432&quality=50&strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/05\/NickGodfrey8975_16hi.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/05\/NickGodfrey8975_16hi.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/05\/NickGodfrey8975_16hi.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/05\/NickGodfrey8975_16hi.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/05\/NickGodfrey8975_16hi.jpg?resize=150%2C84&quality=50&strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/05\/NickGodfrey8975_16hi.jpg?resize=854%2C480&quality=50&strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/05\/NickGodfrey8975_16hi.jpg?resize=640%2C360&quality=50&strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/05\/NickGodfrey8975_16hi.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”(max-width: 1024px) 100vw, 1024px”>Nick Godfrey, Leiter des Office of the CISO bei Google Cloud \n

Google Cloud<\/p>\n<\/div>\n

Als Senior Director und Leiter des Office of the CISO bei Google Cloud ist es die Aufgabe von Nick Godfrey, das Unternehmen beim Austausch zwischen CISOs rund um die Themen Cloud und Security zu unterst\u00fctzen. Godfrey, selbst ehemaliger Sicherheitsverantwortlicher bei einem Finanzdienstleister, leitet dazu ein Team, bestehend aus mehreren ehemaligen CISOs mit unterschiedlichem Branchen-Know-how. Die CSO hatte am Rande der Cloud Next in Las Vegas Gelegenheit zum Gespr\u00e4ch mit Godfrey.<\/p>\n

\u201cFehlendes Security-Budget ist eher Symptom des Problems\u201d<\/h2>\n

Viele CISOs k\u00e4mpfen um mehr Security-Budget, weil die Bedrohungen zunehmen. Ist Security, insbesondere Cloud Security, in erster Linie eine Frage des Geldes oder gibt es andere Probleme, die nicht adressiert wurden?<\/em><\/p>\n

Nick Godfrey<\/strong>: Dass das Budget nicht ausreicht, ist eigentlich eher ein Symptom des Problems als das Problem selbst. Das eigentliche Problem ist, dass man sich in der Vergangenheit zu sehr darauf verlassen hat, Sicherheits-Tools von Spezialisten f\u00fcr bestimmte Nischen zu kaufen und dann zu versuchen, alles zusammenzuf\u00fcgen.\u00a0<\/p>\n

Gleichzeitig f\u00fchrt dies aber auch zu echten Herausforderungen, da die Security-Mitarbeiter an Burnout leiden. Sie sind nicht mehr in der Lage, alles zu \u00fcberblicken.\u00a0<\/p>\n

Wir haben dazu auf der Cloud Next unter dem Banner von Google Unified Security einige Dinge angek\u00fcndigt. Zum Beispiel bewegen wir uns mit der Google-Cloud-SecOps-Plattform hin zu einem Ort, an dem Kunden alle Daten in ihrer Umgebung auf einem einzigen Bildschirm sehen k\u00f6nnen. Sie k\u00f6nnen KI und Mandiant-Bedrohungsinformationen nutzen, um diese Daten besser zu verstehen und sie schneller und genauer zu verarbeiten.\u00a0<\/p>\n

Dann kann man mit KI interessante Dinge tun. Man kann KI-Agenten bauen, die im Namen menschlicher Agenten handeln. Stellen Sie sich eine Zukunft vor, in der KI-Agenten Millionen von Warnmeldungen bearbeiten \u2013 damit sich Ihre Mitarbeiter auf wichtigere Dinge konzentrieren und echte Probleme l\u00f6sen k\u00f6nnen. Der Grund, warum ich die Agenten ins Spiel bringe: So werden wir anfangen, KI im Sicherheitskontext einzusetzen.<\/p>\n

Apropos KI: Fr\u00fcher gab es das Motto \u201eMach es zu teuer f\u00fcr den Angreifer\u201c. Ist das immer noch relevant oder hat sich das mit KI ge\u00e4ndert?<\/em><\/p>\n

Godfrey<\/strong>: Ich denke, dass KI tats\u00e4chlich f\u00fcr die Verteidiger interessanter ist. Was die Angreifer betrifft, so hat Google vor einigen Monaten untersucht, wie Kriminelle unsere KI-Plattform Gemini nutzen. Das Resultat: Obwohl es 20 APT-Gruppen aus 20 verschiedenen L\u00e4ndern gab, die GenAI nutzten, haben sie dort eigentlich nichts Neues gemacht. Sie haben keine neuen Angriffe entwickelt, sondern nur die Akzeptanz der Angriffe verbessert und sie etwas effektiver gemacht.\u00a0<\/p>\n

