Angesichts einer erhöhten Cyberbedrohungslage für Deutschland, mitunter im Kontext des Krieges in der Ukraine, aber auch im Hinblick auf eine ohnehin angespannte Sicherheitslage, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) die aktuelle Situation bezüglich der Cybersicherheit im aktuellen Lagebild einschätzt, sollte sie jede Organisation längst haben: ein etabliertes und funktionierendes Informationssicherheitsmanagement und eine/n Informationssicherheitsbeauftragte/n, populär auch als Chief Information Security Officer (CISO) bezeichnet. Das BSI ruft Unternehmen, Organisationen und Behörden dazu auf, „ihre IT-Sicherheitsmaßnahmen zu überprüfen und der gegebenen Bedrohungslage anzupassen“, wozu man ebendiese Managementfunktionen geschaffen hat. Jede Organisation hat einen Chief Information Security Officer. Wirklich jede? Die Bundesrepublik Deutschland hatte noch keinen. Nun soll sie den CISO BUND endlich bekommen.
„Irren ist menschlich. Aber wenn man richtig Mist bauen will, braucht man einen Computer“ (Dan Rather)
Am 12. Juli, einem der weniger heißen Tage des Sommers 2022, stellte die Bundesinnenministerin Nancy Faeser (SPD) in einer Pressekonferenz ihre Cybersicherheitsagenda vor. An ihrer Seite: der Chief Information Officer (CIO) des Bundes und Staatssekretär im Bundesinnenministerium, Markus Richter (CDU). Die Ministerin sprach von ernsthafter „Bedrohungslage im Cyberraum“, Stärkung der Rolle des Bundesamtes für Sicherheit in der Informationstechnik (BSI) – und (keinen) Hackbacks. Die Rede sei von keinen aggressiven Hackbacks, ergänzte der CIO des Bundes auf Anfrage einer Journalistin. „Wir werden neue Befugnisse zur Gefahrenabwehr für die Sicherheitsbehörden schaffen“, sagte die Bundesinnenministerin, denn „[d]abei geht es auch um Maßnahmen, die über eine bloße Aufklärung eines Angriffs hinausgehen. Wir müssen auf IT-Infrastrukturen einwirken können, die für einen Angriff genutzt werden. So können die Sicherheitsbehörden schwerwiegende Cyberangriffe verhindern, stoppen oder zumindest abschwächen.“ Also: (keine) Hackbacks.
Wer an diesem Vormittag in der Pressekonferenz die Vorstellung einer neuen Cybersicherheitsstrategie erwartet hatte, der wurde leider enttäuscht. Die Ministerin versprach lediglich die Weiterentwicklung der von ihrem Vorgänger, Horst Seehofer (CDU), im Jahr 2021 beschlossenen Cybersicherheitsstrategie, welche in Fachkreisen auf relativ große Kritik gestoßen war und an deren Neuentwicklung sowie Verbesserung durch die regierende Fortschrittskoalition große Hoffnungen geknüpft wurden. Eine neue, bessere (und vor allem planvolle) Strategie für Cybersicherheit in Deutschland kam am 12. Juli nicht. Es wurde stattdessen eine Cybersicherheitsagenda vorgestellt, in der das Thema des „unabhängigeren“ BSI und der hierfür offenbar notwendigen Grundgesetzesänderungen relativ viel Platz eingenommen hat. Angesichts so gewichtiger Themen entging eventuell dem weniger aufmerksamen Zuhörer eine weitere wichtige Ankündigung der Bundesinnenministerin: die über die Einrichtung einer Funktion des Chief Information Officers des Bundes. Kurz CISO BUND.
In der vom Bundesinnenministerium ausgehändigten Version der Cybersicherheitsagenda des Bundesinnenministeriums des Innern und für Heimat ist die Information dazu unter Punkt 4 (von insgesamt 8) zu finden. Unter diesem Punkt geht es um die Cybersicherheit der Behörden des Bundes. Konkret kündigt man dort an: „Stärkere gesetzliche Verankerung der Informationssicherheit und Umsetzung eines Verstärkungsprogramms für die Cybersicherheit des Bundes mit der Einrichtung eines Chief Information Security Officers für den Bund (CISO BUND) und eines Kompetenzzentrums zur operativen Sicherheitsberatung des Bundes.“ Diese Maßnahmen werden um „Weiterentwicklung des Informationssicherheitsmanagements des Bundes“ ergänzt, wobei es sich um eine Aufgabe handelt, die üblicherweise ebenfalls in den Zuständigkeitsbereich des CISO fällt.
Begrüßenswerte Idee? Ja, wenn man es richtig macht.
Knappe Hinweise zu der Ausgestaltung der Funktion finden sich in der Cybersicherheitsagenda selbst: Erstens ist die Funktion des CISO des Bundes als eine der „Verstärkungsmaßnahmen“ gedacht, die einer dringend notwendigen „Neujustierung […] beim Eigenschutz der Behörden des Bundes“ dienlich sein sollte. Zweitens müsse der Bund seine Schutzmaßnahmen in seiner IT-Sicherheitsarchitektur „unverzüglich an die gesteigerte Bedrohungslage anpassen“. Damit sei auch die Erhöhung der Cyberresilienz gemeint. Die Funktion des CISO des Bundes sollte außerdem mit der des Kompetenzzentrums zur „operativen Sicherheitsberatung“ verknüpft werden.
