{"id":15269,"date":"2025-12-05T04:06:50","date_gmt":"2025-12-05T04:06:50","guid":{"rendered":"https:\/\/newestek.com\/?p=15269"},"modified":"2025-12-05T04:06:50","modified_gmt":"2025-12-05T04:06:50","slug":"das-ciso-paradoxon-innovation-ermoglichen-und-risiken-managen","status":"publish","type":"post","link":"https:\/\/newestek.com\/?p=15269","title":{"rendered":"Das CISO-Paradoxon: Innovation erm\u00f6glichen und Risiken managen"},"content":{"rendered":"
\n
\n
\n
\n
\n
\n
<\/div>\n<\/section>\n
\n
CISOs sollten eng mit anderen Teams zusammenarbeiten.<\/figcaption><\/figure>\n

eamesBot \u2013 shutterstock.com<\/p>\n<\/div>\n

Eine der Hauptaufgaben von CISOs<\/a> besteht darin, nicht mehr die \u201eAbteilung des Neins\u201c zu sein. Sie m\u00fcssen Wege finden, die schnelle Bereitstellung von Produkten und Dienstleistungen f\u00fcr das Unternehmen zu erm\u00f6glichen, ohne gleichzeitig neue Risiken einzuf\u00fchren.<\/p>\n

Das ist, kurz gesagt, das Paradoxon. In einem Umfeld, in dem Produktteams st\u00e4ndig neue Technologien testen und Updates in Rekordgeschwindigkeit bereitstellen m\u00fcssen, k\u00f6nnen traditionelle Audits am Ende des Entwicklungszyklus nicht mithalten. Sicherheit muss vorgelagert werden. Sie muss in den t\u00e4glichen Betrieb integriert werden, mit proaktiven, umsetzbaren Ma\u00dfnahmen, die Innovationen f\u00f6rdern, anstatt sie zu bremsen.<\/p>\n

CISOs m\u00fcssen daher von Anfang an enger mit den Teams zusammenarbeiten, um klare und praktische Risikotoleranzen festzulegen und Sicherheit in die Entwicklungsabl\u00e4ufe zu integrieren.<\/p>\n

Fr\u00fchzeitig Partnerschaften eingehen, um Ergebnisse zu gestalten<\/h2>\n

CISOs gewinnen nicht an Einfluss, wenn sie erst am Ende auftauchen. Sie m\u00fcssen ihre Gatekeeper-Mentalit\u00e4t ablegen und vom ersten Tag an echte Partner sein. In der Vergangenheit, als Sicherheitsma\u00dfnahmen erst in der Endphase eingef\u00fchrt wurden, standen Entscheidungstr\u00e4ger vor einer schwierigen Wahl: Projektverz\u00f6gerungen akzeptieren oder unverminderte Risiken in Kauf nehmen. Als Produktzyklen noch quartalsweise waren und Geschwindigkeit nicht \u00fcber die Wettbewerbsf\u00e4higkeit entschied, war dieser Ansatz sinnvoll. In der heutigen Realit\u00e4t mit KI-gesteuerter Produktentwicklung funktioniert ein solcher Prozess in einem Umfeld, das aus Wochensprints, kontinuierlicher Bereitstellung und Abh\u00e4ngigkeiten von Herstellern besteht, nicht mehr.<\/p>\n

Wenn die Sicherheitsabteilung die Umsatzziele, Kundenversprechen und regulatorischen Risiken versteht, werden die Leitlinien konkret und hilfreich. Unternehmen sollten daher jedem Produktteam einen Sicherheitsbeauftragten zur Seite stellen. Dadurch gibt es immer eine vertraute Person, die sich mit Entscheidungen zu Identit\u00e4t, Datenfl\u00fcssen, Protokollierung und Verschl\u00fcsselung befasst, sobald diese anstehen. Wir sollten nicht wollen, dass Entwickler f\u00fcr eine einfache Frage zweiw\u00f6chige Tickets er\u00f6ffnen m\u00fcssen. Es sollte offene \u201eSprechstunden\u201d, Chat-Kan\u00e4le und kurze Telefonate geben, damit sie sofortiges Feedback zu Entscheidungen wie API-Design, Verschl\u00fcsselungsanforderungen und regionalen Datenbewegungen erhalten.<\/p>\n

