„Strategie ist ein Kompass, kein Bauplan.“
Helen Rabe, CISO bei BBC, formuliert sieben Prinzipien für ihre Führungsrolle in der Sicherheit
Auf der ISC2 Secure London hat Helen Rabe, CISO der BBC, die Sicherheits- und IT-Chefs dazu aufgefordert, starre Modelle zu vergessen und sich stattdessen auf kontextbezogene Führung zu konzentrieren. Von politischem Bewusstsein über Kulturentwicklung bis hin zu Resilienz hat sie einen Sieben-Punkte-Plan vorgestellt, der auf Einflussnahme, Abstimmung und ständiger Anpassung basiert.
Helen Rabe, Chief Information Security Officer bei der BBC, begann ihre Keynote auf der ISC2 Secure London mit einer Unterscheidung, die den Ton für ihre gesamte Keynote angab: Strategie und Blaupause sind nicht austauschbar. Strategie, so argumentierte sie, sei ein Kompass – eine Leitlinie, die einen CISO von einer Organisation zur nächsten begleiten kann. Eine Blaupause hingegen sei eine Karte: spezifisch, kontextbezogen und für jedes Unternehmen neu gezeichnet.
Diese Unterscheidung ist wichtig, weil CISOs häufig Komplexität, Lücken und historische Risikobeschlüsse erben, die nicht nahtlos mit einem Lehrbuchmodell übereinstimmen.
Rabe erzählte von dem Rat, den sie vom CTO der BBC erhielt, als sie 2022 ihre Tätigkeit dort aufnahm. Der CTO forderte sie auf, drei bis sechs Monate lang zuzuhören, Fragen zu stellen und zu beobachten. Die BBC ist eine hochkomplexe Organisation. Revolutionäre sind dort in der Regel nicht erfolgreich.
„Unterschätzen Sie niemals die Macht des Sekretariats“, betonte Rabe. Diese Personen sind für die Kommunikation mit dem Vorstand unverzichtbar. Sie sind Verbündete, die die Tagesordnung kontrollieren, den Informationsfluss gestalten und dazu beitragen, die Strategie des CISO zu bestätigen.
Kritiker sind genauso wichtig. „Wer könnte deine Strategie blockieren und warum?“, fragte Rabe das Publikum.
„Baut dieses Netzwerk auf. Situationsbewusstsein, das politisches, operatives und kulturelles Bewusstsein umfasst, ist keine Zeitverschwendung. Es ist grundlegende Intelligenz.“
Sieben-Punkte-Strategie
In mehreren Organisationen hat Rabe sieben dauerhafte Prinzipien umgesetzt, die ihren Ansatz untermauern. Sie skizzierte jedes einzelne für das Publikum von Secure London.
Klarheit des Zwecks
„Wenn Sie die Gründe und die Logik Ihrer Strategie nicht klar darlegen können, wird es Ihnen schwerfallen, Unterstützung zu finden“, sagte sie. Strategische Ziele müssen sich an den Unternehmenszielen orientieren.
Bei der BBC bedeutet dies, sich an der Unternehmensstrategie „Value for All“ auszurichten und sicherzustellen, dass Sicherheitsinitiativen zu den gewünschten Ergebnissen in Bereichen wie dem Zuschauererlebnis führen.
„Es handelt sich selten um eine binäre Zuordnung“, gab Rabe zu bedenken.
„Sicherheit ist weit entfernt von den meisten Geschäftsprozessen, aber selbst eine teilweise Ausrichtung zeigt ihren Wert.“
Verwenden Sie die Risikosprache der Organisation
Sicherheitsverantwortliche müssen die Risikosprache sprechen, die ihre Organisation bereits verwendet. „Welche Rahmenbedingungen und Methoden verwenden sie und wie kategorisieren sie Risiken?“
Rabes mächtigstes Werkzeug, so sagte sie, ist ihre Risikomatrix. Als sie zur BBC kam, stellte sie „ein sehr großes Restrisiko“ fest. Einige Punkte waren seit Jahren offen, was sie als „Freikarten aus dem Gefängnis“ bezeichnete. Ihre Strategie sah vor, das Restrisiko innerhalb von zwei Jahren um 75 % zu reduzieren. Mit klarer Führung und Konsequenz hat die Organisation dieses Ziel erreicht.
Kultur ist genauso wichtig wie Kontrolle
Mit 22.000 festangestellten Mitarbeitern und 50.000 Freiberuflern ist die BBC ebenso auf menschliches Verhalten wie auf technische Kontrollen angewiesen. „Wenn Menschen unsere erste Verteidigungslinie sind, was tun wir dann, um ihnen zu helfen?“, fragte Rabe. Zu oft, so argumentierte sie, kritisieren Sicherheitsteams die Nutzer, ohne den Kontext zu erklären.
Im Jahr 2023 startete Rabe eine dreijährige Kampagne namens „Secure Together“, weil sie wusste, dass das Bewusstsein für Cybersicherheit verbessert werden musste. Im ersten Jahr ging es vor allem um Sichtbarkeit.
„Im ersten Jahr ging es darum, den Menschen das Sicherheitsteam und dessen Wert zu zeigen. Wir haben so viele Roadshows im ganzen Unternehmen gemacht“, sagte sie.
