Während der Chief Information Security Officer (CISO) in den Anfängen des Internets auf einen Computer und ein paar Antiviren-Programme beschränkt war, hat seine Bedeutung im Laufe der Jahrzehnte stetig zugenommen. Auch wenn die Leitworte – Vertraulichkeit, Integrität, Verfügbarkeit & Rückverfolgbarkeit der Daten – gleich geblieben sind, haben sich die Verzweigungen und Auswirkungen seiner Entscheidungen mit der Digitalisierung und der Übervernetzung der Unternehmen verstärkt. Er hat sich von jemandem, der die Rolle des Vermittlers und Förderers von Sicherheit als Wertschöpfer immer abgelehnt hat, zu einem Mitglied des Vorstands, der Rechtsabteilung, der Kommunikationsabteilung etc. entwickelt. Und wo wird er im Jahr 2040 stehen?
Man könnte meinen, dass man sich nur schwer vorstellen kann, was in 20 Jahren sein wird, wenn man sich nur die Menge der in den letzten 15 Jahren stattgefundenen Veränderungen ansieht. Eines ist jedoch sicher: Hacker, Viren und böswillige Benutzer wird es auch in Zukunft geben. Es wird somit immer jemand dafür zuständig sein, zu erklären, wie solche Risiken eingedämmt werden können, und sicherzustellen, dass die Daten unabhängig von Art und Menge absolut sicher behandelt werden. Und die Verantwortung des CISO wird immer größer: die von der Europäischen Kommission vorgelegte Allgemeine Datenschutzverordnung (DSGVO), die in der EU Ende Mai 2018 in Kraft tritt, dürfte der mit dieser Funktion verbundenen rechtlichen Problematik eine ganz neue Bedeutung verleihen.
Eine neue rechtliche Verantwortung
Die Auflagen im Bereich der Sicherheit sind keineswegs neu, als europäische Verordnung sieht die GDPR in Zukunft jedoch strengere Sanktionen für Unternehmen bei Verletzung ihrer Pflichten vor. Die Bedeutung, die dem Recht der Benutzer auf Löschung von Daten ab sofort zukommen wird, macht die Kontrolle von personenbezogenen Daten und deren Verarbeitung notwendiger denn je: Bei Nichteinhaltung sieht die GDPR eine Strafe vor, die bis zu 4 % des Umsatzes eines Unternehmens betragen kann – Dass bedeutet, dass der CISO die Zukunft seines Unternehmens in den Händen hält und dass Sicherheitslücken genauso schwerwiegend wie Unfälle mit Personenschaden oder größere Bugs sein können...
Im Jahr 2040 wird der CISO zum Glück nicht mehr alleine sein. Die Rolle des Datenschutzbeauftragten, die mit dem französischen Datenschutzgesetz vom 6. Januar 1978 eingeführt wurde, entwickelte sich gemeinsam mit den Gesetzestexten weiter. Er ist dafür verantwortlich, dass die Anforderungen des französischen Gesetzes (Datenschutzbehörde CNIL) eingehalten werden. Die neueste Gesetzesentwicklung deutet darauf hin, dass dieser derzeit noch optionale Posten verpflichtend werden soll. Ein weiterer verpflichtender Posten in den meisten Unternehmen ist der Data Protection Officer (DPO). Seine Rolle: die Einhaltung der Anforderungen in Bezug auf die Sicherheit von personenbezogenen Daten überwachen. An der Seite eines Security Officers, der sich weiterhin um potentielle Bedrohungen in Verbindung mit Bestands- und Preisdateien kümmert, konzentriert sich der DPO nur auf Kundendateien und deren Sicherung und wendet sich daher mehr den rechtlichen und finanziellen Fragen zu.
