Clare Patterson
Clare Patterson ist ein Mitglied des Beirats von CyberCompare. Als ehemalige CIO für Shell Energy leitete sie Programme zur Transformation von Cybersicherheit und IT-Infrastruktur. In diesem Zusammenhang wurde sie zu einem der Top-CIOs im Vereinigten Königreich ernannt. Jetzt spezialisiert sie sich weiter auf Cybersicherheit, indem sie an der University of Kent zu diesem Thema promoviert. Im folgenden Interview berichtet sie von ihren Erfahrungen auf dem Gebiet der IT-Sicherheit, gibt Empfehlungen, z. B. in OT-Sicherheit zu investieren, und betont die Wichtigkeit vielfältiger und interdisziplinärer Teams in der Cybersicherheitsbranche.
Liebe Clare, wir freuen uns sehr, dass Sie heute bei uns sind! Sie können im Bereich IT und IT-Sicherheitsberatung eine herausragende Karriere vorweisen, wurden zu einer der führenden CIOs in Großbritannien gekürt und verantworten heute die Bereiche IT-Infrastruktur und Cybersicherheit bei einem großen Konzern. Können Sie uns eine Anekdote aus Ihrer beruflichen Vergangenheit erzählen, die Sie auch im Nachhinein immer noch zum Schmunzeln bringt?
Ich habe einmal ein laufendes Projekt übernommen, das zuvor von einer anderen Beratungsgesellschaft betreut worden und angeblich fast abgeschlossen war. Es ging um die Implementierung einer neuen Zertifizierungsstelle oder auch Certification Authority (CA) genannt. Bei der Projektübergabe ging es eigentlich nur darum, sicherzustellen, dass die ursprünglichen Schlüssel sicher aufgesetzt waren, und um Penetrationstests für den CA-Server. Nach der Schlüsselzeremonie (Key Signing Ceremony) kam dann jemand aus meinem Team und sagte, der Server generiere offenbar keine Zertifikate. Der IT-Dienstleister erklärte auf Nachfrage, die Zertifikate habe man doch aus dem Projekt herausgenommen, weil der Klient ja keine Spezifikationen dafür bereitgestellt, das Design sonst aber abgesegnet habe. Sie hatten eine ausgeklügelte, sichere Box geliefert, die letztlich nichts bewirkte. Und sie hatten sogar noch den Mut, dem Klienten das Hosting der Box in Rechnung zu stellen! Wir haben letztlich alles zum Laufen gebracht und gelernt: Das Management von Sicherheitsprojekten müssen Menschen übernehmen, die auch tatsächlich etwas von Sicherheit verstehen.
Was bewegt Sie aktuell? (Wir wissen, dass Sie gern Rätsel lösen. Da interessiert uns natürlich, was Ihnen momentan Rätsel aufgibt.)
Ich habe vor Kurzem an einer Roadmap für die Umstellung auf einen Zero-Trust-Ansatz gearbeitet. Das ist eine interessante Herausforderung, weil es eine ganze Reihe von Anbietern für die unterschiedlichen Elemente gibt: Netzwerk, Authentifizierung, regelbasierter Zugang, Zugang zu den Anwendungen usw. Sie sind nicht immer miteinander kompatibel, und es ist mit einem hohem Aufwand verbunden, den richtigen Integrationsansatz zu ermitteln. Das Zero-Trust-Konzept betrifft eine Vielzahl von Bereichen: Architektur, IT-Infrastruktur, Identity and Access Management (IAM), Cyberabwehr, IT-Operations und IT-Strategieteams – und alle übrigen Bereiche der Organisation müssen die notwendigen Zugangsregeln verstehen. Das Unternehmen muss entscheiden, wie schnell das Projekt voranschreiten soll, mit welchen Ansatz („Big Bang“ oder Aufbau einer neuen Umgebung und allmähliche Migration auf diese Umgebung), was mit den Altsystemen geschehen soll, die mit der neuen Technologie nicht mehr kompatibel sind, und wer die Initiative managen soll. Das ist mit einem hohen Aufwand verbunden, aber die Unternehmen werden nicht darum herumkommen, denn ihr „Unternehmensnetzwerk“ wird aufgelöst, und sie brauchen einen dynamischeren Ansatz zum Schutz ihrer Daten.
Was war das schwierigste Problem, das Ihnen im Bereich IT-Sicherheit begegnet ist, und wie sind Sie und Ihr Team damit umgegangen?
