{"id":15946,"date":"2026-03-12T04:01:54","date_gmt":"2026-03-12T04:01:54","guid":{"rendered":"https:\/\/newestek.com\/?p=15946"},"modified":"2026-03-12T04:01:54","modified_gmt":"2026-03-12T04:01:54","slug":"wie-cisos-schlechte-angebote-enttarnen","status":"publish","type":"post","link":"https:\/\/newestek.com\/?p=15946","title":{"rendered":"Wie CISOs schlechte Angebote enttarnen"},"content":{"rendered":"<div>\n<div id=\"remove_no_follow\">\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<section class=\"wp-block-bigbite-multi-title\">\n<div class=\"container\"><\/div>\n<\/section>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<figure class=\"wp-block-image size-large\"><figcaption class=\"wp-element-caption\">Drum pr\u00fcfe\u2026<\/figcaption><\/figure>\n<p class=\"imageCredit\">Ground Picture | shutterstock.com<\/p>\n<\/div>\n<p>Security-Anbietern stehen viele Wege offen, um CISOs und Sicherheitsentscheider mit Lobpreisungen und Angeboten zu ihren jeweils aktuellen Produkten und L\u00f6sungen <a href=\"https:\/\/www.csoonline.com\/article\/3495241\/manager-burnout-wenn-cisos-ausbrennen.html\" target=\"_blank\">zu penetrieren<\/a>. Und die nutzen sie auch: Manche Sicherheitsverantwortliche erhalten mehr als 30 solcher Anfragen pro Woche \u2013 per Telefon, E-Mail oder auch \u00fcber LinkedIn.<\/p>\n<p>Um erkennen zu k\u00f6nnen, ob das potenzielle neue Produkt auch <a href=\"https:\/\/www.computerwoche.de\/article\/2823104\/9-strategien-gegen-ki-anbieterluegen.html\" target=\"_blank\">tats\u00e4chlich geeignet ist<\/a>, m\u00fcssen CISOs vor allem eines tun: die richtigen Fragen stellen. F\u00fcr diesen Artikel haben wir mit mehreren erfahrenen Security-Entscheidern gesprochen, die genau wissen, welche das sind.<\/p>\n<h2 class=\"wp-block-heading\" id=\"5-fragen-die-sie-security-anbietern-stellen-sollten\">5 Fragen, die Sie (Security-)Anbietern stellen sollten<\/h2>\n<p><strong>1. Wissen Sie \u00fcber mein Business Bescheid?<\/strong><\/p>\n<p>Potenzielle Anbieter zu fragen, ob sie die spezifischen Herausforderungen des jeweiligen Unternehmens verstehen, gibt Aufschluss dar\u00fcber, ob diese ihre \u201cHausaufgaben\u201d erledigt haben, erkl\u00e4rt <a href=\"https:\/\/www.linkedin.com\/in\/amitbasu\" target=\"_blank\" rel=\"noreferrer noopener\">Amit Basu<\/a>, CISO und CIO beim Logistikdienstleister International Seaways: \u201cIch erwarte, dass ein Anbieter L\u00f6sungen f\u00fcr die gesch\u00e4ftlichen Probleme meines Unternehmens vorweisen kann \u2013 und nicht nur eine Reihe generischer Funktionen f\u00fcr Probleme, mit denen andere Unternehmen konfrontiert sind.\u201d<\/p>\n<p>Dabei legt Basu nicht nur besonderen Wert darauf, dass die Anforderungen seines Unternehmens erf\u00fcllt werden. F\u00fcr ihn sei auch essenziell, dass ein neues Tool keine <a href=\"https:\/\/www.csoonline.com\/article\/4035024\/it-security-jobs-5-bittere-wahrheiten.html\" target=\"_blank\">technische \u00dcberlastung<\/a> verursache: \u201cEin neues Produkt ist nur dann relevant, wenn es die Sicherheit eindeutig verbessert, vorzugsweise ein oder mehrere bestehende Tools ersetzt und einen echten betrieblichen Bedarf erf\u00fcllt.