Die Episode beleuchtet die strategische Rolle des Chief Information Security Officer (CISO) in der heutigen Geschäftswelt, die oft noch mit der Herausforderung kämpft, am "Katzentisch" der Geschäftsführung behandelt zu werden. Ron, Vorstandsvorsitzender der CISO Alliance und Head of IT Security bei Bredex, spricht mit Max von Secur Warrior über die Notwendigkeit von Security by Design, insbesondere im Kontext des neuen Cyber Resilience Act (CRA). Das Gespräch betont, dass Kommunikation das wichtigste Werkzeug für CISO-Erfolg ist und beleuchtet, wie Unternehmen durch frühzeitige Integration von Sicherheit, Quereinsteiger-Talenten und spielerisches Training von Entwicklern Wettbewerbsvorteile erzielen können.
Die Strategische Rolle des CISO und Security by Design
Max von Secur Warrior und Ron, Vorstandsvorsitzender der CISO Alliance und Head of IT Security bei Bredex, diskutieren die aktuellen Herausforderungen und Chancen der Cybersicherheit im Unternehmenskontext. Ron stellt die CISO Alliance als führenden Berufsverband vor, der sich ehrenamtlich der Vernetzung, Förderung und Qualifizierung von Informationssicherheitsverantwortlichen widmet, um dem CISO die notwendige Sichtbarkeit zu verschaffen.
Die CISO-Rolle und ihre Herausforderungen
Der CISO wird als strategisches Bindeglied zwischen Geschäftsführung/Vorstand und den Fachbereichen definiert. Es ist eine Chief-Rolle und sollte direkt an die Unternehmensleitung berichten, nicht an die IT, um die strategische Unabhängigkeit zu wahren und nicht als reiner "IT-Administrator" missverstanden zu werden. Ron hebt hervor, dass die größte Herausforderung des CISO heute die Durchsetzungsstärke und vor allem die Kommunikation ist – die Fähigkeit, in der Sprache der verschiedenen Stakeholder (Juristen, IT, Fachbereiche) zu sprechen. Die CISO Alliance hat sich zum Ziel gesetzt, das bisher unklare Berufsbild des CISO zu definieren, um klare Lern- und Qualifizierungspfade für Quereinsteiger zu schaffen, die für das Thema brennen.
Cyber Resilience Act (CRA) und Produktsicherheit
Ein zentrales Thema ist der Cyber Resilience Act (CRA). Ron sieht in der neuen EU-Verordnung keine Belastung, sondern eine riesige Chance für die europäische Wettbewerbsfähigkeit. Der CRA führt ein Security by Design Kennzeichen (ähnlich dem CE-Zeichen) für digitale Produkte ein, das Verbrauchern signalisiert, dass ein Produkt gewissen Sicherheitskriterien entspricht. Für Hersteller bringt dies eine Meldepflicht bei Sicherheitsschäden mit sich, was schnelle Produktrückrufe und somit eine Reduzierung von Reputationsschäden und zivilrechtlichen Ansprüchen ermöglicht.
Integration von Security in die Produktentwicklung
Das Gespräch kritisiert den klassischen Fehler, Sicherheitsexperten erst nach Fertigstellung und Design eines Produktes zu konsultieren, was oft zu kostspieligen Rückschlägen führt ("Innovationsbremser"). Security by Design – die frühzeitige Einbindung von Sicherheitsaspekten in die Anforderungsphase – ist unerlässlich.
Im Hinblick auf den Vertrieb rät Ron Herstellern, nicht nur das Produkt in den Vordergrund zu stellen, sondern primär die Sicherheit des Produkts in Bezug auf den Informationsverbund des Kundenunternehmens zu adressieren, da dies die Hauptsorge der CISO und Datenschutzbeauftragten ist.
Upskilling der Entwickler
Angesichts der Statistik, dass ein Großteil der Entwickler fehlerhaften Code liefert, muss die Developer Security gefördert werden. Ron betont, dass dies nicht durch das Pauken von Regulatorien, sondern durch Begeisterung erreicht wird. Die Empfehlung von Bredex ist die Durchführung von Hackathons und Red Teaming-Szenarien, um Entwicklern spielerisch und mit Spaß zu zeigen, wie Angreifer vorgehen und wie schnell Probleme präventiv gelöst werden können. Ziel ist es, Security by Design als "heißen Scheiß" zu etablieren, der nicht nur die Sicherheit, sondern auch den Verkaufserfolg fördert.
Информация по комментариям в разработке