Weshalb «Null» die wichtigste Zahl für einen CISO ist

Zero Trust, 0-Day, Patient Null, Stunde Null: Diese Konzepte prägen die Cyberdefence und damit die Arbeit eines CISOs wesentlich. Eines CISOs, dessen Rolle und Verantwortung im Unternehmen sich stark wandelt.

August 2025, Text:  Andreas Heer, Bild: Swisscom           8 Min.

So beginnen Albträume für Sicherheitsverantwortliche: Anfangs Juni 2025 wurde eine kritische Lücke im Webmailer «Roundcube» bekannt, der mindestens 85 000 Instanzen weltweit betraf. Andere Quellen sprachen sogar von 53 Millionen potenziell betroffenen Systemen. Kurz nach Erscheinen eines Patches nutzten Cyberkriminelle die Lücke bereits aus. Sofortiges Aktualisieren war angesagt.

Diese 0-Day- oder Zero-Day-Lücke zeigt, weshalb die Zahl Null zentral für die Cyberdefence und die Cyberresilienz ist. Denn diese Nullen oder Zeroes sind mehr als Buzzwords und stehen für miteinander verbundene Risiko- und Resilienzaspekte, die von CISOs ganzheitlich und strategisch betrachtet werden müssen:

  •  Zero Trust: Ein Sicherheitsmodell, das davon ausgeht, dass es kein implizites Vertrauen gibt und das ständig die Identität aller Benutzer, Geräte und Zugriffe prüft, um Angriffe frühzeitig zu erkennen und zu stoppen.
  •  0-Day: Eine Sicherheitslücke, die dem Hersteller noch nicht bekannt ist und den Angreifern dadurch ein Zeitfenster für die Ausnutzung bietet, bis ein Patch verfügbar ist.
  • Patient Zero: Das erste kompromittierte Gerät oder das erste kompromittierte Konto in einem Vorfall. Die Identifizierung ist wichtig, um die Angriffsmuster (TTPs) zu erkennen und die Eindämmungs- und Reparaturmassnahmen zu beschleunigen.
  • Stunde Null: Der kritische Moment, in dem ein schwerwiegender Angriff erkannt wird und die Incident Response auf den Plan ruft.

Das Verständnis dieser «Null»-Konzepte sowie ihrer Auswirkungen ist für den Schutz der Unternehmensressourcen und die Gewährleistung der Geschäftskontinuität von entscheidender Bedeutung. Damit beeinflussen die Konzepte die strategische Planung der Cyberdefence und berücksichtigen die veränderten Schutzbedürfnisse, um beispielsweise auf einen Vorfall wie bei Roundcube sofort und angemessen reagieren zu können.

Wie sich die Rolle des CISO wandelt

Die IT-Welt findet heute ausserhalb des Perimeters statt – Cloud, IoT und Homeoffice sind die Stichworte dazu. Diese Faktoren beschleunigen die Abkehr von traditionellen Sicherheitskonzepten und machen die «Null»-Konzepte zur Basis für Best Practices und zur Stärkung der Cyberresilienz. Als Reaktion auf die Veränderung sowohl in der Bedrohungslandschaft als auch in den Abwehrmassnahmen wandelt sich die Rolle des CISO: Die Cyberdefence gewinnt mit Konzepten wie Zero Trust an strategischer Bedeutung, um einen reibungslosen Geschäftsbetrieb sicherzustellen. 

Das Marktforschungsunternehmen Gartner hat vier Phasen dieser Entwicklung definiert. Die Position des CISO geht dabei mit zunehmendem Reifegrad von einer reaktiven in eine aktive Rolle über:

  1. Sicherheits- und Compliance-Manager: Errichtet die Grundlagen für die Sicherheitsrichtlinien, setzt Sicherheitsmassnahmen um und stellt sicher, dass die regulatorischen Anforderungen eingehalten werden.
  2. Verantwortlicher fürs Cyberrisk-Management: Die Rolle wächst über technische Verantwortlichkeiten hinaus und bringt Cybersecurity in Kontext mit Unternehmensrisiken. 

  3. Relevantes Mitglied des Risikomanagements: Der CISO ist fester Bestandteil des Risikomanagement-Teams. Seine Einschätzungen haben eine strategische Bedeutung und Cyberrisiken werden als Auswirkungen auf den Geschäftsbetrieb ausgedrückt, CRQ (Cyberrisk Quantification) wird zum wichtigen Instrument.

  4. Strategischer Business-Enabler: Cybersecurity und Cyberrisk-Management werden zum strategischen Faktor der Unternehmensentwicklung. Der Cyberrisiko-Appetit entwickelt sich zu einem wichtigen Aspekt der strategischen Weiterentwicklung.

Diese Entwicklung erfordert, dass CISOs in der Kommunikation über rein technische Metriken hinausgehen. Stattdessen drücken sie Cyberbedrohungen als Unternehmensrisiken aus, beispielsweise in Form möglicher Umsatzeinbussen oder dem Einfluss auf den Geschäftsbetrieb. Damit kann sich die Cybersecurity von einem Kostenfaktor zu einem anerkannten Treiber für das Business wandeln.

