Wie die Hälfte aller US-Amerikaner habe ich in der High School und am College Leistungssport betrieben. Basketball, Softball, Fußball, Fußball – ich habe sie alles versucht. Ich habe nie versucht, Profi zu werden, aber meine Liebe zum Spiel hat mich schließlich zum digitalen Sportunternehmen Fanatics geführt.
Fanatics befindet sich in einer Phase der Expansion und des Hyperwachstums. Obwohl wir vor allem für den Verkauf von lizenzierter Sportfanausrüstung bekannt sind, ist unsere Mission noch weiter gefasst: Wir wollen die weltweit führende digitale Sportplattform werden. Zum Beispiel bieten wir einen Marktplatz für Sammelkarten und Fanartikel an, und bauen das größte Netzwerk für persönliche Fan-Events auf. Wir erweitern auch unser Angebot an Online-Sportwetten und Echtgeld-Wetten (für die ich die Infosicherheitsprogramme beaufsichtige).
Ständige Innovation bedeutet, dass man immer auf neue Bedrohungen reagieren kann. Sportfans geraten zunehmend ins Visier von Cyberkriminellen und 70 % der Sportorganisationen sind mindestens einmal im Jahr von einem Angriff betroffen.
Doch Technologie allein wird das Unternehmen nicht schützen. Alle, von der Produktion bis zur Anwendungsentwicklung, müssen gute Cyberhygiene walten lassen und dazu beitragen, die Sicherheit des Unternehmens zu gewährleisten.
Mit anderen Worten: Starke Cybersicherheit ist ein Teamsport. Hier sind drei wichtige Methoden, mit denen ich mehr Akzeptanz im gesamten Unternehmen schaffe.
Der in die Hall of Fame aufgenommene Baseballmanager Tommy Lasorda sagte einmal: „Im Baseball und im Geschäftsleben gibt es drei Arten von Menschen. Diejenigen, die es möglich machen, diejenigen, die nur zusehen, und diejenigen, die sich fragen, was passiert ist.“ Als Führungskraft ist es meine Aufgabe, den Erfolg und die Sicherheit meines Unternehmens möglich zu machen.
Ich werde nicht tatenlos auf Bedrohungen reagieren, während wir bei Fanatics unser Geschäft proaktiv ausbauen.
Ein proaktiver Beitrag zum Unternehmenserfolg setzt eine „Ja“-Mentalität voraus. Sicherheitsexperten werden oft als heimliche Reibungspunkte angesehen – wir sind die Menschen, die mit minimaler Erklärung „nein“ sagen. Wenn Sie mit mehreren Projekten jonglieren, ist es einfacher, anderen zu sagen: „Nein, nutzen Sie das, was Sie schon haben. Wir haben nicht genug Ressourcen, um das zu tun, was Sie verlangen.“ Leider ist dieses „Nein“ ein wichtiger Grund dafür, dass Schatten-IT – und zunehmend auch Schatten-API und Schatten-KI – in vielen Unternehmen weit verbreitet sind. Dieses „Nein“ ist auch der Grund, warum andere Teams weniger bereit sind, proaktiv im Bereich der Sicherheit zusammenzuarbeiten.
Eine „Ja“-Mentalität trägt jedoch dazu bei, dass Cybersicherheit nicht mehr als Kostenstelle, sondern als Wachstumstreiber gesehen wird.
Hier sind einige Beispiele dafür, wie mein Team dies in die Praxis umsetzt:
1) Wir gehen von einer positiven Absicht aus. Wenn jemand etwas anderes ausprobieren möchte, ist es wichtig, gute Absichten anzunehmen und sie/ihn dort abzuholen, wo sie/er ist. Stellen Sie sich zum Beispiel ein Szenario vor, in dem ein Anwendungsentwicklungsteam die Behebung von Sicherheitslücken immer wieder hinauszögert und dabei kurze Fristen und beschränkte Ressourcen als Gründe anführt:
Ohne von einer positiven Absicht auszugehen, glaubt ein Infosec-Team, dass die Entwickler beim Thema Sicherheit nachlässig sind. Sie entscheiden sich für die sofortige Eskalation in die Führungsebene – ohne vorher zu versuchen, das Problem gemeinsam zu lösen.
