In meinen Gesprächen mit Unternehmen wird zurzeit immer wieder die „Unmöglichkeit” der Rolle des Chief Security Officers (CSO) diskutiert. In die Vergangenheit war sie klar definiert. Die Aufgabe der „Bad Guys” war, Innovationen so lange zu verhindern, bis sie sich als absolut sicher erwiesen hatten. Unterstützt wurden sie dabei durch ihr allumfassendes Vetorecht der IT-Abteilung gegenüber.

Ich möchte zur Entlastung der Kollegen und meiner Person klarstellen, dass ich die Arbeit des CSOs als unverzichtbar und die Ziele als richtig ansehe. Die Frage, die sich viele Strategen und Praktiker stellen, ist eben nur: Wie kann die Rolle des CSOs so angepasst werden, dass er wieder sinnvoll arbeiten kann?

Betrachten wir die aktuelle Situation mal aus Sicht des CSOs, der Fachabteilungen und der IT-Abteilung:

Der CSO

Er hat die letzen Jahre damit verbracht, die Informationen und Geräte im Unternehmen soweit wie möglich abzusichern. Dafür hat er Folgendes getan:

  • Die verfügbaren Geräte und Systeme auf eine handhabbare Masse limitiert
  • Regeln und Prozesse für den Umgang mit allen Daten und Geräten definiert und die Dokumentationspflicht eingeführt
  • Prüfprozesse für neue Geräte und Software erarbeitet

Das Ergebnis waren natürlich unzählige Diskussionen mit Nutzern, die ohne Erklärung nicht verstanden, wie sie mit harmlos anmutenden Vorschlägen für die Erleichterung des Arbeitens riesige Löcher in den Sicherheitsschirm ihrer Infrastruktur reißen.

Die Fachabteilungen

Sie haben in den letzten Jahren zugeschaut, wie die Möglichkeiten mit IT-Systemen zu arbeiten in der privaten und der geschäftlichen Welt immer weiter auseinanderdrifteten.

Privat scheint fast alles möglich, angefangen mit dem kinderleichten Datenaustausch im Familien- und Freundeskreis über Dropbox, iCloud, Google Docs etc. über leicht buchbare Systeme zum Projektmanagement wie zum Beispiel Projectplace und Planzone bis zu Software für die Erstellung von Charts und Präsentationen.

Es kommt noch schlimmer: Auch Laien wissen inzwischen schon, wie sie ihre Tablets, Smartphones oder Macbooks in ihre Arbeitsumgebung integrieren, und sei es nur über die Weiterleitung von E-Mails und Kalendereinträgen an private GMail- oder GMX-Konten.

Das alles hat dazu geführt, dass sie die CSO-gebremsten IT-Abteilungen nicht mehr als Partner, sondern Verhinderer sehen, an denen man sich vorbeimogelt, wann immer es geht, um wenigstens ein bisschen produktiver zu werden. Was ja auch vom Management erwartet wird. Es ist aber noch schlimmer: das Management untergräbt die Sicherheit des Unternehmens ebenfalls.

Die IT-Abteilungen

Sie sitzen zwischen allen Stühlen und arbeiten dort, wo tagtäglich der Konflikt zwischen CSO und Fachabteilung ausgefochten wird. Sehr gemütlich. Eigentlich sollten die Fachabteilungen Kompromisse vorschlagen, die sicherer oder machbar sind, und der CSO Sicherheitsbarrieren einziehen, die auch funktionieren. Zum Beispiel die Sperrung von YouTube, Skype, Twitter und Facebook. Findige Nutzer wissen aber meistens, wie sie diese Sperren umgehen können.

Darüber hinaus gibt es noch die Anforderung des Managements, dass sich die Kosten für die IT-Sicherheit in Grenzen halten. Rundum abgesicherte Rechner verursachen allerdings einen Wartungsaufwand, der mit schwindelerregenden Kosten verbunden ist, vor allem, wenn einmal nicht alles nach Plan läuft.

Wie kommen wir nun aus der Bredouille wieder raus? Bislang wurde zum Beispiel Folgendes versucht, allerdings mit mehr oder weniger mäßigem Erfolg:

  • Fachabteilungen einbremsen (wie lange soll das noch gutgehen?)
  • Risiken akzeptieren (zum Beispiel die, die noch nicht im Fokus der breiten Masse der Industriespione sind)
  • Neue Systeme einführen, die die Kostensteigerungen des erhöhten Managementaufwandes optimieren (z. B. Mobile Device Management, Scanner, etc.)

Eine Maßnahme wurde bislang noch recht selten ausprobiert: die Herangehensweise des CSOs anzupassen. Aus meiner Sicht agiert er zu sehr wie ein Boxer, Judo wäre vielleicht die bessere Strategie.

Aber dazu mehr in meinem nächsten Blogbeitrag. Bis dahin die Frage an Sie: wo haben Sie ähnliche Probleme entdeckt und welche Lösungen haben Sie bereits ausprobiert und mit welchem Erfolg?