Oh, da weiß ich gar nicht, wo ich anfangen soll. Sicherheitsprojekte sind häufig am kompliziertesten, weil sie so viele Bereiche einer Organisation betreffen. In einem Fall, der mir hier gleich auf Anhieb einfällt, ging es um die Analyse des Nutzerverhaltens. Viele Spezialanbieter werben damit, dass schlaue KI-Tools Anomalien erkennen können, aber mit den Tools allein ist es ja nicht getan. Da sind zunächst einmal die normalen Herausforderungen, die einem bei jedem Monitoring-Tool begegnen, zum Beispiel das Aufsetzen der Data-Feeds, das Konfigurieren und Optimieren von Regeln und so weiter. Was bei dieser Art von Projekt aber noch hinzukommt, sind erstens HR-Aspekte, denn wer Nutzer überwacht und aufgrund ihres Verhaltens gegebenenfalls mit disziplinarischen Maßnahmen belegt, muss ethische Fragen berücksichtigen und mit Bedacht kommunizieren. Zweitens müssen operative Manager hinzugezogen werden, damit der geschäftliche Kontext in die Bewertung von Warnmeldungen einfließen kann. Wir haben ein interdisziplinäres Team mit Vertreterinnen aus Cybersicherheit, IT-Operations, Corporate Security & Investigations, Human Resources, Recht und aus der internen Kommunikation zusammengestellt. Dann ist die Überwachung des Nutzerverhaltens zwar immer noch nicht einfach, aber sie ist ein wirklich wertvolles Cyberabwehr-Tool. Wichtig ist nur ein realistischer Blick auf das, was diese Art der Überwachung leisten kann und wie schnell.
Welche aktuellen technischen Entwicklungen im Bereich Cybersicherheit sind in Ihren Augen besonders interessant?
Die Deception Technology, wörtlich übersetzt Täuschungstechnologie, hat sich in den vergangenen Jahren stark verbessert und ist ein wirksames Tool für die Früherkennung von Ransomware-Angriffen und sogar für einige Insider-Bedrohungen. Die meisten Ransomware-Angreifer kundschaften heutzutage erst einmal die Umgebung aus, um die wichtigen Systeme ausfindig zu machen und einen Angriff auf diese Systeme zu planen. Die Täuschungstechnologie kann Ablenkungselemente, sogenannte Decoys, erstellen, die, wenn Angreifer darauf zugreifen, Warnmeldungen auslösen. Ich habe viele Marketingunterlagen gesehen, die eine Senkung der Überwachungskosten versprechen und suggerieren, man könne die traditionelle Überwachung lockern und sich stattdessen auf die Täuschungstechnologie verlassen, weil sie weniger falsch positive Ergebnisse hervorbringt (theoretisch hätten berechtigte Nutzer keinen Grund auf Decoys zuzugreifen). Ich bin da aber skeptisch. Bis sich die Technologie bewährt hat, bedeutet sie für Cyberabwehrteams erst einmal eine zusätzliche Belastung, weil die noch nicht bewährte Täuschungstechnologie nur effektiv sein kann, wenn sie aktiv gesteuert wird. Die besten, von Staaten finanzierten Angreifer sind unter Umständen in der Lage, ihren Ansatz so anzupassen, dass sie die Decoy-Warnungen gar nicht erst auslösen. Es ist eine interessante Entwicklung, und die Unternehmen sollten die Technologie durchaus ausloten und damit experimentieren. Sie sollten sich aber darüber im Klaren sein, dass Täuschungstechnologie kein Allheilmittel ist und in der Implementierung und Wartung einiges an Aufwand erfordert.
Welche weniger offensichtlichen Sicherheitskontrollen kommen Ihrer Erfahrung nach selten zum Einsatz, würden Sie aber empfehlen?