Im zweiten Jahr ging es darum, Sicherheit als Spaß zu verkaufen. „Denkt daran, dass unser Fokus darauf liegt, Verhaltensweisen zu ändern“, erklärte Rabe. „Im zweiten Jahr drehte sich alles um Escape Rooms und lustige Events. Wir waren überzeichnet und hatten ein riesiges Engagement.“
Rabe fuhr fort: „Im letzten Jahr ging es um das Warum. Warum bitte ich Sie, MFA zu verwenden? Warum bitte ich Sie, keine E-Mails an Ihre privaten Konten zu senden? Es geht darum, das Warum in einen Kontext zu setzen, und das war sehr erfolgreich, weil es für die Menschen nachvollziehbar ist.“
Kultur, so betonte sie, könne nicht asymmetrisch sein: „Überzeugen Sie sie, zu Ihnen zu kommen.“
Governance und Messung
Rabe gab zu, dass dies nach wie vor eine ihrer persönlichen Herausforderungen ist. In einer föderalen Organisation sprechen die Leute verschiedene Messdialekte – OKRs, KPIs, Metriken. Der Schlüssel liegt darin, zu verstehen, was für den Risikoausschuss und den Vorstand wichtig ist. Rabe erklärte:
„Wir sind wieder bei der Sprache des Risikos angelangt, also stellen Sie diese Fragen. Gehen Sie nicht zu ChatGPT, sondern sprechen Sie mit den Leuten, die diese Metriken mit Ihnen verwalten und den Wert betrachten, den Sie in der Strategie liefern.“
Bei der BBC findet gerade eine große Veränderung in dieser Messung statt. Im Rahmen ihrer Charta-Erneuerung für 2027 wechselt die BBC von einem ISO-basierten Risikorahmen zum britischen Cyber Assessment Framework (CAF). Nach der Bewertung der Auswirkungen und des Werts im Jahr 2025 befindet sich die Organisation jetzt in einem entscheidenden Jahr vor der vollständigen Umstellung im Jahr 2026 – was bedeutet, dass die Strategie für 2027 ganz anders aussehen wird.
Resilienz durch Design
„Wenn ich in eine Organisation komme, gehe ich von einem Scheitern aus. Die Strategie muss dies berücksichtigen“, sagte Rabe. Resilienz geht weit über Sicherheit hinaus – sie betrifft die Geschäftskontinuität und die operativen Teams und erfordert Partnerschaft. Rabe sagte, dass sie etwa 40 % ihrer Zeit damit verbringt, diese Beziehungen aufzubauen.
Bei der BBC werden kritische Systeme triagiert und zwei davon werden jährlich in Live-Übungen mit externen Parteien getestet. Die Vorteile dieser Übung in Bezug auf die objektive Prüfung der Systemresilienz liegen auf der Hand, aber ein weiterer Vorteil ist die Ausweitung der Verantwortung auf die Systembesitzer.
„Man sagt den Besitzern dieser kritischen Systeme, dass dies ihre Strategie ist und sie Teil dieser Diskussion sind“, sagte Rabe. „Was man als CISO nicht will, ist, für einen Vorfall verantwortlich gemacht zu werden, der zwar ein Cybersicherheitsvorfall ist, aber durch einen Ausfall eines Geschäftsprozesses verursacht wurde.“
Partnerschaft und Einfluss
„Zu lange war die Sicherheit nur ein Mitläufer“, meinte Rabe. „Wenn CISOs als Wegbereiter für das Geschäft gesehen werden wollen, müssen wir aus dem Schatten treten.“
Sichtbarkeit ist wichtig. Rabe sitzt im Net-Gen-Ausschuss der BBC – kein Sicherheitsforum, sondern ein strategisches Gremium, das Einfluss, Vertrauen und frühzeitiges Engagement schafft.
„Die Leute müssen auf dich zukommen“, sagte sie. „Das passiert, wenn du Verbündete pflegst und verstehst, wo Hindernisse liegen könnten.“
Kontinuierliche Anpassung
CISOs müssen die Prinzipien eins bis sechs in Erwartung kontinuierlicher Veränderungen umsetzen. Wie Rabe erklärte: „Die Geschäftslandschaft verändert sich, und du musst dich darauf einstellen.“
Fazit
Strategien sind lebendige Dokumente, und CISOs müssen sie mit Blick auf Veränderungen entwerfen.
Rabes Keynote war letztlich ein Aufruf an CISOs, mit Kontext, Kommunikation und Bescheidenheit voranzugehen. Ein Entwurf muss immer wieder neu gezeichnet werden – aber eine starke, gut durchdachte Strategie dient als Kompass, der es Führungskräften ermöglicht, einen Weg durch die komplexesten Umgebungen zu finden.
Für Sicherheitsverantwortliche war es eine eindringliche Erinnerung daran, dass die Rolle des CISO nicht nur darin besteht, Systeme, Daten und Menschen zu schützen. Es geht darum, das gesamte Unternehmen zu verstehen, zu beeinflussen und durch ständige Veränderungen zu führen.
Dieser Artikel erschien ursprünglich auf unserer Schwester-Website Computing.