Unter der Annahme einer positiven Absicht geht das Infosec-Team davon aus, dass die Entwickler den geschäftlichen Anforderungen wirklich Priorität einräumen und eine Balance zwischen Sicherheit und ihren Leistungen finden möchten. Wir wenden uns an das Entwicklungsteam etwa mit den Worten: „Wir wissen, dass Sie Ihre Fristen unbedingt einhalten müssen. Lassen Sie uns zusammenarbeiten, um die Sicherheitslücken so zu beheben, dass Ihre Zeitpläne nicht gefährdet werden.“
Der zweite Ansatz fördert Zusammenarbeit und Vertrauen und führt zu einer Lösung, die sowohl Sicherheits- als auch Geschäftsziele erfüllt.
Letztendlich geht es darum, die Menschen zu verstehen: Was können sie mit ihren aktuellen Technologien tun und was nicht? Kann die Cybersicherheit ihre Arbeit beschleunigen? Werden wir uns auf alle möglichen Arten ausmalen, wie etwas Neues schiefgehen könnte, oder werden wir uns begeistert darauf stürzen, ein einzigartiges, immersives Sportfan-Festival zu schützen?
2) Wir freuen uns über Feedback und Kritik. Die US-Stargymnastin Simone Biles ist überzeugt, dass sie erst durch ihre Coaches ihr volles Potenzial realisieren kann. Vermutlich können auch wir jede Menge Feedback gebrauchen! Dazu gehört auch, auf die Beschwerden anderer zu hören. Wenn Sie möchten, dass mehr Mitarbeitende ihre Cybersicherheitsinitiativen unterstützen und mittragen, dann müssen Sie auch auf deren Feedback eingehen. Sie werden etwas Nützliches über die Fachgebiete anderer erfahren – und vielleicht sogar über sich selbst.
3) Wir arbeiten daran, die Strategie des Unternehmens genau zu verstehen. Wenn Sie wollen, dass die gesamte Organisation das Thema Sicherheit ernst nimmt, dann zeigen Sie, wie ernst Sie die finanziellen Prioritäten des Unternehmens nehmen. Ich bleibe wachsam, was sich in den Bereichen Produkt, Vertrieb, Technik, Entwicklung und anderen Bereichen am Horizont abzeichnet. Als Fanatics nach der Übernahme des US-Geschäfts von PointsBet mit den Planungen für die Einführung von Sportwettendiensten begann, machte ich mich schnell mit geschäftlichen und Compliance-Auswirkungen vertraut und richtete den Fokus meines Teams entsprechend aus.
Um die Bedeutung von sicheren Praktiken im Internet zu vermitteln, ist es wichtig, transparent über Schwachstellen und Stärken im Internet zu sein. Das Konzept der „Sicherheit durch Verschleierung (Security through Obscurity)“ – das Verschleiern von Schwachstellen und Details von Sicherheitsmechanismen – ist nicht neu. Ich glaube jedoch, dass viele Sicherheitsverantwortliche dazu neigen, es damit zu übertreiben, insbesondere wenn es um die interne Kommunikation geht.
Nehmen wir die Bedrohung durch DDoS-Angriffe, die allgegenwärtig sind, aber bei großen Werbeaktionen oder Sportereignissen ihren Höhepunkt erreichen können. Ich erwarte nicht, dass andere Teams den Unterschied zwischen einem HTTP-POST-Flood- und einem HTTP-GET-Flood-Angriff kennen, aber ich finde es wichtig, sie über wichtige Trends aufzuklären: Finden Angriffe zu bestimmten Zeiten im Jahr statt? Woher kommen sie? Kommen sie von Konkurrenten oder Kriminellen? Welche Dienste werden angegriffen? Wie viele Angriffe konnten wir stoppen?
Daten und Transparenz fördern die funktionsübergreifende Unterstützung für unsere Cybersicherheitsinvestitionen (zu denen der erweiterte DDoS-Schutz von Cloudflare, das Bot-Management, die Lastverteilung und andere Anwendungsdienste gehören). Regelmäßige Kommunikation untermauert auch, wie die Sicherheit das Wachstum des Unternehmens vorantreibt. Regelmäßige, durch Kennzahlen gestützte Kommunikation unterstreicht auch, wie Sicherheit das Wachstum des Unternehmens fördert.