Eine gute Anlagenverwaltung ist eigentlich von grundlegender Bedeutung, wird aber häufig vernachlässigt, weil sie nicht besonders aufregend ist. Sie muss gut aufgesetzt und immer auf dem neuesten Stand sein, all diese Investitionen werfen aber keine leicht zu beziffernde Rendite ab. Dabei sind sämtliche Überwachungs-, Patching-, Incident-Response- und Testing-Aktivitäten ohne eine gute Anlagenverwaltung nicht effektiv. Das merken Sie dann auch – wenn Sie nämlich viele Überraschungen erleben. Es ist halt ein wenig wie mit dem Aufräumen: Es gibt Schöneres als die chaotische Garage, den vollgestellten Speicher oder die Krimskrams-Schublade aufzuräumen – auch wenn Sie wissen, dass Sie, wenn aufgeräumt ist, leichter saubermachen können und alles wieder schneller finden. Sie wissen, dass es mal gemacht werden müsste, aber es gibt immer Wichtigeres. Ich empfehle, für jede Art von Anlage klar festzulegen, wer dafür verantwortlich ist, sie auf dem neuesten Stand zu halten. Jedes Mal, wenn Sie auf Ungenauigkeiten stoßen, oder Daten fehlen, sollten Sie überprüfen, wie sich Aktualisierungen für die Zuständigen leichter gestalten lassen können – mit einer Art Total-Quality-Management, um die Präzision kontinuierlich zu verbessern. In Bezug auf grundlegende Aufgaben wie die Anlagenverwaltung die richtigen Erwartungen zu setzen und eine entsprechende Kultur zu etablieren, ist eine Führungsaufgabe.
Risiken entstehen häufig bei Unternehmenszusammenschlüssen und Partnerschaften. Auch hier liegt dies zum Teil an mangelnder Transparenz und unklaren Zuständigkeiten. Ich empfehle, immer auf die Ränder des Unternehmens zu achten, an denen das Kern-IT-Team die Dinge weniger standardisiert hat und weniger scharf kontrolliert.
Mehr als 99 Prozent aller Cyberangriffe sind nicht OT-spezifisch. Lohnt es sich Ihrer Erfahrung nach noch, in OT-Sicherheit zu investieren?
Absolut. Es gibt immer mehr staatliche Vorgaben, weil die Politik die Anfälligkeit kritischer Infrastruktur erkennt. Das ist ein wirklich schwieriger Bereich. Früher waren IT und OT in der Regel getrennt – für das eine waren IT-Spezialisten zuständig, für das andere Ingenieure. Kaum jemand war Experte in beiden Bereichen. Diese Trennung wird noch verschärft, wenn beide Bereiche bis zur Board-Ebene getrennt geführt werden. Da kann es sehr strenge Fehlertoleranzregelungen geben, viele Nischenanbieter, für die Zuverlässigkeit und operative Effizienz wichtiger sind als Sicherheit, und zahlreiche Altsysteme. Das ist ganz ähnlich wie im Finanzsektor, nur muss der Finanzsektor bereits seit mindestens 25 Jahren in Cybersicherheit investieren. Der OT-Sektor hatte hingegen bis vor nicht allzu langer Zeit den Luxus, sich nicht so sehr um Sicherheitsthemen und die entsprechende Regulierung kümmern zu müssen. Für Unternehmen ist es besser, ein Verständnis für diese Risiken zu entwickeln und in diesen Bereich zu investieren, bevor sie entweder durch Regulierungsbehörden oder durch Zwischenfälle dazu gezwungen werden.
Viele CIOs und CISOs berichten uns, dass Cybersicherheits-Dienstleister und Beratungsunternehmen sie mit Werbung und Marketingunterlagen regelrecht bombardieren. Was würden Sie Anbietern raten, um sich bei den Kunden Gehör zu verschaffen?
Nehmen Sie sich Zeit, das Geschäft und die aktuellen Prioritäten Ihrer Kunden kennenzulernen. Erklären Sie auf dieser Grundlage, wie Ihr Produkt hilft, Herausforderungen zu meistern: nicht nur mit einer Software, sondern auch bei Personal und Prozessen. Eine Software kann noch so beeindruckende Funktionen liefern – auf sich allein gestellt kann sie die Sicherheit nicht verbessern. Viele Anbieter verkaufen nur Software; ich empfehle, mit anderen zusammenzuarbeiten und Unternehmen umfassende Lösungen anzubieten. Klären Sie, wie Ihr Produkt in das bestehende Ökosystem passt und wie es dort implementiert und gepflegt wird. Wenn Sie unter Beweis stellen, dass Sie die Herausforderung wirklich verstehen, und alle Bereiche abdecken können, heben Sie sich von der Konkurrenz ab. CIOs und CISOs sind chronisch im Stress und brauchen Sicherheitsdienstleister, die einen Bereich ganzheitlich abdecken können; sie wollen die notwendigen Elemente nicht bei fünf verschiedenen Dienstleistern zusammensuchen und dann auch noch selbst zu einer funktionierenden Gesamtlösung zusammenfügen müssen.
