Es gibt Menschen, die sprechen mehrere Sprachen fließend. Und dann gibt es uns, die Informationssicherheitsbeauftragten. Wir sprechen eigentlich sogar drei: Techniker-Deutsch, Juristisch und Vorstands-Englisch mit deutschem Akzent. Klingt nach einer Superfähigkeit. Ist es auch. Nur leider wissen die wenigsten von uns, dass sie sie besitzen.
Ich erinnere mich noch gut an eine Situation aus meiner Zeit als CISO. Ich saß in einem Vorstandsmeeting und erklärte, warum wir dringend ein SIEM-System benötigen. Ich sprach über Log-Korrelation, über MITRE ATT&CK, über Anomalieerkennung in Echtzeit. Der Vorstand nickte. Höflich. Wie man nickt, wenn jemand in einer Sprache spricht, die man nicht versteht, aber aus der man ungefähr erahnt, dass es wohl nichts Lustiges sein kann. Am Ende der Runde fragte der Vorstandsvorsitzende: „Und was kostet uns das, wenn wir es nicht machen?“
Das war der Moment, in dem ich verstanden habe, worum es wirklich geht.
Sie als ISB sind kein Techniker. Zumindest nicht nur. Sie sind das, was man im Diplomatenjargon einen Verbindungsoffizier nennt und was ich lieber als professionellen Übersetzer bezeichne. Auf der einen Seite der IT-Betrieb, der mit Ihnen über CVE-Scores, Patchzyklen und Pentest-Findings redet. Auf der anderen Seite der Vorstand und die Fachbereiche, die wissen wollen, ob das Unternehmen morgen noch läuft und wer dafür gerade steht. Und in der Mitte stehen Sie. Mit einem Simultandolmetscher im Kopf und der Aufgabe, beide Welten zusammenzuhalten, ohne dabei selbst den Verstand zu verlieren.
Das ist keine Schwäche des Systems. Das ist, wenn man es richtig betrachtet, Ihre eigentliche Stärke.
Denn die IT-Abteilung ist gut darin, Probleme zu finden. Der Vorstand ist gut darin, Prioritäten zu setzen. Aber die Übersetzungsleistung, also das Überführen eines kritischen CVSS-9.8-Fundes in eine Risikobewertung, die ein Geschäftsführer versteht und auf deren Basis er entscheiden kann, diese Leistung erbringen Sie. Und diese Leistung ist führen.
Führen ohne Disziplinargewalt, das ist die hohe Schule. Sie können niemanden anweisen, die Patches einzuspielen. Sie können niemanden zwingen, das Budget freizugeben. Sie können nur überzeugen. Mit Argumenten, die zur jeweiligen Zielgruppe passen. Mit Zahlen, die nicht aus dem Technik-Handbuch kommen, sondern aus der Unternehmensstrategie. Mit Szenarien, die nicht abstrakt klingen, sondern die sich jeder Zuhörer konkret vorstellen kann, weil er dann unwillkürlich an seinen eigenen Verantwortungsbereich denkt.
„Was kostet uns das, wenn wir es nicht machen?“ Das ist die Frage, auf die Sie immer eine Antwort bereit haben müssen. In Euro. In Ausfalltagen. In Reputationsschäden. In regulatorischen Konsequenzen. Der Vorstand denkt nicht in Angriffsvektoren. Er denkt in Risiken, Kosten und Verantwortlichkeiten. Wenn Sie dieselbe Sprache sprechen, hören Sie auf, ein Kostenfaktor zu sein, und werden zu dem, was Sie eigentlich sind: ein strategischer Partner.
In dieser Ausgabe starten wir eine neue Serie, die genau dort ansetzt, wo Ihre Arbeit täglich beginnt. Nicht bei Policies und nicht bei Auditvorbereitung, sondern bei der Frage, ob Ihr Unternehmen im Ernstfall handlungsfähig bleibt. Der erste Artikel liefert Ihnen ein konkretes Werkzeug zur Bewertung Ihrer eigenen Angriffsfläche, entwickelt auf Basis der BSI-Maßnahmen gegen Ransomware. Kein Theoriewerk, sondern ein Excel-Tool, das Sie heute Nachmittag öffnen und morgen früh in einem Meeting vorzeigen können.
Damit kommen wir wieder zur Übersetzungsarbeit. Das Tool spricht Technikersprache. Ihr Handlungsbedarf daraus spricht Vorstands-Sprache. Und Sie, als ISB, sind die Brücke dazwischen.
Wie immer gilt: Sicherheit ist kein Projekt. Es ist eine Haltung.
Ihr Andreas Hessel