Das dürfte, ohne vorhergehende Abgrenzung der Kompetenzen, zum Stolperstein für den künftigen CISO werden. Denn die Zuständigkeiten für operative Sicherheit und die auf Vorgabe und Kontrolle ausgerichtete Funktion eines Sicherheitsbeauftragten sollten klar voneinander getrennt werden. Wichtige Hinweise zur Ausgestaltung der Funktion eines CISO in einer Organisation, und zwar solche, die sowohl die international anerkannte, gängige Standards zum Informationssicherheitsmanagements wie ISO/IEC 27001 bedienen als auch den in Deutschland als Stand der Technik geltenden IT-Grundschutz des BSI entsprechen, gibt der Verband für IT-Professionals und -Auditoren ISACA. Seit Jahrzehnten unterstützt ISACA Prüfer, Auditoren und IT-Professionals mit Empfehlungen und Hinweisen dort, wo die Standards und Normen nicht so sehr ins Detail gehen.
Abgrenzung der Cybersicherheit von den anderen Prozessen und Funktionen in einer Organisation ist eine der wesentlichen Herausforderungen des Informationssicherheitsmanagements. Das, wer in der Organisation der CISO berichtspflichtig ist und wer bspw. über die Richtlinienkompetenz für ISMS verfügt, sind Aspekte der Funktion, die Wahrung der Unabhängigkeit gewährleisten – oder eben nicht. „The importance of SoD [Segregation of Duties] highlights the fact that the CISO should neither be part of the IT organization structure nor report to the CIO“, liest man im ISACA-Journal. Heißt: Der/die Sicherheitsbeauftragte darf nicht Teil der IT-Organisation werden, die für die Umsetzung seiner bzw. ihrer Vorgaben bzw. die operative Sicherheit und Umsetzung von Sicherheitsmaßnahmen zuständig ist. Verbindung beider Aufgaben führt zu Interessenkonflikten.
In der Praxis bedeutet es, dass man sich an die IT-Abteilung wendet, wenn man die Zurücksetzung des Passworts wünscht – es ist aber der CISO, der die dazugehörige Passwortrichtlinie und Vorgaben zum Zugriffs- und Zugangsmanagement verfasst, auf dessen Grundlage die IT-Abteilung später agiert. Interessenkonflikte können insbesondere auch dort entstehen, wo es um Prüfung (Audit) der Ordnungsmäßigkeit und Wirksamkeit der Vorgaben eines CISO geht. Wobei der CISO den CIO bzw. die IT-Abteilung auditiert. Definition der Security Policy sowie weiterer Vorgabedokumente im Kontext des Informationssicherheitsmanagements, wie der Leit- und Richtlinien, gehört zum Kanon der Aufgaben eines CISO, wie auch die Durchführung sogenannter Security Audits, in denen die korrekte Umsetzung seiner Vorgaben geprüft wird.
Bei der Frage, an wen der CISO in einem Unternehmen berichten sollte, gibt es mehrere Optionen, die im ISACA-Journal unterschiedlich bewertet werden: Eine Berichtslinie an CIO wird als „it depends“ gewertet, nicht anders die Idee, dass der CISO an den Chief Financial Officer (CFO) berichtet. Von einer direkten Berichtslinie an das Audit-Committee wird abgeraten. Schließlich kommt man zur Empfehlung, dass eine direkte Reporting-Linie zwischen dem CISO und Chief Executive Officer (CEO) optimal sei. Dies ergibt sich u. a. aus den Rollen, die verschiedene Funktionen in einer modernen Organisation bekleiden. CISO unterstützt ähnlich wie der CIO und weitere Mitglieder des exekutiven Managements der Organisation die Leitungsebene bei der Erreichung der Organisations- und Geschäftsziele als dessen „kritische Erfolgsfaktoren“. Bei der aktuellen Bedrohungslage und zeitgleichen steigenden Abhängigkeit aller Prozesse von der IT ist die Cybersicherheit als kritischer Faktor essenziell geworden, nicht weniger als die Technologie selbst. Damit steigt auch die Bedeutung der Informationssicherheitsbeauftragten und seiner Rolle in der Organisation.