Die Angreifer spielen also ein bisschen damit herum, aber ich glaube, die Verteidiger fangen wirklich an, ernsthafte Dinge damit zu machen. Wir haben eine Menge KI in unsere Google-SecOps-Plattform eingebaut und diese Woche zwei Agenten vorgestellt, um die Automatisierung bestimmter Arten von Sicherheitsaufgaben voranzutreiben. Damit k\u00f6nnen wir Security-Teams dabei zu helfen, die Art und Weise, wie sie mit Warnmeldungen und potenzieller Malware umgehen, zu skalieren und zu beschleunigen.\u00a0<\/p>\n

Sie kennen ja sicher das \u201aDefenders Dilemma\u2018: Der Verteidiger muss st\u00e4ndig erfolgreich sein, w\u00e4hrend der Angreifer nur einmal ans Ziel kommen muss. Wir glauben, dass KI uns helfen wird, die Situation zwar nicht vollst\u00e4ndig umzukehren, aber zumindest das Problem zu verringern. Es wird interessant sein zu sehen, wohin das in den n\u00e4chsten Jahren f\u00fchren wird.<\/p>\n

Google hat ja vor kurzem diese gro\u00dfe \u00dcbernahme von Wiz bekannt gegeben. Wurden Ihnen und Ihrem Team dazu von den CISOs keine Fragen gestellt, etwa zur aktuellen Cloud-Sicherheit?<\/em><\/p>\n

\u201cDie Unternehmen wollen Multi Cloud\u201d<\/h2>\n

Godfrey<\/strong>: Leider kann ich nicht \u00fcber Wiz sprechen, da wir uns in der Quiet Period befinden, aber allgemein \u00fcber die Herausforderungen, vor denen unsere Kunden stehen. Eine der gr\u00f6\u00dften, die die gro\u00dfe Mehrheit der Unternehmen heute hat, ist Multi-Cloud. Sie stehen nicht nur vor der Herausforderung, ihr Team umzustrukturieren und die F\u00e4higkeiten aufzubauen, um Cloud-native Sicherheit zu gew\u00e4hrleisten, sondern sie m\u00fcssen dies auch f\u00fcr drei oder vier verschiedene Cloud-Varianten tun.<\/p>\n

Und dann gibt es noch die Herausforderung des Konfigurationsmanagements, und ihr Sicherheitsanalyst muss sich einen Bildschirm f\u00fcr die Google Cloud Platform (GCP) ansehen, einen f\u00fcr Oracle und so weiter.\u00a0<\/p>\n

Also haben wir uns vor einigen Jahren dazu verpflichtet, unsere Plattform Multi-Cloud-f\u00e4hig zu machen, mit dem Ziel, dass ein Kunde, ein Sicherheitsanalyst, die Konfiguration einer beliebigen Anzahl von Cloud-Anbietern auf einem Bildschirm sehen kann. Ich denke, das ist die Richtung, in die es geht.\u00a0<\/p>\n

Cloud-Sicherheit f\u00e4ngt aber nicht erst bei der \u00dcberwachung an\u2026\u00a0<\/em><\/p>\n

Godfrey<\/strong>: Ja, ich denke, dass die gr\u00f6\u00dfere Chance f\u00fcr die Sicherheitsteams im Zusammenhang mit der Cloud darin besteht, mit den Technologieteams zusammenzuarbeiten, um Sicherheitsrichtlinien in den Code einzubetten, den sie entwickeln.<\/p>\n

Dann wird die Cloud oder die Software so bereitgestellt, dass sie \u00fcber APIs gesteuert werden kann. Und man kann Sicherheitsrichtlinien einbauen und wei\u00df, dass jedes Mal, wenn ein neuer Container oder eine neue virtuelle Maschine erstellt wird, dies auf die richtige Art und Weise von einem Sicherheitsteam gemacht wird.<\/p>\n

Man kann also Security einbetten, wenn die Cloud erstellt wird. Und dann wird das Security Command Center verwendet, um kontinuierlich zu \u00fcberpr\u00fcfen, dass nichts aus dem Ruder l\u00e4uft.<\/p>\n