\u201d<\/p>\n<p>In der Wahrnehmung des Sicherheitsentscheiders verlagerten sich viele Anbieter eher darauf, magische Features anzupreisen, statt zu demonstrieren, wie ihr Produkt reale Security-Probleme l\u00f6st: \u201cIch sch\u00e4tze Klarheit und Ehrlichkeit. Wenn ein Tool zwei Anwendungsf\u00e4lle gut l\u00f6st, ist das \u00fcberzeugender als die vage Behauptung, es k\u00f6nne zwanzig l\u00f6sen.\u201d<\/p>\n<p>In seiner Doppelrolle als CISO und CIO von International Seaways fokussiert sich Basu nach eigener Aussage vor allem darauf, sicherzustellen, dass Security integraler Bestandteil jeder neuen Technologie ist \u2013 und keine <a href=\"https:\/\/www.csoonline.com\/article\/3493061\/positiv-denken-fur-sicherheitsentscheider-6-mindsets-die-sie-sofort-ablegen-sollten.html\" target=\"_blank\">nachtr\u00e4gliche \u00dcberlegung<\/a>. \u201cSie k\u00f6nnen mir kein Security-Produkt verkaufen, das auf veralteter Technologie basiert, die unser Tech-Stack nicht unterst\u00fctzt. Die Integration muss nahtlos sein\u201d, h\u00e4lt Basu fest.<\/p>\n<p><strong>2. Ist Ihr Produkt in der Lage, zu entlasten und den Betrieb zu optimieren?<\/strong><\/p>\n<p>Wichtig zu wissen ist f\u00fcr CISOs au\u00dferdem, ob und wie ein potenzielles neues Tool die Arbeitsbelastung f\u00fcr die Mitarbeiter reduzieren, Risiken minimieren, die Ausfallsicherheit verbessern oder Prozesse vereinfachen kann. So fragt Basu etwa konkret bei Anbietern nach, ob ihr Produkt in der Lage ist, Funktionen zu konsolideren: \u201cIst das nicht der Fall, handelt es sich nur um eine weitere, punktuelle L\u00f6sung, die die Kosten treibt und den Wartungsaufwand erh\u00f6ht\u201d, erkl\u00e4rt der Sicherheits- und IT-Chef.<\/p>\n<p>Auch <a href=\"https:\/\/www.linkedin.com\/in\/joshuascott\" target=\"_blank\" rel=\"noreferrer noopener\">Joshua Scott<\/a>, CISO beim Plattformanbieter Hydrolix, kennt dieses Problem: \u201cIch sehe allzu oft Produkte, die scheinbar Mehrwert bieten, aber letztendlich nur L\u00e4rm verursachen. Etwa Tools, um Schwachstellen zu erkennen oder andere Scan-Werkzeuge, die dem Team letztlich nur mehr Arbeit bescheren.\u201d<\/p>\n<p>Entsprechend fokussiert Scott nach eigener Aussage seine Fragen an Anbieter insbesondere auf die Bereiche:<\/p>\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.csoonline.com\/article\/3494359\/der-grose-ki-risiko-guide.html\" target=\"_blank\">Risikominimierung<\/a>,<\/li>\n<li>Ausfallsicherheit, und<\/li>\n<li>Business Impact.<\/li>\n<\/ul>\n<p>Das war jedoch nicht immer so, wie der CISO zugibt: \u201cAnfangs habe ich solche Fragen nicht gestellt. Das kann dazu f\u00fchren, dass Sie am Ende eine technisch beeindruckende L\u00f6sung haben, die kein Problem l\u00f6st.\u201d<\/p>\n<p><strong>3. Wie hoch ist der Integrations- und Wartungsaufwand?