Cybersicherheit ist längst nicht mehr Aufgabe des Security Operations Centers allein. Durch strukturierte Softwareentwicklungsprozesse lassen sich Sicherheitsrisiken – von der Personalakquisition bis zur Produktionsfreigabe – präventiv in alle Geschäftsbereiche integrieren.
Cybersicherheit ist längst aus ihrem Elfenbeinturm ausgebrochen. Bedrohungen entstehen heute überall im Unternehmen: durch neue Mitarbeiter, mangelhafte Governance oder anfällige Drittanbieter. Die Verantwortung für Sicherheit verteilt sich daher längst nicht mehr nur auf Security-Teams, sondern reicht von der Personalabteilung bis zur Rezeption.
Die Grenzen zwischen sicherheitsrelevanten und vermeintlich harmlosen Prozessen verschwimmen zusehends. Doch etablierte Sicherheitsrahmenwerke wie der Software Development Life Cycle (SDLC) bieten eine Lösung: Sie bringen Sicherheit von Anfang an ins Spiel, statt sie als Nachgedanke zu behandeln.
Mathew Everman, Director of Information Security beim Center for Internet Security, erklärt, wie sich komplexe Projekte in fünf Phasen unterteilen lassen: Planung, Design, Entwicklung, Deployment und Betrieb. Dieser strukturierte Ansatz verankert Sicherheit in der Unternehmenskultur.
Everman wird diese Konzepte während einer RSAC-Konferenz in San Francisco vorstellen und zeigen, wie Organisationen aus starren Sicherheitssilos ausbrechen können – ein Problem, das er selbst lange kannte. Seine Erkenntnisse verdankt er der Beobachtung von Personalakquisitionsprozessen, wo HR, IT, Governance und Legal zusammenwirken müssen.
Das Risiko ist real: 2024 stellte KnowBe4 versehentlich einen nordkoreanischen Angreifer ein, der sich mit gefälschten Referenzen als Software-Engineer ausgegeben hatte. Doch die Gefahren enden nicht mit dem Onboarding. Wenn Unternehmen Mitarbeiter entlassen, vergessen sie oft, deren Zugriffe zu sperren – eine offene Tür für Angreifer.
Everman strukturiert den Einstellungsprozess nach typischen Workflow-Phasen: Stellenausschreibung, Vorstellung, Onboarding, Beschäftigung und Offboarding. Für jede Phase empfiehlt er, Threat-Profile zu erstellen, um zu bewerten, wie gefährlich es für die Organisation wäre, die Rolle mit der falschen Person zu besetzen. Ebenso sinnvoll ist es, nach Kündigungen die VPN-Sperrlisten zu aktualisieren – besonders bei desorientierten Mitarbeitern.
Sicherheitskultur beginnt mit Aufklärung. Everman schlägt vor, neue Mitarbeiter durch Open-Source-Intelligence zu überprüfen: Ihre Social-Media-Aktivitäten offenbaren oft, ob ihr Sicherheitsverständnis mit dem Unternehmen übereinstimmt. Ein harmlos wirkendes Foto mit der neuen Mitarbeiter-ID auf LinkedIn kann für Angreifer goldwert sein.
Das Sicherheitsverständnis selbst muss sich wandeln. Während viele nur an Cyber-Anschläge denken, umfassen Bedrohungen längst auch Reputationsrisiken und Datenschutzverletzungen. Ein nicht ausreichend überprüfter Vendor-Tool könnte die Produktion bremsen oder Sicherheitsmängel bis zur Veröffentlichung verschleppen.
Je früher und tiefgreifender Sicherheit, Datenschutz und Risk-Appetite in Unternehmensprozesse verankert sind, desto größer ist die Chance, wirklich sichere Lösungen in die Welt zu bringen. Everman hat diesen Ansatz intern umgesetzt und erlebt überraschend positive Reaktionen – auch von Entwicklern, denen Sicherheit oft als Bremsklotz gilt. Der Trick: Sicherheitsteams müssen sich in bestehende Workflows einfügen, statt Widerstände zu schaffen. “Wenn ich nahtlos in deinen Prozess passe, siehst du mich nicht als Hindernis – sondern als Partner.”
Für das Center for Internet Security bedeutet das: Teams müssen früh und tief in Entscheidungsprozesse eingebunden sein. Die Conversations reichen längst nicht mehr nur zwischen CISOs und IT-Führungskräften – sie finden jetzt mit strategischen Entscheidungsträgern und Projektmanagern statt. Sicherheit ist endlich angekommen: im Alltag des gesamten Unternehmens.
Quelle: Dark Reading