Die Rolle des CISO in der OT

Klaus Mochalski

Hallo und herzlich willkommen zu einer neuen Episode „OT Security Made Simple”. Ich bin Klaus Mochalski, Gründer von Rhebo. Mein Gast heute ist Eileen Walther. Eileen ist General Manager DACH bei der Northwave Cyber Security. Eileen, stell dich doch einmal selbst vor und erzähle so ein bisschen, was ihr bei Northwave macht und was deine Verantwortung ist und was euer Bezug zu OT Security ist.

Eileen Walther

Ja, danke schön. Mein Name ist, wie gesagt, Eileen Walther. Ich verantworte unsere Tätigkeiten in Deutschland, Österreich und der Schweiz. Wir helfen Unternehmen dabei, sich gegen Cyberangriffe zu schützen, indem wir ganzheitlich organisatorische, technische und menschliche Maßnahmen umsetzen. Und ganzheitlich heißt nicht nur IT, sondern auch OT. Und wenn es irgendwo einen Vorfall gibt, haben wir auch ein Computer Emergency Response Team, das zum Einsatz kommt, wenn es wirklich brennt. Das allerdings wollen wir vor allem gerne vorbeugen.

Klaus

Sehr gut. Wir hatten im Vorfeld darüber gesprochen, was aktuell Themen sind, die eure Kunden bewegen. Und nicht nur kommt auch für euch als klassischer IT-Security-Anbieter das Thema „OT Security” immer öfter auf die Tagesordnung, sondern es gibt auch natürlich große Fragen bezüglich der Organisationsstrukturen, die ich brauche, um das Thema adressieren zu können. Mache ich dort mein normales IT-Department? Wer ist im Management verantwortlich? Und das ist auch eine Diskussion, die man international auf allen Ebenen sieht. Insbesondere Unternehmen, die schon weiter sind auf ihrer Reise in Richtung „integrierte IT / OT Security”, haben sich oder sind dabei, sich ihre Organisationen neu aufzustellen. Da spielt häufig der CISO, der Chief Information Security Officer, eine zentrale Rolle. Da haben wir immer so ein bisschen das Gefühl, ich auch persönlich, dass wir hier speziell in Deutschland, was solche in Anführungsstrichen „modernen Organisationsstrukturen” angeht, ein bisschen hinterherhinken; dass das eher so ein amerikanisch getriebenes Thema ist. Und wir wollten heute mal diskutieren, wie ihr das seht, wie ihr das wahrnehmt und was auch eure Empfehlung für die Umsetzung der Organisationsstrukturen ist, welche Rolle dabei der CISO spielt. Ein ganz wichtiges Thema, was wir uns am Ende anschauen wollen, ist die Frage: Ist der CISO schuld, wenn es nicht funktioniert?

Und diese Frage wollen wir heute im Podcast klären. Aber bevor wir zu dieser Schuldfrage kommen, erst einmal zurück zu der Stelle des CISO: Wie habt ihr denn das bisher beobachtet und welche aktuellen Entwicklungen beobachtet ihr? Haben viele Organisationen diesen CISO und wie entwickelt sich die Verantwortung bezüglich IT und OT?

Eileen

Ja, es haben immer mehr Organisationen auch in Deutschland ein CISO. Allerdings gleicht der eine CISO nicht dem anderen. Und du hast es gerade ja schon beschrieben, wie die Lage in den Vereinigten Staaten ist. Da haben CISOs oft in einer relativ reifen Security-Organisation selbst schon eine strategische Rolle. Und das ist, wo man dann auch die Frage stellen kann: Ist der CISO schuld, wenn es nicht klappt, da ganzheitlich zu arbeiten? In Deutschland aber, und vor allem auch bei Fertigungsunternehmen, sehen wir, dass man von dieser Ausgangslage noch weit entfernt ist; dass es noch keine Hilfe gibt und keine strategischen CISO-Rollen. Dann kann man noch ganz oft darüber reden, wie wichtig es ist, Top-Down und Bottom-Up und die Verbindung herzustellen zu der Produktion und so weiter. Aber bevor man da sprechen kann, ob er schuldig ist oder nicht, und ob derjenige dann effektiv ist in diesem Ansatz, muss man, glaube ich, gucken: Wie hat man diesen CISO positioniert und was sind eigentlich die Kompetenzen und auch die Ambitionen? Da sehen wir oft noch einen Mismatch in Deutschland und gerade auch in der Fertigungsindustrie ist das ein großes Thema momentan.