Das geht in Richtung DevSecOps, oder?<\/em><\/p>\n

Godfrey<\/strong>: Ja. Diese Philosophie, wie man die Cloud absichert, ist eines der gro\u00dfen Themen, \u00fcber die wir mit unseren Kunden sprechen, denn es erfordert einen Konsens zwischen dem CIO und dem CISO. Wie wird die Cloud verwaltet? Wie wird sie genutzt? Wenn man sich nicht dar\u00fcber einig ist, wie sie genutzt werden soll und wo der Code liegt, der sie verwaltet, dann kann man auch keine Sicherheitsrichtlinien einf\u00fchren, Man muss ein gemeinsames Verst\u00e4ndnis haben, wie man vorgehen will.<\/p>\n

Hier hat sich ja schon einiges ge\u00e4ndert, wenn man an manche PoCs in der Cloud zur\u00fcckdenkt, die ohne R\u00fccksicht auf Datenschutz und Sicherheit erstellt wurden.\u00a0<\/em><\/p>\n

Godfrey<\/strong>: Genau, bei dem, was in den fr\u00fchen Tagen der Cloud geschaffen wurde, handelte es sich oft um Schatten-IT \u2013 oder es sah zumindest so aus. Heute sind sich der CEO und der CIO ziemlich einig dar\u00fcber, wie alles gemanagt werden soll. Vor allem, wenn es um etwas so Komplexes wie eine gro\u00dfe digitale Transformation oder die Migration in die Cloud geht. Alle notwendigen Ver\u00e4nderungen, die F\u00e4higkeiten der Teams, der Governance-Ansatz, alle Sicherheitsrichtlinien und -standards m\u00fcssen angepasst werden. Wenn Sie all diese Dinge nicht angehen, werden Sie aus Cloud-Perspektive nicht gut aufgestellt sein.\u00a0<\/p>\n

\u201cDank KI sind CISOs heute tief in das Business integriert\u201d <\/h2>\n

OK, dass sich das Top-Management all dieser Probleme bereits bewusst ist, ist ein wichtiger Fortschritt. Es wird also besser, oder?<\/em><\/p>\n

Godfrey<\/strong>: Ja, ich bin im Moment ziemlich optimistisch, was diesen speziellen Aspekt der Sicherheit angeht. Wir k\u00f6nnen uns immer noch verbessern \u2013 aber im Vergleich zu vor 10 oder 15 Jahren, als Sicherheit ein nachrangiges Thema war und manchmal buchst\u00e4blich nur oben drauf gesetzt wurde. Heute sind wir an einem Punkt angelangt, wo wir von \u201eSecure by Default\u201c, \u201eSecure by Design\u201c und Governance sprechen.\u00a0<\/p>\n

Davon profitiert sicher auch die Stellung des CISO im Unternehmen?<\/em><\/p>\n

Godfrey<\/strong>: Ja, eine grundlegende Ver\u00e4nderung ist, dass CISOs mehr anerkannt werden. Aber das liegt wahrscheinlich auch daran, dass CISOs jetzt in einer Sprache sprechen, die das Business versteht. Die Kombination dieser beiden Dinge macht uns besser, und ich denke, das sieht man auch im Vergleich zu fr\u00fcher. Dank KI sind viele CISOs heute tief in das Business integriert und haben in einigen F\u00e4llen sogar die Diskussion \u00fcber KI in ihren Organisationen vorangetrieben. Ein Grund daf\u00fcr ist, dass sie von Natur aus einige der potenziellen Herausforderungen bei der Einf\u00fchrung von KI verstehen. Aber sie sind auch sehr gut darin geworden, mit neuen Technologien zu arbeiten und sie zu verstehen. Daher sehe ich heute weniger Bedenken, dass KI eine Schattentechnologie ist, als noch vor ein paar Jahren.\u00a0<\/p>\n

Ist die H\u00e4ufigkeit der Angriffe ein Grund daf\u00fcr, dass sich CEOs nun st\u00e4rker mit der M\u00f6glichkeit von Breaches befassen?<\/em><\/p>\n