<\/strong><\/p>\n<p>F\u00fcr <a href=\"https:\/\/www.linkedin.com\/in\/vasanthmadhure\" target=\"_blank\" rel=\"noreferrer noopener\">Vasanth Madhure<\/a>, CISO beim Softwareunternehmen Couchbase, z\u00e4hlen mit Blick auf neue Tools nicht nur die anfallenden Lizenzkosten, sondern auch die Implementierungs- und Schulungsanforderungen f\u00fcr das Security-Team. Deshalb m\u00f6chte der Sicherheitsentscheider es ganz genau wissen: \u201cIch frage nach, wieviel Zeit und Aufwand f\u00fcr Konfiguration und Betrieb des Produkts konkret einzuplanen sind. Einige Produkte sind recht unkompliziert, andere erfordern jedoch umfangreiche Konfigurationen.\u201d<\/p>\n<p>Wie Madhure hinzuf\u00fcgt, sei es auch wichtig zu wissen, ob Updates automatisiert oder manuell erfolgen \u2013 schlie\u00dflich wirke sich die laufende Wartung direkt auf die Arbeitsbelastung f\u00fcr die Mitarbeiter aus. \u201cIch sch\u00e4tze vor allem Tools, die klare, umsetzbare Reportings und aussagekraftige Dashboards bieten \u2013 und es idealerweise erm\u00f6glichen, den <a href=\"https:\/\/www.csoonline.com\/article\/3492322\/cybersecurity-messen-10-kennzahlen-die-cisos-weiterbringen.html\" target=\"_blank\">Reifegrad<\/a> des Sicherheitsprogramms im Zeitverlauf zu tracken\u201d, erkl\u00e4rt der CISO.<\/p>\n<p>Dar\u00fcber hinaus stellt der Couchbase-Manager auch sicher, keine b\u00f6sen \u00dcberraschungen im Nachgang zu erleben: \u201cMan will nicht in eine L\u00f6sung investieren, nur um dann navchtr\u00e4glich festzustellen, dass ein Upgrade auf eine Enterprise-Version n\u00f6tig ist oder ein zus\u00e4tzliches Produkt angeschafft werden muss, damit ein bestimmtes Feature funktioniert.\u201c<\/p>\n<p><strong>4. Wie sieht Ihr Update-Zyklus aus?<\/strong><\/p>\n<p>Hydrolix-CISO Scott befragt Anbieter ausgiebig zu ihren Update-Zyklen \u2013 und das aus gutem Grund, wie er erkl\u00e4rt: \u201cIch m\u00f6chte verstehen, wie Anbieter mit neuen Frameworks, Compliance-Vorschriften und Security-Herausforderungen Schritt halten. Insbesondere in sich schnell ver\u00e4ndernden Bereichen wie <a href=\"https:\/\/www.csoonline.com\/article\/3495294\/schwachstellen-managen-die-6-besten-vulnerability-management-tools.html\" target=\"_blank\">Vulnerability Scanning<\/a> oder <a href=\"https:\/\/www.computerwoche.de\/article\/4057811\/als-quereinsteiger-zum-security-job-ein-erfahrungsbericht.html\" target=\"_blank\">GRC<\/a>.\u201d<\/p>\n<p><strong>5. K\u00f6nnen Sie Ihre Aussagen mit praktischen Anwendungsf\u00e4llen belegen?<\/strong><\/p>\n<p>Es empfiehlt sich zudem, Anbieter nach konkreten Beispielen daf\u00fcr zu fragen, wie ihre L\u00f6sung bereits die Probleme gel\u00f6st hat, mit denen Sie selbst konfrontiert sind. \u201cSupport f\u00fcr etablierte Frameworks wie NIST CSF oder <a href=\"https:\/\/www.csoonline.com\/article\/3493162\/vom-aufstieg-eines-frameworks-mitre-attck-wird-strategisch-wichtig.html\" target=\"_blank\">MITRE ATT&amp;CK<\/a> sind zwar n\u00fctzlich. Noch wichtiger ist allerdings ein Nachweis \u00fcber optimierten Schutz, verk\u00fcrzte Erkennungs- und schnellere Reaktionszeiten oder auch geringere Kosten\u201d, konstatiert Basu.