Klaus

Das heißt, um es mal zusammenzufassen: Ihr nehmt wahr, dass es immer noch relativ selten die Position als CISO gibt und wenn es die gibt, ist es eher so eine Feigenblattposition, wo aber die strategische und vielleicht auch operative Verantwortung für die Position fehlt und die Position einfach nicht entsprechend ausgestattet ist. Warum ist es denn trotzdem eine gute Idee, einen CISO zu haben? Oder kann man sagen, das ist eine Organisationsform, die vielleicht in den USA funktioniert aufgrund der anderen rechtlichen Gegebenheiten? Aber hier in Europa, in Deutschland, ist ja die Regulatorik anders, es gibt mehr Regulierung. Brauchen wir da vielleicht auch andere Rollen, die für die Security verantwortlich sind?

Eileen

Ja, das Letztere. Es braucht andere Rollen und vor allem eine sich verändernde Rolle, die sich anschließt an die Bedürfnisse, die Security-Bedürfnisse und den Reifegrad der Security-Organisationen. Wir haben da, weil wir da in der Praxis natürlich ständig drauf stoßen, tatsächlich auch eine Untersuchung durchgeführt, die aktuelle Lage klarer zu strukturieren und damit auch mehr in der Hand zu haben, drüber zu sprechen: Wo steht man eigentlich gerade und was braucht man denn in dieser Situation und wo möchte man hin? Und was braucht es dann in der nächsten Phase? Das ist unterschiedlich und das ist wichtig, zu verstehen. Momentan haben viele Unternehmen in Deutschland, gerade in der Produktion, noch CISOs, die eigentlich eher Informationssicherheitsbeauftragte sind, also für Richtlinien zuständig, oder eher IT-Security-Spezialisten sind, die IT-Security-Maßnahmen umsetzen. Wenn diese Menschen dann die Aufgabe bekommen, mit dem Produktionsleiter darüber zu reden, wie die OT-Security da gut mit eingebunden werden kann, dann hast du genauso wie ich tausend Beispiele davon, wie dieses Gespräch schwierig effektiv ist, denn der Produktionsleiter hat nur ein Ziel: produzieren. Und wenn da jemand mit dieser Aufgabe von einer IT-Abteilung oder von einer Compliance-Abteilung solche Gespräche führen muss, was es braucht, dann ist man oft ganz weit auseinander.

Wenn man effektiver arbeiten möchte, sollte man erst einmal identifizieren: Wo stehe ich eigentlich? Wenn man dort steht, dass man sich noch vor allem mit Richtlinien und IT-Security-Maßnahmen beschäftigt, dann ist man wahrscheinlich noch relativ weit unten, was wir die Bergexpedition nennen, die man mit dieser Rolle hat. Und man fragt was anders im Base Camp als auf dem Summit.

Klaus

Das heißt, dieses Mismatch, das du ansprichst… Also wenn ich diesen Bottom-up-Ansatz so ein bisschen verfolge und ich hole die IT-Security-Experten und lasse die mit den Produktionsexperten sprechen, da wissen wir ja, das kommt immer wieder zum Clash. Das ist schwierig, dass man dort die unterschiedlichen Optimierungsziele miteinander in Übereinstimmung bringt. Und das ist, glaube ich, auch der Grund, warum die Rolle des CISO so wichtig ist, aufgewertet wird, weil dort Security, Cyber Security Risiken, egal ob in der IT oder der OT, als ganz normales betriebliches, geschäftliches Risiko betrachtet werden, wie jedes andere Risiko eines Stromausfalls, eines Produktionsfehlers, alle Themen, die ja Risiko für das Geschäft sein können. Und ich glaube, das ist ganz wichtig, das so zu betrachten. Das müsste doch eigentlich ein gutes Argument sein, auch für deutsche Fertigungsunternehmen, so eine Rolle zu schaffen. Die gibt es aber häufig nicht. Was wäre hier eure ganz klare Empfehlung, vielleicht auch für kleinere Unternehmen? Also ein produzierendes Unternehmen ist ja auch viel Mittelstand. Das heißt, ich habe Unternehmen mit 100 bis vielleicht 1.000 oder 5.000 Mitarbeiter:innen. Da ist es häufig, vielleicht werden die sagen, nicht gerechtfertigt, da so eine Managementposition zu schaffen.

Oder wie ist da die Empfehlung für genau dieses Kundensegment?