Bewältigung der technologischen Entwicklungen
Rechtliche Entwicklungen und Änderungen von Organisationsstrukturen sollten Hand in Hand mit den technologischen Entwicklungen gehen, die gerade erst in den Anfängen stehen. Künstliche Intelligenz und Machine Learning sind Bereiche, die dem CISO bereits jetzt Sorgen bereiten, aber was wird in 30 Jahren sein? Ihre unvermeidliche Entwicklung führt dazu, dass auf diejenigen, die darauf achten müssen, dass nicht nur Personen, sondern auch Roboter im Rahmen der durch den CISO festgelegten Sicherheitspolitik einen sicheren Zugriff auf vertrauliche Daten haben, viel Arbeit zukommen wird. Die Gefahren gehen nicht nur von außerhalb, sondern potentiell auch von innerhalb der Systeme aus: Wie soll man sich mit KI-Programmen, die zurzeit weder beherrscht noch von A bis Z klar beschrieben werden, vergewissern, ob eine Information integer und jederzeit verfügbar ist?
Wenn der Verantwortungsbereich des CISO vor etwa zwanzig Jahren nur auf Computer und deren Verbindung mit dem Internet beschränkt war, wird er heute immer größer und liegt nun auch in den Bereichen Datenbearbeitung in der Cloud und Internet der Dinge. Der Beruf an sich wird sich nicht grundlegend ändern: Aber das Tätigkeitsfeld wird sich weiter ausdehnen. Mit der Cloud verlassen die Daten die Grenzen des Unternehmens und gelangen in die Hände von Partnern. Wenn die Gestaltung und die Kontrolle der Sicherheitspolitik die Grundpfeiler des zukünftigen CISO bleiben sollen, sollten die Kommunikation und die Umsetzung dieser Politik für den Rest sorgen. Je zahlreicher die Partner sind, desto mehr muss die Sicherheit auf jedes einzelne Mitglied übertragen werden. Sie darf nicht nur Sache von einigen wenigen Verantwortlichen sein, die nicht alle Vorgänge überwachen können.
Am Runden Tisch der Minister?
Weiterhin alles zu kontrollieren wie zu Zeiten der isolierten Computer und der Antiviren-Programme, bleibt in einer Zeit, in der die Leute ständig verbunden sind, eine Utopie. Und wenn sich die Aufgabe selbst für die verstärkten CISOs als schwierig erweist, geht die Verantwortung über die Frage der Einhaltung der GDPR des Unternehmens hinaus. Im Zeitalter der Biometrie und des Klonens – es ist davon auszugehen, dass diese Begriffe bis 2040 weit weniger exotisch klingen als heute – steht im Falle eines Sicherheitslecks viel mehr auf dem Spiel als die Umsätze eines Unternehmens: Wenn diese dystopische Rechnung fortgeführt wird, kann man zu der Vorstellung gelangen, dass von uns selbst am anderen Ende der Welt Klone anhand von biometrischen Daten geschaffen werden, die möglicherweise gehackt worden sind...
Der Kampf gegen zukünftige Hacker kündigt sich schon jetzt spektakulär an. Zu Zeiten des einsamen CISO war das Unternehmen eine Burg auf einem Hügel, die mit Hilfe von Gräben und kybernetischen Fallgittern gegen Angriffe von außen verteidigt werden musste. Heute ist das Unternehmen ein Flughafen, ein wahres Drehkreuz der Informationsübertragung, von dem nur einige Bereiche hundertprozentig gesichert werden können – daher ist es unmöglich, ausnahmslos alle Vorgänge ständig zu überwachen. Um diesem Problem entgegenzuwirken, werden Honeypots entwickelt: ein System aus virtuellen Ködern, die bösartige Personen oder Programme anlocken sollen. Letztendlich kann es sogar mehr Köder als richtige Informationszentren in der Cloud geben.
Bis 2040 wird das Online-Unternehmen also keine Burg auf einem Hügel mehr sein – sondern eine Nadel im Heuhaufen. Was die Rolle des CISO betrifft, wird er - weit entfernt von seinem ursprünglichen Posten - zweifellos über den Vorstand des Unternehmens hinauswachsen: Als Garant für die Sicherheit der Mitgliedsstaaten könnte er an den Runden Tischen landen, die zukünftige Cyber-Konflikte verhindern sollen.
Wir danken Joseph Graceffa, Präsident von CLUSIR Nord de France, für seine wertvolle Hilfe beim Verfassen dieses Artikels in Zusammenarbeit mit Usbek & Rica.