Welche Halbwahrheit oder welcher Trugschluss begegnet Ihnen in der IT immer noch häufig?
„Das Personal ist das schwächste Glied in der Kette.“ Häufig herrscht der Eindruck, Unternehmen wären sicher, wenn nur die Mitarbeiterinnen und Mitarbeiter das nötige Sicherheitsbewusstsein hätten und sich an die Regeln hielten. Die Branche neigt zu der Annahme, dass es nur deshalb zu Vorfällen aufgrund von „menschlichem Versagen“ kommt, weil das Personal nicht genug weiß, dusselig ist oder Vorgaben missachtet. Um Sicherheit gewährleisten zu können, müssen wir klären, warum Menschen sich wirklich gefährdend verhalten. Die fünf Warum-Fragen können eine Reihe von Faktoren zutage fördern und aufdecken, in welchen Dilemmas Kollegen stecken. Die meisten Menschen wollen gute Arbeit leisten, werden aber mit widersprüchlichen Prioritäten konfrontiert und treffen ihre Entscheidungen im Kontext einer bestimmten Team- und Unternehmenskultur. Nur mit einer weiteren Infokampagne oder mit zusätzlichen Regeln lässt sich das Problem nicht lösen; ich bin vielmehr überzeugt davon, dass gute Sicherheit auf der psychologischen Sicherheit aufbaut, Dilemmas zu beseitigen, und auf einer Lernbereitschaft im Hinblick auf Herausforderungen und Zwischenfälle. Das macht eine Organisation anpassungsfähiger, und das Personal wird zu einem Faktor, der die Cybersicherheit verbessert.
Gibt es zu viele Frauen in der Cybersicherheit? Möchten Sie unseren Leserinnen und Lesern in diesem Punkt etwas mit auf den Weg geben?
Im Lauf meiner Karriere haben die Frauen in der Branche deutlich zugenommen; das ist toll, aber wir sind immer noch weit entfernt von 50 Prozent. Die Medien und die von Männern dominierte Cybersicherheitsbranche verbreiten das Bild von männlichen technologiebesessenen Nerds im Kapuzenpulli. Gute Sicherheitsexpertinnen und -experten brauchen zwar solide Fachkenntnisse, aber bei einer erfolgreichen Cybersicherheit geht es oft auch darum zu verhandeln, zu beeinflussen, zuzuhören, zusammenzuarbeiten und zu kommunizieren. Die technologischen Probleme sind oft einfacher zu lösen als die Schwierigkeiten in Bezug auf die Organisation, das Team, die Kompetenz und die Finanzen.
Es braucht diverse, interdisziplinäre Teams, um alle Sicherheitsaspekte abzudecken. Ideal ist eine Mischung in Bezug auf viele Faktoren – nicht nur Geschlecht und Alter, sondern auch Ausbildung, Nationalität, kognitiver Stil und Anderes. Es gibt viele komplizierte Herausforderungen, die gelöst werden wollen, und wir wissen, dass diverse Teams Probleme besser und kreativer lösen können. Es gibt nicht genügend ausgebildete Fachkräfte, deshalb müssen wir dafür sorgen, dass wir die intelligentesten und besten Frauen und Männer aus allen Gesellschaftsbereichen gewinnen.
Wenn Sie allen CIOs der Welt eine E-Mail schicken könnten, was wäre Ihre Kernbotschaft?
Das ist schwierig, weil die CIO-Rolle so breit angelegt ist. Organisationen hängen immer stärker von der IT ab, werden mit einem enormen Wachstum und noch größeren Erwartungen konfrontiert und müssen häufig sämtliche Altsysteme parallel am Laufen halten. Für mich sind die Investitionen in die richtigen Leute entscheidend: Ein erstklassiges Team mit zweitklassigen Systemen ist besser als ein überfordertes Team mit großartigen Systemen. Fähige Leute gewährleisten gute Entscheidungen, produktive Teams und einen guten Draht zu den Nicht-IT-Bereichen des Unternehmens. Das alles ist entscheidend, um eine IT zu haben, die das Unternehmen braucht und auf die es sich verlassen kann.
Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.
Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.
