Von Roger Halbheer, Chief Security Advisor, Microsoft EMEA
Lesen Sie hier den Originalpost im Newscenter Europe «Why security is a business problem»
Was ist eine Sache, die mich meine Karriere im Bereich Cybersicherheit gelehrt hat? Ein bisschen Demut öffnet viele Türen. Als Chief Security Advisor (also leitender Sicherheitsberater) für Microsoft-Kunden in Deutschland, Österreich, der Schweiz und den Niederlanden ist die Berufsbezeichnung bereits der Schlüssel zum Erfolg. Ich stehe führenden Unternehmen zur Seite, wenn es darum geht, neue Technologien mit möglichst geringem Risiko einzusetzen. Aber selbstverständlich kann auch ich nicht sämtliche Fragen beantworten, die man tagtäglich an mich heranträgt – und dies zuzugeben, macht beim Aufbau wirklich vertrauensvoller Beziehungen einen beträchtlichen Unterschied.
Ich bin gelernter Ingenieur und auf Computerwissenschaften spezialisiert. Bevor ich meine derzeitige Stellung bei Microsoft antrat, arbeitete ich als Sicherheitsberater bei Accenture sowie als leitender IT-Sicherheitsbeauftragter (CISO) für das führende schweizerische Telekommunikationsunternehmen Swisscom. Davor war ich bereits einmal für Microsoft tätig und befasste mich mit dem effizienten Schutz kritischer Infrastruktur.
Durch meinen beruflichen Werdegang habe ich bis heute so gut wie alle Facetten rund um das Thema Sicherheit kennengelernt. Ich weiß, wie es sich anfühlt, wenn man für kritische Infrastrukturen verantwortlich ist und wie es ist, mit Zwischenfällen umgehen zu müssen. Aber ich verstehe auch, wie Sicherheitsprodukte entworfen und entwickelt werden. Dies macht einen gewaltigen Unterschied, wenn ich mich mit IT-Sicherheitsbeauftragten unterhalte, da mein Gesprächspartner weiß, dass ich mich sehr gut mit genau den Herausforderungen auskenne, mit denen er sich Tag für Tag herumplagt – auch wenn es darum geht, die oft nicht unbeträchtlichen Aufwendungen für Cybersicherheit vor einem kritischen Vorstand zu erläutern und zu rechtfertigen.
Es ist nicht so, dass Führungskräfte in der Wirtschaft Sicherheit nicht für wichtig halten – hier hat sich im Laufe der Zeit eine Menge getan. Allerdings argumentieren Sicherheitsteams oftmals nicht aus der Geschäftsperspektive. Dies ist die nächste Erkenntnis, die ich in meine derzeitige Position mitgenommen habe: Sicherheit kann nur erfolgreich sein, wenn sie geschäftliche Vorteile bietet. Nicht selten scheitert unsere Branche daran, technische Risiken in eine Sprache zu übersetzen, die die Geschäftswelt versteht. Natürlich ist es durchaus gut, rundheraus zu sagen, dass man Multi-Faktor-Authentifizierung oder Endpunktschutz benötigt. Aber wenn der CEO nicht versteht, wie sich dies auf das Risikoniveau des Unternehmens auswirkt, wird er es nicht genehmigen.
An dieser Stelle komme ich ins Spiel. Meine Aufgabe besteht darin, eine Kluft zu überbrücken. Nämlich die Kluft zwischen dem Wert der Technologie, die Microsoft anbietet, und den Vorteilen, die sich der Kunde durch Sicherheitsinvestitionen für sein Unternehmen verspricht. Und das bedeutet, eine Menge Fragen zu stellen.
Ich beginne mit dem «Warum». So finde ich heraus, welche Gründe es beim Unternehmen gibt, sich für eine bestimmte Technologie zu interessieren. Zusätzlich bringt es den Kunden fast unweigerlich dazu, seine Hypothesen noch einmal zu überdenken. Manchmal kommen wir zu dem Schluss, dass ein Microsoft-Produkt vielleicht doch nicht die beste Lösung ist! Wenn dies tatsächlich so ist, habe ich auch keine Schwierigkeiten damit, es offen auszusprechen. Vielleicht haben wir heute noch nicht die richtige Antwort, kommen aber morgen umso besser ins Gespräch.
Dies bringt mich zu einem weiteren wichtigen Teilaspekt meiner Tätigkeit: dem Austausch von Kundenfeedback mit den Ingenieuren und Entwicklern von Microsoft. Ich gehe natürlich nicht hin und verlange bestimmte Produkte oder Lösungen. Allerdings erlaubt es mir meine Position, ihnen mitteilen zu können, wenn bestimmte Kundenszenarien aufgezeigt haben, wo wir mehr oder etwas anders machen könnten.
Manchmal werden Sicherheitsmitarbeiter als Hindernisse für den Fortschritt innerhalb einer Organisation wahrgenommen; als Menschen, die zu allem, was cool oder innovativ ist oder unter dem Strich für das Unternehmen potenziell gewinnbringend sein könnte, «Nein» sagen. Tatsächlich zählt es zum Job eines jeden Sicherheitsbeauftragten, eine gesunde Portion Paranoia zu pflegen – immerhin sind es die Sicherheitsleute, die sich Tag für Tag mit Bedrohungen, bösen Jungs und perfiden Gemeinheiten herumschlagen. Aber dabei geht es immer nur um eins: dem Unternehmen und jedem einzelnen Mitarbeiter dabei zu helfen, seinen Job gut und sicher zu erledigen. Daher geht es ihnen darum, sich aktiv an Problemlösungen zu beteiligen, nicht darum, ständig zu allem «Nein» zu sagen.
Letztlich sind es diese Möglichkeiten zur Problemlösung, die die Cybersicherheit zu einem so interessanten Arbeitsfeld macht. Da sich das gesamte Umfeld stetig verändert und sich die Technologien ständig weiterentwickeln, gibt es immer wieder neue Herausforderungen, die es zu lösen gilt.
So sieht sich unsere Branche derzeit beispielsweise mit der Herausforderung konfrontiert, Millionen von Menschen zu schützen, die aufgrund der COVID-19-Pandemie plötzlich aus der Ferne arbeiten müssen, sowie bösartige Cyberangriffe abzuwehren, die als Trittbrettfahrer auf der «Coronawelle» reiten. Und ganz sicher wird es morgen schon neue Herausforderungen geben, an die wir heute nicht einmal im Traum denken. Als Spezialist für Cybersicherheit zu arbeiten, bietet zahllose Facetten. Klar ist, dass es nie langweilig ist.