Eileen

Also gerade in diesem Kundensegment, würde ich sagen, soll derjenige, der erst mal diese Organisation zu Base Camp bringt, vielleicht auch kein CISO benennen, aber einfach so benennen, wie die Aufgaben sind. Die Aufgaben sind ja auch, umzusetzen, aber das geht nur effektiv, wenn man dann Unterstützung, gerade vom Board und den Produktionsleitern bekommt. Wenn man auf dieser Ebene dann tatsächlich selbst die Gespräche übernimmt, da zu Lösungen zu kommen. Und dann ist derjenige, den man vielleicht ein CISO nennt, nicht derjenige, der in the lead ist, das selbst komplett alles zusammenzubringen, diese strategische Geschäftsziele, diese grundlegenden Risiken, die man nicht akzeptieren kann, die auch der Produktionsleiter selbst spürt, denn Business Continuity ist gerade vom Produktionsleiter das gleiche Ziel. Man kann dann aber von demjenigen nicht erwarten, aus einem CISO in den Sinn, aus strategische CISO zu handeln. Wenn man aber nur Ressourcen hat, von einem Informationsicherheitsbeauftragten Arbeit umsetzen zu lassen, dann sollte man auf jeden Fall selbst die Verantwortung über strategische Security Management und die Gespräche und das Mandat, was man braucht, zu gewissen Entscheidungen zu kommen, von der Geschäftsleitung aus selbst übernehmen und mittragen.

Klaus

Wen meinst du mit selbst? Wer soll das übernehmen?

Eileen

Dann soll man klarstellen, dass man eigentlich keinen CISO hat und andere in der Geschäftsleitung auf jeden Fall selbst ganz klar sich positionieren und die Verantwortung für Security und Security Management bei sich tragen. Genauso wie das für andere Themen wie Kommunikation und Operations überhaupt, das ist oft auch, wo es gut passt, die Verantwortung erst mal verankert wird in die Geschäftsleitung. Auch wenn man sagt, wir haben nicht jemanden auf strategischer Ebene separat, Vollzeit CISO, der diese Verantwortung übernimmt, dann fängt es damit an, dass man trotzdem sagt, wir tragen aber die Verantwortung. Wir haben momentan aber nicht die Risiken, auf alle Ebene dedicated resources zu haben, die das umsetzen. Vielleicht braucht man dann andere Unterstützung Wie auch immer ist es dann eine ehrlichere Aufgabe von denjenigen, die diese Reise unterstützen, und diese Person bekommt mehr Unterstützung auf strategischer Ebene. Allerdings sehen wir auch, dass das oft nicht erfolgreich ist, wenn man sagt, okay, wir nehmen theoretisch die Aufgaben auf uns, ist es trotzdem oft kein Thema, wo die Geschäftsleitung dann persönlich auch weiter in die Organisation das weiterträgt, mit der Produktionsleitung und so weiter ins Gespräch geht. Und daher ist es eigentlich für viele Unternehmen schon nicht mehr passend zu den Risiken, in diesem Base Camp, auf dieser Bergexpedition zu bleiben, aber muss man zum High Camp.

Und das heißt, man braucht ein CISO, der tatsächlich andere Kompetenzen, ein anderes Profil hat, das eher ins Change Management geht, das ein Cybersafe Culture schafft und sehr stark ist in Stakeholdermanagement, damit man wirklich auf Augenhöhe ins Gespräch kommen kann, weil derjenige in der Lage ist, sich zu vertiefen in die Produktion und zu verstehen, dass OT nicht IT ist und dass die Verantwortung über OT von der Instandhaltung bis zum Elektriker geht und dass das was ganz anders ist, als wie man das in der IT gewöhnt ist. Und das fragt nach einem Profil, das was anderes bringt und besser anschließt an die Bedürfnisse, die es eigentlich gibt. Und das ist immer noch nicht diese strategische CISO, weil das wäre dann die nächste Stufe for the summit in der Bergexpedition, die wirklich auf höchste strategische Ebene diese Geschäftsziele mit Security ermöglicht und wirklich ganz im Einklang mit der Geschäftsstrategie arbeitet. Aber eine Stufe runter braucht man minimal mit den Risiken, die man eigentlich heutzutage hat.

