Hallo zusammen,<\/p>\n\n\n\n
an wen sollten CISOs berichten? An CEO, CFO, CIO, CRO oder direkt an die LinkedIn Fanboys?<\/p>\n\n\n\n
Im DACH Raum scheint noch das tradierte Modell mit dem CIO als Vorgesetzten zu \u00fcberwiegen. Bei DoorDash ist das Security-Team dagegen Teil der Rechtsabteilung, nach Aussage des CISOs eine gute L\u00f6sung \u2013 vermutlich, weil der Umgang mit Kundendaten und Compliance (z.B. Zahlungsabwicklung) im Vordergrund steht. Ausnahmetatbestand? Oder Vorbote eines \u00fcblicher werdenden Modells, n\u00e4mlich vornehmlich vertraglich festgelegte<\/strong>r Security-Ergebnisse<\/strong>?<\/p>\n\n\n\n Dazu passt die Schlagzeile der FT: \u201eMcKinsey is under pressure from clients to tie its fees to outcomes achieved<\/strong>\u201d. Kunden stellen nach einem Blick in den Chatbot den Mehrwert von Berater-Ratschl\u00e4gen in Frage. Und den zeitlichen Aufwand, der f\u00fcr die Erarbeitung dieser Ratschl\u00e4ge sowie von ansehnlichen PowerPoint-Folien veranschlagt wird. Ehrlicherweise ist das eine Entwicklung, die schon vor geraumer Zeit eingesetzt hat. Konzernriegen sind voll mit Alumni von McK, Bain oder BCG, die in ihren neuen Rollen die Proposal-Letter ihrer Ex-KollegInnen kritisch be\u00e4ugen.<\/p>\n\n\n\n Nachvollziehbar messbare Leistungen wie konkrete Implementierungen statt generischer Strategien nerven Seniorpartner, die sich die goldenen Zeiten zur\u00fcckw\u00fcnschen. In denen man als Trusted Advisor des CEOs Handshake-Deals in Millionenh\u00f6he vereinbaren konnte. Ohne Beauty Contests von l\u00e4stigen Eink\u00e4ufern. Um Prof. Fink (WGMB) zu zitieren: \u201eDer erfolgsabh\u00e4ngige Teil der Honorare wird immer \u00f6fter erst dann f\u00e4llig, wenn sich der Erfolg auch wirklich eingestellt hat.<\/strong>\u201c Krass \ud83d\ude09.<\/p>\n\n\n\n Auch erste Software-Hersteller wie Salesforce stellen ihre Bezahlmodelle um \u2013 statt Pauschallizenzen pro Nutzer<\/strong> bezahlen Kunden zuk\u00fcnftig pro (agentisch) erledigtem Workflow<\/strong>.<\/p>\n\n\n\n Im Security-Marketing \u00fcberwiegen allerdings bisher blumige Botschaften: <\/strong>Unser SOC nutzt KI! Wir haben die beste Threat Intelligence! Wir machen regelm\u00e4\u00dfig Threat Hunting! Bei uns gibt es adaptive H\u00e4rtung! Unsere XDR Plattform zieht \u00fcber 35 Module alle Signale zusammen und korreliert in Nanosekunden, um auch identit\u00e4tsbasierte Angriffe zu erkennen! Das Netzwerk l\u00fcgt nicht, deshalb NDR! Phishingresistentes MFA! Unser SIEM kommt mit 200 vorkonfigurierten Use Cases out of the box, die alle Angriffspfade abdecken! Wir haben ein BSI C5 Testat! Unser CEO war Gr\u00fcndungsmitglied der Unit 8200!<\/em><\/p>\n\n\n\n Ketzerische Frage: Who cares?<\/strong> Am Ende z\u00e4hlt doch f\u00fcr Kunden, dass Sch\u00e4den durch Cyberangriffe vermieden werden. Umso erstaunlicher, dass das Gros der Werbebotschaften keine Aussagen dazu enth\u00e4lt. Die meisten Claims zu differenzierenden Merkmalen sind gar nicht differenzierend, k\u00f6nnen durch Kunden kaum gepr\u00fcft werden und vermeiden jegliche Garantie der Wirksamkeit. Auf gut deutsch: Bitte nicht darauf verlassen, wir \u00fcbernehmen keine Verantwortung.<\/strong><\/p>\n\n\n\n Es gibt aber auch r\u00fchmliche Ausnahmen<\/strong>. Den Anfang in eine aus meiner Sicht gute Richtung hat (glaube ich) 2016 SentinelOne<\/strong> mit der ersten Breach Warranty gemacht, Crowdstrike<\/strong> hat schnell nachgezogen. Inzwischen bieten ~10 MDR\/MSOC Provider (von ~130 im DACH Markt) eine \u00e4hnliche Zusage. Rubrik, VEEAM<\/strong> und NetApp<\/strong> und wahrscheinlich ein paar andere bieten Ausgleichszahlungen, falls die Wiederherstellung doch nicht gelingen sollte. Aikido<\/strong> bietet eine Geld-zur\u00fcck-Garantie, falls bei Pen Tests keine High Severity oder Critical Findings aufgedeckt werden. Einige physische Sicherheitsdienste bieten variable Komponenten in Abh\u00e4ngigkeit davon, ob Audits erf\u00fcllt oder Red Teaming \u00dcbungen erfolgreich bestanden werden.<\/p>\n\n\n\n Nat\u00fcrlich steckt der Teufel in Details von Terms & Conditions<\/strong>, insb. Ausschl\u00fcssen und Obliegenheitspflichten der Kunden. Kein Anbieter will einen Rechtsstreit mit dem Kunden. Und selbstverst\u00e4ndlich ist eine Ausgleichszahlung in den bisher \u00fcblichen H\u00f6hen nur ein Trostpflaster, wenn man in den Tr\u00fcmmern der ehemaligen IT Infrastruktur steht. Aber bei einfallsreicher Ausgestaltung bleibt eine st\u00e4rkere Verkn\u00fcpfung der Ziele<\/strong> von Kunden und Anbieter. Im Idealfall sind die Erfolgskriterien die gleichen, die auch der CISO in seiner Bonusvereinbarung hat<\/strong>. So sind die Risiken f\u00fcr Security-Anbieter tragbar und es entsteht eine echte Partnerschaft<\/strong>: Diese setzt n\u00e4mlich immer eine Interessengemeinschaft<\/strong> voraus.<\/p>\n\n\n\n