Ein Altsystem lässt sich nicht patchen, und das Unternehmen finanziert dieses Jahr keinen Ersatz. Was ist die richtige Maßnahme des CISO?
Kurzantwort
Wenn man nicht beheben kann, steuert man das Risiko: die Exposition mit kompensierenden Kontrollen verringern (Netzsegmentierung, eingeschränkter Zugriff, verstärktes Monitoring), das Restrisiko quantifizieren und es vom verantwortlichen Fachbereichseigentümer mit definiertem Prüftermin formal akzeptieren lassen. Eine einseitige Abschaltung überschreitet die Befugnis des CISO und schadet dem Geschäft. Es zu ignorieren, weil es nicht behebbar ist, ist Fahrlässigkeit. Es aus dem Risikoregister wegzulassen verschleiert die Verantwortung, unterbricht die Audit-Spur und bedeutet, dass niemand die Entscheidung dokumentiert verantwortet.
Jede Organisation hat Systeme, die sich nicht patchen lassen — End-of-Life-Software, herstellerseitig eingefrorene Appliances, fragile Produktionsabhängigkeiten. Das Szenario prüft, ob ein CISO weiß, dass „nicht behebbar" nicht „nicht steuerbar" bedeutet und dass Risikoentscheidungen dem Geschäft gehören — dokumentiert und verantwortet.
Warum kompensierende Kontrollen plus formale Akzeptanz richtig sind
Wenn Behebung ausgeschlossen ist, greift man auf die Risikobehandlung zurück. Zuerst Wahrscheinlichkeit und Auswirkung verringern mit kompensierenden Kontrollen: das System in ein segmentiertes Netz isolieren, einschränken, wer und was es erreichen kann, strengeres Monitoring und Alarmierung ergänzen und seine Privilegien begrenzen. Dann das Restrisiko quantifizieren, das nach diesen Kontrollen bleibt. Schließlich es dem verantwortlichen Fachbereichseigentümer vorlegen — der Budget und Geschäftswert kontrolliert — und ihn das Restrisiko schriftlich formal akzeptieren lassen, mit einem Prüftermin, damit die Entscheidung erneut betrachtet statt vergessen wird. So bleibt die Entscheidung, wo sie hingehört, und es entsteht eine Audit-Spur.
Warum die anderen Optionen scheitern
- Es einseitig abschalten. Der CISO berät über Risiko und steuert es; er darf ein umsatzgenerierendes System nicht einseitig stoppen. Das überschreitet die Governance und kann mehr Schaden anrichten als die Schwachstelle.
- Es ignorieren. „Es kann ohnehin nicht behoben werden" ist Fahrlässigkeit. Ungesteuertes bekanntes Risiko ist genau das, was Behörden und Post-Incident-Reviews anprangern.
- Es aus dem Risikoregister heraushalten. Das Risiko zu verbergen, um nicht zu beunruhigen, ist die schlechteste Option: Es entfernt die Verantwortung, unterbricht die Audit-Spur und bedeutet, dass nie kompensierende Kontrollen oder eine Akzeptanz zugewiesen werden. Wird es ausgenutzt, gibt es keinen Beleg, dass jemand die Entscheidung verantwortet hat.
Worauf der Interviewer achtet
Er will den Risikoakzeptanz-Reflex: dokumentieren, mildern, was möglich ist, und die Akzeptanz-/Aufschub-Entscheidung mit einer Prüf-Kadenz an den Fachbereichseigentümer übergeben — kein Heldenakt (Abschaltung) und keine Vermeidung (Ignorieren/Verbergen). Der reife CISO macht Risiko sichtbar und verantwortet, auch wenn es nicht beseitigt werden kann.
Wahrscheinliche Anschlussfragen
- Welche kompensierenden Kontrollen würden Sie für ein internetexponiertes, nicht patchbares System gegenüber einem internen priorisieren?
- Wer in der Organisation ist die richtige Person, um dieses Restrisiko formal zu akzeptieren, und warum nicht der CISO?
- Was würden Sie in den Auslöser des Prüftermins legen, damit diese Akzeptanz nicht stillschweigend dauerhaft wird?