Godfrey: Ja, ich denke schon. Aber es hat auch viel damit zu tun, wie die CISOs heute auftreten. Sie kommunizieren in Form von Gesch\u00e4ftsrisiken, Risiken f\u00fcr das Unternehmen, die der CEO verstehen kann, anstatt sie als rein technische \u00dcbung zu betrachten. So erkennen sie auch, dass CISOs eine ziemlich herausfordernde Aufgabe haben. Und auch das Risikobewusstsein von CEOs und Vorst\u00e4nden wird besser, weil wir es als Branche einfacher machen, es in ihren Begriffen zu verstehen.<\/p>\n

Trotzdem habe ich manchmal den Eindruck, dass der Job eines CISO sehr frustrierend ist und es manchmal sehr schwierig sein muss, jemanden f\u00fcr diesen Job zu begeistern. Wie kann man CISOs motivieren?\u00a0<\/em><\/p>\n

\u201cDer CISO ist immer involviert\u201d<\/h2>\n

Godfrey: Meine Antwort auf diese Frage besteht aus zwei Teilen. Erstens: Wir haben die M\u00f6glichkeit, die Cybersicherheitsbranche nach au\u00dfen hin verst\u00e4ndlicher und f\u00fcr Neueinsteiger attraktiver zu machen. Das bringt zwar nicht sofort etwas, aber es schafft eine gr\u00f6\u00dfere Pipeline von Menschen, die in die Branche kommen. Ich denke, eine der Herausforderungen, vor denen wir stehen, ist, dass eine Karriere in der Cybersicherheit nicht so bekannt oder anerkannt ist wie Medizin, Jura oder Ingenieurwesen. Wenn man einen Abschluss in einem dieser F\u00e4cher hat, wissen die Eltern, welchen Beruf man ergreifen kann. Bei einem Abschluss in Cybersicherheit ist das nicht der Fall.\u00a0<\/p>\n

Der andere Teil meiner Antwort ist eindeutiger. Ich glaube, was CISOs motiviert, ist, dass es einer der wenigen Jobs innerhalb einer Organisation ist, bei dem man so ziemlich allen Ver\u00e4nderungen ausgesetzt ist. Neue Technologien, neue Unternehmen, \u00dcbernahmen, Fusionen, Ver\u00e4u\u00dferungen \u2013 der CISO ist immer involviert.\u00a0<\/p>\n

Aus meiner Sicht ist das f\u00fcr viele Menschen, mit denen ich gesprochen habe, an sich schon sehr motivierend. Man ist in einer Position, in der man viel bewegen kann. Man ist buchst\u00e4blich an allem Neuen beteiligt, an allem Neuen in der Organisation, und das macht den Job aus.<\/p>\n

Aber manchmal wird das nicht anerkannt.<\/em><\/p>\n

Godfrey: Vielleicht nicht, aber ich glaube, es wird besser. Wir sind auf dem richtigen Weg, wenn man an die Zeiten zur\u00fcckdenkt, als Cybersicherheit noch Informationssicherheit hie\u00df und ein Teil der IT war, n\u00e4mlich das Backoffice innerhalb der IT.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

srcset=”https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/05\/NickGodfrey8975_16hi.jpg?quality=50&strip=all 4256w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/05\/NickGodfrey8975_16hi.jpg?resize=300%2C168&quality=50&strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/05\/NickGodfrey8975_16hi.jpg?resize=768%2C432&quality=50&strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/05\/NickGodfrey8975_16hi.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/05\/NickGodfrey8975_16hi.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/05\/NickGodfrey8975_16hi.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/05\/NickGodfrey8975_16hi.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/05\/NickGodfrey8975_16hi.jpg?resize=150%2C84&quality=50&strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/05\/NickGodfrey8975_16hi.jpg?resize=854%2C480&quality=50&strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/05\/NickGodfrey8975_16hi.jpg?resize=640%2C360&quality=50&strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/05\/NickGodfrey8975_16hi.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”(max-width: 1024px) 100vw, 1024px”>Nick Godfrey, Leiter des Office of the CISO bei Google Cloud Google Cloud Als Senior Director und Leiter des Office of the CISO bei Google Cloud ist es […]<\/p>\n","protected":false},"author":0,"featured_media":3100,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-3113","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3113"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3113"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3113\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/3100"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3113"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3113"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3113"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}