<\/p>\n<p>Um sicherzustellen, dass das potenzielle neue Tool keine Vaporware ist, eine <a href=\"https:\/\/www.computerwoche.de\/article\/2834420\/der-niedergang-des-user-interface.html\" target=\"_blank\">schlechte Benutzeroberfl\u00e4che<\/a> aufweist oder mit umst\u00e4ndlichen Funktionen entt\u00e4uscht, setzt Scott in erster Linie auf Live-Demos \u2013 und bezieht dabei auch sein Team mit ein: \u201cCISOs verstehen vielleicht auf einer h\u00f6heren Ebene, warum ein Produkt einen Mehrwert bietet. Aber es kann technische Details geben, die wir \u00fcbersehen haben \u2013 oder etwas anderes, dass die Praktiker einfach besser einordnen k\u00f6nnen.\u201d<\/p>\n<h2 class=\"wp-block-heading\" id=\"4-warnsignale-auf-die-sie-achten-sollten\">4 Warnsignale, auf die Sie achten sollten<\/h2>\n<p>In einer Sache sind sich alle CISOs, mit denen wir gesprochen haben, einig: Es gibt Dinge, die im Rahmen von Sales Pitches oder anderen Angeboten sofort die Alarmglocken schrillen lassen sollten. Dazu z\u00e4hlen demnach insbesondere:<\/p>\n<ul class=\"wp-block-list\">\n<li>vage oder abwegige Behauptungen,<\/li>\n<li>Panikmache, die darauf beruht Angst, Unsicherheit und Zweifel zu sch\u00fcren (etwa, wenn ein <a href=\"https:\/\/www.csoonline.com\/article\/3494678\/panik-wut-schuldgefuhle-die-emotionalen-phasen-eines-cyberangriffs.html\" target=\"_blank\">Sicherheitsvorfall<\/a> zur Verkaufstaktik wird),<\/li>\n<li>die geh\u00e4ufte Verwendung von <a href=\"https:\/\/www.csoonline.com\/article\/3492310\/security-buzzword-bingo-10-schlagworter-zum-abgewohnen.html\" target=\"_blank\">Buzzwords<\/a> ohne wirkliche Erkl\u00e4rung, und<\/li>\n<li>eine mangelnde Bereitschaft des Anbieters, Feedback zu seinen Verkaufsgespr\u00e4chen anzunehmen (kein gutes Signal f\u00fcr die k\u00fcnftige Zusammenarbeit).<\/li>\n<\/ul>\n<p>(fm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Drum pr\u00fcfe\u2026 Ground Picture | shutterstock.com Security-Anbietern stehen viele Wege offen, um CISOs und Sicherheitsentscheider mit Lobpreisungen und Angeboten zu ihren jeweils aktuellen Produkten und L\u00f6sungen zu penetrieren. Und die nutzen sie auch: Manche Sicherheitsverantwortliche erhalten mehr als 30 solcher Anfragen pro Woche \u2013 per Telefon, E-Mail oder auch \u00fcber LinkedIn. Um erkennen zu k\u00f6nnen, ob das potenzielle neue Produkt auch tats\u00e4chlich geeignet ist, m\u00fcssen&#8230; <\/p>\n<p class=\"more\"><a class=\"more-link\" href=\"https:\/\/newestek.com\/?p=15946\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-15946","post","type-post","status-publish","format-standard","hentry","category-uncategorized","is-cat-link-borders-light is-cat-link-rounded"],"_links":{"self":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/15946","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=15946"}],"version-history":[{"count":0,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/15946\/revisions"}],"wp:attachment":[{"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=15946"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=15946"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=15946"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}