B\u00fcrokratie muss im Sicherheitsumfeld abgeschafft werden. Sicherheitsmanager sollten an Sprint-Planungen und fr\u00fchen Design-Reviews teilnehmen, um wichtige Fragen zu kl\u00e4ren \u2013 beispielsweise Authentifizierungspfade, Least-Privilege-Zugriffe, Logging-Abdeckungoder wie \u00c4nderungen in der Produktion durch SIEM und EDR \u00fcberwacht werden. Wenn CISOs mit am Tisch sitzen, \u00e4ndert sich die Frage von \u201eK\u00f6nnen wir das machen?\u201c zu \u201eWie machen wir das sicher?\u201c und schon vom ersten Tag an werden bessere Ergebnisse erzielt.<\/p>\n

Risikotoleranzen und Leitplanken festlegen<\/h2>\n

Teams werden langsamer, wenn sie sich nicht sicher sind, wie sie vorgehen sollen. Deshalb sollten ihnen ein Teil der Entscheidungsfindung abgenommen und die Integration von Authentifizierung, Autorisierung und Abrechnung in den Entwicklungsprozess \u00fcbernommen werden. F\u00fcr die Authentifizierung sollten Sie L\u00f6sungen f\u00fcr das Identit\u00e4tsmanagement im Unternehmen einrichten und nutzen, anstatt Accounts zu entwickeln, die fest in Datenbanken geschrieben werden und die leicht kompromittierbar sind.<\/p>\n

Sicherheitschefs m\u00fcssen au\u00dferdem standardisierte rollenbasierte Zugriffskontrollstufen definieren, die eine klare Aufgabentrennung im L\u00f6sungsdesign gew\u00e4hrleisten. Dazu sollte die Abrechnung nicht nur aus Protokollen bestehen, sondern Daten mit hoher Kardinalit\u00e4t zur Erkennung von Anomalien erfassen. Anschlie\u00dfen m\u00fcssen diese in ein zentrales SOC<\/a> (Security Operations Center) zur Erkennung und Reaktion auf Bedrohungen integriert werden. Produktentwicklungsteams sollten nicht mit Sicherheitsaufgaben betraut werden; stattdessen sollten andere Teams die Sichtbarkeit der Bedrohungen f\u00fcr die L\u00f6sungen in der Produktion im Auge behalten.<\/p>\n

CISOs<\/a> m\u00fcssen die Risikobereitschaft des Unternehmens in einer Gesch\u00e4ftssprache definieren, die keine Interpretationsspielr\u00e4ume zul\u00e4sst. Sie sollten festlegen, welche Profile von Drittanbietern einer eingehenden Bewertung bed\u00fcrfen und welche als begrenzte Pilotprojekte mit kompensierenden Kontrollen durchgef\u00fchrt werden k\u00f6nnen. Entscheiden Sie, welche Schwachstellen einen Merge blockieren m\u00fcssen und welche mit einem zeitlich begrenzten Behebungsplan fortgesetzt werden k\u00f6nnen. Kl\u00e4ren Sie, welche Datenklassifizierungen regionen\u00fcbergreifend sein d\u00fcrfen und welche Schutzma\u00dfnahmen daf\u00fcr erforderlich sind.<\/p>\n

Anschlie\u00dfend m\u00fcssen diese Entscheidungen in Automatisierung umgesetzt werden. Integrieren Sie Schutzma\u00dfnahmen in CI\/CD und Infrastructure-as-Code, damit die Durchsetzung konsistent und sichtbar ist. Scannen Sie jeden Code-Commit auf Schwachstellen, und wenn eine \u00c4nderung gegen eine kritische Richtlinie verst\u00f6\u00dft, schl\u00e4gt der Build fehl \u2013 mit einer klaren Begr\u00fcndung und einem L\u00f6sungsweg. Liegt die \u00c4nderung innerhalb der Toleranzen, wird er ohne manuelles Eingreifen fortgesetzt. Das Ergebnis ist Governance als Beschleuniger: vorhersehbar, transparent und abgestimmt auf die Arbeitsweise der Entwicklungsteams.<\/p>\n