Klaus

Ja, also ich höre heraus aus dem, was du gesagt hast, dass die Rolle des CISO eigentlich auch in kleineren Unternehmen geht, wo es häufig keine dedizierte Ressource gibt, also nicht eine gesamte Stelle, die ich besetzen kann mit jemanden, der sich um das Thema kümmert. Aber es muss in der Geschäftsleitung, wenn ich CISO nicht als volle Position habe, dann muss jemand aus der Geschäftsleitung diesen Aufgabenbereich strategisch übernehmen, sicherstellen, dass es entsprechend der Unternehmensstrategie in den unteren Ebenen umgesetzt wird. Das heißt, darum komme ich nicht drum rum.

Eileen

Darum kommt man nicht drum rum und man braucht trotzdem jemanden, der auch das Profil hat, das entsprechend zu managen, ob das ein Dedicated, jemand in Vollzeit intern ist oder ob man da Unterstützung extern holt, die nicht Vollzeit für das Unternehmen tätig ist, aber auf jeden Fall die Reise begleitet, mit Unterstützung von den internen Ressourcen Sustainable System, ISB, IT Security Specialist und so weiter. Das ist abhängig davon, wie weit man dann selbst schon in der Lage ist, eine größere Security Organisation aufzubauen oder nicht. Genauso wie man in der IT auch gewöhnt ist, zu entscheiden, ist das etwas, was ich schon komplett selbst aufbaue oder outtaske ich bestimmte Aufgabe in diesem Bereich?

Klaus

Ja, das wollte ich auch gerade fragen. Wie weit kann ich dieses Thema tatsächlich, also den strategischen Teil, den der CISO übernimmt, inwieweit kann ich den outsourcen? Inwieweit kann ich mich da von externen Unternehmen unterstützen lassen, wenn ich intern keine Ressourcen habe? Das mag ja eine realistische Einschätzung sein, dass ich als Geschäftsleitung sage, hier bei uns ist niemand, der sich dieses Themas annehmen kann. Wir sehen auch nicht, dass wir ein Vollzeit-CISO brauchen oder das Budget dafür haben. Können wir uns jetzt einfach diese Leistung einkaufen? Nun passiert ja ständig dieser Einkauf über Beratungsleistungen auf den Arbeitsebenen. Das heißt, da wird natürlich sehr viel an IT-Dienstleistungen, OT-Dienstleistungen outgesourct. Kann ich das auch für diesen strategischen Teil machen?

Eileen

Ja. Wäre komisch, wenn ich sagen würde, nicht, weil wir das auch anbieten. Wobei ich immer sage, also der Geschäftsleitung immer sage: „Sie können ja nicht die Verantwortung an uns übertragen, weil egal, ob es ein interner CISO ist oder ein externer CISO, die Geschäftsleitung trägt die Verantwortung. Es braucht das Mandat der Geschäftsleitung, aber die Umsetzung der Strategie und gerade auch die Erfahrung, was eine effektive Strategie ist für diese Firma, das ist etwas, was man, gerade wenn man auch noch keinen Vollzeit-CISO, einen strategischen Vollzeit- CISO braucht, kann das ein Ansatz sein, schneller von Base-Camp zu High-Camp zu Summit zu gehen, indem man die internen Ressourcen, die man hat, viel effektiver einsetzen kann und das Stakeholdermanagement, was man dann auch gewöhnt ist und man schneller weiß, was die Pain Points in den unterschiedlichen Geschäftsprozessen und gerade auch in der Produktion sind, dass man diese Zyklen schneller aufsetzen kann und damit ein effektiveres Security Management betreiben kann. Aber das ist was anderes als die Verantwortung.

Klaus

Ja, klar. Die Geschäftsleitung bleibt in der Verantwortung. Die können sich die da nicht komplett freikaufen. Die können sich natürlich Unterstützung einkaufen. Wenn jetzt ein Unternehmen, was sich entscheidet, mit euch zusammenzuarbeiten, und ihr bietet diese strategische Beratung an, wie sieht das aus, aus Sicht der Unternehmen? Wie lange begleitet ihr diese Unternehmen? Ist das ein einmaliges Projekt, was irgendwann abgeschlossen ist? Oder begleitet ihr solche Unternehmen dann auch permanent? Was ist da der übliche Ansatz, den ihr dort anbietet?