Die «Null»-Konzepte als Grundlage

Die «Null»-Konzepte - Zero Trust, 0-Day, Stunde Null und Patient Zero – sind untrennbar miteinander verbunden und bilden die Grundlage für die strategische Weiterentwicklung der Cyberdefence. Die Rolle des CISOs ist dabei, diese Transformation zu begleiten und erfolgreich umzusetzen als Schnittstelle zwischen «Business» und IT. Denn Zero Trust ist der Cybersecurity-Ansatz, um Cyberrisiken einzugrenzen und den Entwicklungsplänen des Unternehmens eine sichere Basis zu gestalten. 

Doch wie gestaltet ein CISO diese Rolle, und was bedeutet das für die Cyberdefence-Strategie?

Empfehlungen für CISOs

  1. Zero Trust als strategische Philosophie übernehmen: Zero Trust bedeutet, einen kulturellen und operativen Wandel herbeizuführen, der über die blosse Implementierung von Tools hinausgeht. Die Einführung kann schrittweise erfolgen und mit IAM (Identity and Access Management) sowie den «low hanging fruits» beginnen – also dort, wo sich schnell ein Nutzen zeigt. Die Aufgabe des CISOs ist dabei, den betriebswirtschaftlichen Nutzen der Massnahmen aufzuzeigen, beispielsweise sichere Remote-Arbeitsplätze oder die Datenschutz-konforme digitale Transformation.

  2. Die Sicherheit der Lieferkette stärken: In letzter Zeit wurden vermehrt 0-Day-Lücken in Security-Produkten publik. Googles Threat Intelligence Group (GTIG) hat 75 ausgenutzte 0-Days von 2024 ausgewertet. 60% der Angriffe auf Unternehmensprodukte galten dabei Sicherheitslösungen. Deshalb sollten Unternehmen die Sicherheitsanbieter und die kritischen Drittanbieter-Softwareprodukte ebenfalls nach den Grundsätzen von Zero Trust behandeln. 

  3. Die Sicherheit mit dem Menschen im Zentrum priorisieren: In vielen Angriffsszenarien ist der Mensch das erste Opfer, der Patient Zero. Die Mitarbeitenden spielen deshalb eine zentrale Rolle in der Cybersecurity, sowohl als Angriffsziel als auch als erste Verteidigungslinie. Das bedingt, die Security Awareness zu fördern und eine Sicherheitskultur zu entwickeln, die im ganzen Unternehmen gelebt wird. 

  4. Cyberrisiken finanziell quantifizieren: Die Fähigkeit, Risiken finanziell zu bewerten, ist entscheidend in der Stunde Null – dem Moment, in dem ein Unternehmen einen Angriff erkennt und schnelle Entscheidungen treffen muss. Eine faktenbasierte Einschätzung der potenziellen finanziellen Auswirkungen ermöglicht es, Prioritäten richtig zu setzen, Ressourcen gezielt zu mobilisieren und die Krisenkommunikation effektiv zu steuern. So wird Cybersecurity nicht nur zur technischen, sondern auch zur wirtschaftlichen Disziplin im Unternehmen. Frameworks wie FAIR (Factor Analysis of Information Risk) oder NIST SP 800-30 helfen, Cyberrisiken zu quantifizieren und mögliche Verluste zu berechnen. 
  5. Das Business Continuity Management (BCM) stärken: Im Ernstfall zählt jede Sekunde – insbesondere in der Stunde Null. Hier zeigt sich, wie gut ein Unternehmen auf einen Cyberangriff vorbereitet ist. Ein regelmässiges Testen und Überprüfen der Notfallpläne ist entscheidend, damit Disaster Recovery bei einem Cyberangriff funktioniert und die angestrebten RTO (Recovery Time Objective) und RPO (Recovery Point Objective) eingehalten werden. Tabletop Exercises helfen dabei, die Zusammenarbeit im Notfall zwischen der Cybersecurity und verschiedenen Abteilungen zu verbessern.

  6. Kontinuierliche Überwachung und Anpassung: Besonders bei 0-Day-Exploits zeigt sich die Notwendigkeit einer kontinuierlichen Überwachung der eigenen Umgebung. Da solche Angriffe ohne Vorwarnung erfolgen, müssen Unternehmen in der Lage sein, Anomalien in Echtzeit zu erkennen, schnell zu reagieren und ihre Verteidigungsmassnahmen dynamisch anzupassen. Nur dank dieser Agilität kann eine Organisation auch gegenüber unvorhersehbaren Bedrohungen resilient bleiben.
8 Bereiche, in denen sich die Cyberdefence verändern muss, um die Digitalisierung optimal abzusichern. Whitepaper zur Transformation der Cybersecurity.

Weitere interessante Artikel