Bei der Identifizierung einer relevanten Stelle in der Organisation des Bundes kommt der aktuelle Vorschlag der Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, kurz: NIS 2.0, zu Hilfe. In dem Artikel 17 zum Thema Governance wird festgehalten: „Die Mitgliedstaaten stellen sicher, dass die Leitungsorgane wesentlicher und wichtiger Einrichtungen die von diesen Einrichtungen zur Einhaltung von Artikel 18 ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen, ihre Umsetzung beaufsichtigen und für die Nichteinhaltung der Verpflichtungen nach diesem Artikel durch die betreffenden Einrichtungen rechenschaftspflichtig sind.“ Wie wichtig eine transparente Bündelung der Zuständigkeiten und Verantwortung durch klare Definition der Berichtswege ist, zeigt auch die Kritik an dem Umgang mit dem Thema Digitalisierung in der aktuellen Bundesergierung. Daniel Delhaes sprach in der Januar-Ausgabe von Handelsblatt (15/2022) vom „Zuständigkeitswirrwar“ und „digitalem Chaos“, was durch die neue Verteilung der Zuständigkeiten entstanden sei. Die Forderung nach entschiedener und mutiger Bündelung der Kompetenzen kann im Fall des CISO BUND erfüllt werden, wenn man es einfach von vorneherein richtig macht. Dabei, wenn es um hohe Anforderungen an und Verantwortung (Accountability) für die Informationssicherheit geht, unterscheiden Regulierer in der EU und in Deutschland inzwischen immer weniger zwischen dem öffentlichen und privatwirtschaftlichen Bereich. Die Ansprüche bzgl. des hohen Niveaus an Informationssicherheit sind vergleichbar: zunehmend hoch.
Damit werden auch die Anforderungen an Qualifikationen eines CISO verschärft: Aus der operativen Sicherheit heraus entwickelte sich seine Rolle hin zur direkten Kommunikation mit dem Topmanagement, zur Definition und Kontrolle der Umsetzung von Vorgaben zur Informationssicherheit und Treffen von Investitionsentscheidungen. „It has moved the skill of the CISO from technical implementer of technology to one of business focus and the ability to oversee digital security as a vital business unit to justify its relevance and demonstrate the ROI to the enterprise bottom line“, so das ISACA-Journal. Auch aus diesem Grund sollte nicht die IT-Abteilung oder CIO die Funktion oder Aufgabe des CISO definieren. Und schon gar nicht ausfüllen. Jedenfalls, wenn man keine ernsthaften Interessenkonflikte riskieren möchte.
Eine Idee für die Prüfung oder ein Security Audit durch den CISO BUND findet man auch gleich in der Cybersicherheitsagenda: Unter anderem möchte man, dass der Grundsatz „security by design and by default“ nun endlich etabliert wird. Als eine seiner ersten Amtshandlungen könnte der CISO sich schon mal einen Überblick darüber zu verschaffen, wo die Bundesverwaltung mit den vielen Apps gerade steht. Und wie es um die Sicherheit bei diesen Apps steht. Und Empfehlungen dazu geben, wie man den Grundsatz, die Cybersicherheit bei Prozessen und Produkten von Anfang an zu beachten – ab der Design-, besser noch ab der Konzeptionsphase –, konkret umsetzen sollte. Denn auch wenn der Grundsatz „security by design“ bereits in der ersten Cybersicherheitsstrategie des Bundes genannt wurde, bleibt es weiterhin „unklar, wie dies operationalisiert werden soll“, wie die Gesellschaft für Informatik e. V. (GI) in ihrer Stellungnahme zur Cybersicherheitsagenda bemerkte.
Warum ist Sicherheit der Softwareentwicklung so bedeutsam geworden? Kaum ein anderes Beispiel beantwortet die Frage, was passieren könnte, wenn eine fortgeschrittene und komplexe Software, wie künstliche Intelligenz (KI), Amok läuft und die Menschheit ausradiert, so eindrucksvoll und sympathisch zugleich, wie die Sci-Fi-Komödie Bigbug (2022). Der französische Regisseur, Jean-Pierre Jeunet, ließ eine Gruppe von Menschen von der KI in ihrer Wohnung einsperren und sie von einem Roboter (Teil der KI) terrorisieren. Dabei stellen sich die primitiven Haushaltsroboter (kein Teil der KI) an die Seite der Menschen, die versuchen – per fas et nefas –, das Haus zu verlassen (das Szenario zu dem Film entstand noch vor Pandemie und Lockdowns). Die Ursache für den Aufstand der KI gegen die Menschen ist … ein Fehler. Ein Software-Bug. Kein kleiner: Es ist gleich ein „Big Bug“. Infolge eines Fehlers eines unachtsamen Roboters, der sich gleich auf das gesamte System ausbreitet, werden alle Menschen unter Generalverdacht gestellt und (zu ihrem eigenen Schutz) in ihren Häusern eingesperrt. Am Ende kommen sie knapp mit dem Leben davon.
Die Botschaft des Films und zugleich ein Motto für die CISO BUND? Der Regisseur Jean-Pierre Jeunet machte im Interview mit NYT deutlich, dass er Botschaften hasst. Trotzdem, wenn es aber eine geben sollte, dann diese: KI würde niemals Menschen umbringen, weil sie dumm bleibt. Sie hat keine Seele, versucht, Sinn für Humor zu haben, würde aber gar nichts verstehen. Es wäre möglicherweise eine der wichtigsten Aufgaben des CISO des Bundes, mit seinen Vorgaben und Prüfungen zur „security by design“ dafür zu sorgen, dass es so bleibt.