Eileen

Das ist eine ganz wichtige Frage und das ist auch die erste Frage, die geklärt werden sollte, gerade mit der Geschäftsleitung, weil das sind strategische Entscheidungen am Ende der Geschäftsleitung. Möchte man nur Unterstützung, um schnell zu einer gewissen Ebene zu kommen und parallel Unterstützung, eine eigene Security Organisation aufzubauen, die langfristig diese Aufgabe … Also machen wir Build und ist es nur eine temporäre Unterstützung? Das ist eine Möglichkeit. Man kann sich aber auch dazu entscheiden “das lohnt sich für uns nicht” und wir machen das langfristig mit dem Partner. Es ist aber wichtig, diese Entscheidungen sehr bewusst zu treffen, natürlich, weil was wir oft sehen, ist, dass momentan, gerade weil sehr Compliance-driven Security-Bedürfnisse entstehen, gerade auch bei Produktionsunternehmen. Das führt auch dazu, dass die Frage oft kommt: „Wie könnt ihr uns schnell zum ISO-Zertifizierung bringen?” Und dann sagen wir: „Schnell zum ISO-Zertifizierung bringen oder NIS2 compliant machen und so weiter, ist nicht so schwierig. Das kriegen wir relativ schnell und gut hin. Aber die wichtige Frage ist: Wie bleiben Sie daran? Wie bleiben Sie auf der Ebene, die man schafft mit der Zertifizierung?”, weil es geht ja darum, die Zertifizierung zu behalten und es geht ja darum, die Risiken wirklich im Griff zu bekommen.

Und das ist damit noch nicht geklärt. Also auch wenn man sich entscheidet, ich möchte innerhalb von ein paar Monaten, dass man in dem Moment schon die Entscheidung treibt, werde ich die gleichen paar Monate, die ich dann mich damit beschäftige, auch mich beschäftigen mit der Frage, ob ich selbst parallel eine Security Organisation aufbauen kann, die auf diesen Stand weiterarbeiten kann? Oder sehe ich das nicht und muss ich jetzt schon überlegen, wie ich es dann organisiere? Sehr selten von Kunden sage ich, dass erst die erste CEO konzentriert und damit eigentlich noch nicht so auf die strategische Frage: Wie schütze ich eigentlich unsere Produktion gegen Angriffe?

Klaus

Ja, das ist, glaube ich, das Wichtige, was man verstehen muss, dass diese ganzen Zertifizierungen, die angeboten werden, die Security Frameworks, die man dort umsetzen muss, dass das kein Selbstzweck ist, den Stempel zu bekommen, sondern dass es darum geht, das Risiko durch Cyberangriffe zu reduzieren. Und das ist ein permanenter Aufwand. Und es gibt natürlich diesen initialen Aufwand, sich erst mal auf das nächste höhere Sicherheitslevel zu heben. Aber auch dann ist es ein permanenter Aufwand und das ist, glaube ich, ganz wichtig zu verstehen. Und deswegen kann ich das nur unterschreiben, was du hierzu gesagt hast. Da könnten wir doch jetzt zum Schluss noch mal kurz die Frage klären: Trifft den CISO die Schuld, wenn seine Organisation nicht gut aufgestellt ist oder noch logistischer ausgedrückt, wenn etwas getan wurde und dann wird das Unternehmen doch Ziel eines Cyberangriffes und erleidet dadurch Schaden. Wer trägt die Schuld?

Eileen

Wenn es ein strategisches CISO war, dann soll man sich sehr wohl die Frage stellen, ob dieser strategische CISO die Arbeit gut umgesetzt hat, indem er die Organisation nicht schützen konnte. 100% Sicherheit gibt es ja nicht, aber dann kann man auf jeden Fall die Frage stellen. Wenn einem eine Information ein Sicherheitsbeauftragter oder ein IT-Security-Spezialist innerhalb einer IT-Abteilung CISO nennt, dann kann man nicht im Nachhinein sagen, derjenige ist schuld daran, dass wir unsere strategische Verantwortung und unser Geschäft gegen solche Risiken und gegen solche Angriffe nicht schützen. Da soll man sich selbst die Frage stellen: Haben wir unsere Verantwortung als Geschäftsleitung tatsächlich genommen und sind wir daher nicht sowieso selbst schuld, wenn der Fall doch eingetreten ist.

Klaus

Ja, genau. Also guter Aufruf an die Geschäftsleitung. Die Geschäftsleitung hat immer die Verantwortung. Entweder ist der CISO als Position Teil der Geschäftsleitung oder die Geschäftsleitung übernimmt die strategische Verantwortung, aber die Verantwortung bekommt man nicht weg. Eileen, vielen Dank. Das war eine sehr spannende Diskussion. Ich habe mich gefreut, dass du heute Gast bei mir warst.

Eileen

Danke schön. Tschüss.

‍