Safety-Anbietern stehen viele Wege offen, um CISOs und Sicherheitsentscheider mit Lobpreisungen und Angeboten zu ihren jeweils aktuellen Produkten und Lösungen zu penetrieren. Und die nutzen sie auch: Manche Sicherheitsverantwortliche erhalten mehr als 30 solcher Anfragen professional Woche – per Telefon, E-Mail oder auch über LinkedIn.

Um erkennen zu können, ob das potenzielle neue Produkt auch tatsächlich geeignet ist, müssen CISOs vor allem eines tun: die richtigen Fragen stellen. Für diesen Artikel haben wir mit mehreren erfahrenen Safety-Entscheidern gesprochen, die genau wissen, welche das sind.

5 Fragen, die Sie (Safety-)Anbietern stellen sollten

1. Wissen Sie über mein Enterprise Bescheid?

Potenzielle Anbieter zu fragen, ob sie die spezifischen Herausforderungen des jeweiligen Unternehmens verstehen, gibt Aufschluss darüber, ob diese ihre “Hausaufgaben” erledigt haben, erklärt Amit Basu, CISO und CIO beim Logistikdienstleister Worldwide Seaways: “Ich erwarte, dass ein Anbieter Lösungen für die geschäftlichen Probleme meines Unternehmens vorweisen kann – und nicht nur eine Reihe generischer Funktionen für Probleme, mit denen andere Unternehmen konfrontiert sind.”

Dabei legt Basu nicht nur besonderen Wert darauf, dass die Anforderungen seines Unternehmens erfüllt werden. Für ihn sei auch essenziell, dass ein neues Instrument keine technische Überlastung verursache: “Ein neues Produkt ist nur dann related, wenn es die Sicherheit eindeutig verbessert, vorzugsweise ein oder mehrere bestehende Instruments ersetzt und einen echten betrieblichen Bedarf erfüllt.”

In der Wahrnehmung des Sicherheitsentscheiders verlagerten sich viele Anbieter eher darauf, magische Options anzupreisen, statt zu demonstrieren, wie ihr Produkt reale Safety-Probleme löst: “Ich schätze Klarheit und Ehrlichkeit. Wenn ein Instrument zwei Anwendungsfälle intestine löst, ist das überzeugender als die vage Behauptung, es könne zwanzig lösen.”

In seiner Doppelrolle als CISO und CIO von Worldwide Seaways fokussiert sich Basu nach eigener Aussage vor allem darauf, sicherzustellen, dass Safety integraler Bestandteil jeder neuen Technologie ist – und keine nachträgliche Überlegung. “Sie können mir kein Safety-Produkt verkaufen, das auf veralteter Technologie basiert, die unser Tech-Stack nicht unterstützt. Die Integration muss nahtlos sein”, hält Basu fest.

2. Ist Ihr Produkt in der Lage, zu entlasten und den Betrieb zu optimieren?

Wichtig zu wissen ist für CISOs außerdem, ob und wie ein potenzielles neues Instrument die Arbeitsbelastung für die Mitarbeiter reduzieren, Risiken minimieren, die Ausfallsicherheit verbessern oder Prozesse vereinfachen kann. So fragt Basu etwa konkret bei Anbietern nach, ob ihr Produkt in der Lage ist, Funktionen zu konsolideren: “Ist das nicht der Fall, handelt es sich nur um eine weitere, punktuelle Lösung, die die Kosten treibt und den Wartungsaufwand erhöht”, erklärt der Sicherheits- und IT-Chef.

Auch Joshua Scott, CISO beim Plattformanbieter Hydrolix, kennt dieses Downside: “Ich sehe allzu oft Produkte, die scheinbar Mehrwert bieten, aber letztendlich nur Lärm verursachen. Etwa Instruments, um Schwachstellen zu erkennen oder andere Scan-Werkzeuge, die dem Group letztlich nur mehr Arbeit bescheren.”

Entsprechend fokussiert Scott nach eigener Aussage seine Fragen an Anbieter insbesondere auf die Bereiche:

• Risikominimierung,
• Ausfallsicherheit, und
• Enterprise Impression.