Security-by-Design in schnelle Entwicklerzyklen integrieren<\/h2>\n

Wenn Entwickler mehrmals t\u00e4glich Code bereitstellen, funktioniert eine \u201eabschlie\u00dfende Sicherheits\u00fcberpr\u00fcfung\u201d vor der Ver\u00f6ffentlichung einfach nicht. Dieses traditionelle Gatekeeping-Modell am Ende des Prozesses blockiert nicht nur Innovationen, sondern vers\u00e4umt es auch, reale Risiken zu erkennen. Um effektiv zu sein, muss Sicherheit w\u00e4hrend der Entwicklung<\/a> eingebettet werden und nicht erst nachtr\u00e4glich \u00fcberpr\u00fcft werden.<\/p>\n

Wenn der sichere Weg schwieriger ist als der unsichere Weg, werden Entwickler jedes Mal den einfachen Weg w\u00e4hlen. Die Aufgabe des CISO besteht nicht darin, ein 50-seitiges PDF zu verteilen, sondern Sicherheit direkt in die Entwicklerumgebung zu integrieren und ihnen vorab gepr\u00fcfte, geh\u00e4rtete Templates mit bereits integrierter Authentifizierung und Autorisierung zur Verf\u00fcgung zu stellen, die standardm\u00e4\u00dfig sicher sind. Wenn die sichere Komponente einfacher zu verwenden ist als die unsichere Alternative, k\u00f6nnen Entwickler sie problemlos und jederzeit einsetzen.<\/p>\n

Automatisierung ist die Durchsetzungsebene f\u00fcr diese Strategie. Wenn Sicherheitstools direkt in die CI\/CD-Pipeline integriert sind, ist Feedback fast in Echtzeit verf\u00fcgbar. So kann das Team bei kritischen Risiken \u201eschnell scheitern\u201c und gleichzeitig umsetzbare Korrekturen vornehmen.<\/p>\n

Diese Disziplin muss sich bis in die Produktion hineinziehen. Selbst mit erstklassigen DevSecOps wissen wir, dass Zero-Day-Angriffe oder Konfigurationsabweichungen auftreten k\u00f6nnen. Deshalb sollten wir uns auf \u00fcbergreifende L\u00f6sungen zum Schutz von Webanwendungen verlassen, die eine robuste Web-Application-Firewall mit Laufzeit-Angriffsabwehr und Selbstschutz integrieren. Diese L\u00f6sungen mindern Schwachstellen und Risiken in Echtzeit, w\u00e4hrend die Anwendung in der Produktion l\u00e4uft. Sie verschaffen den Entwicklungsteams die entscheidende Zeit, die sie ben\u00f6tigen, um das zugrunde liegende Problem ohne Dienstunterbrechung oder Sicherheitsverletzung zu beheben. Zudem wird so sichergestellt, dass wir selbst dann eingreifen k\u00f6nnen, wenn alle anderen Kontrollen versagen.<\/p>\n

Laufzeit-Telemetrie und risikobasierte Warnmeldungen sind die letzte Schutzschicht in diesem Konzept. Dies f\u00f6rdert einen kulturellen Wandel, der es Entwicklern erm\u00f6glicht, die volle Verantwortung f\u00fcr ihre Anwendungen zu \u00fcbernehmen, von der ersten Codezeile bis hin zur Produktion. Die Sicherheit wiederum erreicht so eine umfassende und dauerhafte Abdeckung, ohne zum Engpass zu werden. (jm)<\/p>\n

Lesetipp: Vaillant-CISO im Interview \u2013 \u201cStarten statt Warten\u201d<\/a><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

CISOs sollten eng mit anderen Teams zusammenarbeiten. eamesBot \u2013 shutterstock.com Eine der Hauptaufgaben von CISOs besteht darin, nicht mehr die \u201eAbteilung des Neins\u201c zu sein. Sie m\u00fcssen Wege finden, die schnelle Bereitstellung von Produkten und Dienstleistungen f\u00fcr das Unternehmen zu erm\u00f6glichen, ohne gleichzeitig neue Risiken einzuf\u00fchren. Das ist, kurz gesagt, das Paradoxon. In einem Umfeld, in dem Produktteams st\u00e4ndig neue Technologien testen und Updates in… <\/p>\n

Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-15269","post","type-post","status-publish","format-standard","hentry","category-uncategorized","is-cat-link-borders-light is-cat-link-rounded"],"_links":{"self":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/15269","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=15269"}],"version-history":[{"count":0,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/15269\/revisions"}],"wp:attachment":[{"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=15269"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=15269"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=15269"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}