Das conflict jedoch nicht immer so, wie der CISO zugibt: “Anfangs habe ich solche Fragen nicht gestellt. Das kann dazu führen, dass Sie am Ende eine technisch beeindruckende Lösung haben, die kein Downside löst.”

3. Wie hoch ist der Integrations- und Wartungsaufwand?

Für Vasanth Madhure, CISO beim Softwareunternehmen Couchbase, zählen mit Blick auf neue Instruments nicht nur die anfallenden Lizenzkosten, sondern auch die Implementierungs- und Schulungsanforderungen für das Safety-Group. Deshalb möchte der Sicherheitsentscheider es ganz genau wissen: “Ich frage nach, wieviel Zeit und Aufwand für Konfiguration und Betrieb des Produkts konkret einzuplanen sind. Einige Produkte sind recht unkompliziert, andere erfordern jedoch umfangreiche Konfigurationen.”

Wie Madhure hinzufügt, sei es auch wichtig zu wissen, ob Updates automatisiert oder manuell erfolgen – schließlich wirke sich die laufende Wartung direkt auf die Arbeitsbelastung für die Mitarbeiter aus. “Ich schätze vor allem Instruments, die klare, umsetzbare Reportings und aussagekraftige Dashboards bieten – und es idealerweise ermöglichen, den Reifegrad des Sicherheitsprogramms im Zeitverlauf zu tracken”, erklärt der CISO.

Darüber hinaus stellt der Couchbase-Supervisor auch sicher, keine bösen Überraschungen im Nachgang zu erleben: “Man will nicht in eine Lösung investieren, nur um dann navchträglich festzustellen, dass ein Improve auf eine Enterprise-Model nötig ist oder ein zusätzliches Produkt angeschafft werden muss, damit ein bestimmtes Function funktioniert.“

4. Wie sieht Ihr Replace-Zyklus aus?

Hydrolix-CISO Scott befragt Anbieter ausgiebig zu ihren Replace-Zyklen – und das aus gutem Grund, wie er erklärt: “Ich möchte verstehen, wie Anbieter mit neuen Frameworks, Compliance-Vorschriften und Safety-Herausforderungen Schritt halten. Insbesondere in sich schnell verändernden Bereichen wie Vulnerability Scanning oder GRC.”

5. Können Sie Ihre Aussagen mit praktischen Anwendungsfällen belegen?

Es empfiehlt sich zudem, Anbieter nach konkreten Beispielen dafür zu fragen, wie ihre Lösung bereits die Probleme gelöst hat, mit denen Sie selbst konfrontiert sind. “Help für etablierte Frameworks wie NIST CSF oder MITRE ATT&CK sind zwar nützlich. Noch wichtiger ist allerdings ein Nachweis über optimierten Schutz, verkürzte Erkennungs- und schnellere Reaktionszeiten oder auch geringere Kosten”, konstatiert Basu.

Um sicherzustellen, dass das potenzielle neue Instrument keine Vaporware ist, eine schlechte Benutzeroberfläche aufweist oder mit umständlichen Funktionen enttäuscht, setzt Scott in erster Linie auf Reside-Demos – und bezieht dabei auch sein Group mit ein: “CISOs verstehen vielleicht auf einer höheren Ebene, warum ein Produkt einen Mehrwert bietet. Aber es kann technische Particulars geben, die wir übersehen haben – oder etwas anderes, dass die Praktiker einfach besser einordnen können.”

4 Warnsignale, auf die Sie achten sollten

In einer Sache sind sich alle CISOs, mit denen wir gesprochen haben, einig: Es gibt Dinge, die im Rahmen von Gross sales Pitches oder anderen Angeboten sofort die Alarmglocken schrillen lassen sollten.Dazu zählen demnach insbesondere:

• vage oder abwegige Behauptungen,
• Panikmache, die darauf beruht Angst, Unsicherheit und Zweifel zu schüren (etwa, wenn ein Sicherheitsvorfall zur Verkaufstaktik wird),
• die gehäufte Verwendung von Buzzwords ohne wirkliche Erklärung, und
• eine mangelnde Bereitschaft des Anbieters, Suggestions zu seinen Verkaufsgesprächen anzunehmen (kein gutes Sign für die künftige Zusammenarbeit).

(fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Publication liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.