In Arbeitsumgebungen ist es ganz natürlich, dass sich Menschen nur um Dinge kümmern, die direkt mit ihrer Arbeit zusammenhängen. Dem Team, das für die Werbeaktionen am Cyber Monday zuständig ist, kümmern sich vielleicht nicht um unsere Sicherheitsanbieter, aber die Performance und der Umsatz Website sind ihm sehr wichtig. Wenn sie den Zusammenhang zwischen meiner Rolle (unseren digitalen Fußabdruck zu verteidigen) und ihrer (Online-Kunden zu erreichen) verstehen, dann werden sie wahrscheinlich auf sichere Praktiken setzen.
Der weltweite Mangel an Cybertalenten ist so schwerwiegend, dass die Firma Gartner prognostiziert, dass bis 2025 „mangelnde Talente oder menschliches Versagen für mehr als die Hälfte der schwerwiegenden Cybervorfälle verantwortlich sein werden“.
Zwar gibt es zahlreiche Gründe für den Mangel, aber um mehr Mitarbeitende zu gewinnen, müssen wir mehr tun, um vielfältige, nicht-konventionelle Talente zu integrieren. Wie das ISC2 in der 2024 Cyber Security Workforce Study feststellt: „Angesichts des wachsenden Talentemangels müssen Cyber-Teams alle Arten von Werdegängen in Betracht ziehen, um Lücken zu schließen.“
Ich spreche mit unseren Personalvermittlern sehr offen und deutlich darüber, dass wir eine starke Pipeline mit vielfältigen Kandidaten pflegen müssen. Jeder verdient eine faire Chance, die auf ihren/seinen Fähigkeiten und nicht auf ihrem/seinem Bildungsabschluss basiert. Ich bin insbesondere ein großer Verfechter der Campus-Rekrutierung an einer Vielzahl von Hochschulen und Universitäten.
Wann immer ich kann, stelle ich mich auch für externe Rekrutierungsveranstaltungen zur Verfügung, betreue Hochschulabsolventinnen und ermutige andere Frauen, eine Karriere in der Sporttechnologie in Betracht zu ziehen. So war etwa die Teilnahme an der Grace Hopper Celebration eine inspirierende Erfahrung, insbesondere aufgrund der vielfältigen Talente, die vertreten waren. Es war bemerkenswert, so viele Geschichten von Teilnehmern zu hören, die aus nicht-technischen Bereichen in den Tech-Bereich eingestiegen sind. Ein roter Faden auf ihrem Weg war die Anwesenheit eines Fürsprechers – jemand, der ihr Potenzial erkannte, sie ermutigte, sich mit Technologie zu beschäftigen, und sie unterstützte. Diese Fürsprecher waren eine wichtige Unterstützung vieler Menschen, die in die Tech-Branche wechselten – oft in verschiedenen Phasen ihrer Karriere – und bewiesen, dass Leidenschaft und Entschlossenheit in jedem Alter zum Erfolg führen können.
Neben der Diversifizierung des Kandidatenpools müssen Sie die eingestellten Talente auch binden. Mehrere Studien haben gezeigt, dass Authentizität und authentische Führung mit größerer Zufriedenheit am Arbeitsplatz und geringerer Personalfluktuation verbunden sind. Leider haben mehr als ein Drittel (36 %) der Frauen in der Cybersicherheitsbranche immer noch das Gefühl, dass sie bei der Arbeit nicht authentisch sein können.
Ich möchte andere ermutigen, sich so zu geben, wie sie wirklich sind:
Ihre Persönlichkeit wirklich ganzheitlich einbringen
Neugierig bleiben und viele, viele Fragen stellen
Platz schaffen, um unsere Höhen und Tiefen offenzulegen
Bitte um unzensiertes Feedback
Immer wieder die Leistungen anderer hervorheben
Niemand sollte das Gefühl haben, dass sie/er bei der Arbeit nicht sie/er selbst sein kann. Deshalb ist es so wichtig, jeden Tag mein ehrliches, ganzes Ich bei der Arbeit zu sein.
Authentisch zu bleiben, eine „Ja“-Mentalität zu bewahren und Transparenz walten zu lassen, hat dazu beigetragen, die engen Beziehungen zu fördern, die ich zu unserem CFO, CTO und anderen Führungskräften bei Fanatics unterhalte. Unsere Organisation hat das Glück, so viele Führungskräfte zu haben, die wissen, wie wichtig Sicherheit ist.
Diese zentral gesteuerte Cybersicherheitskultur ist wichtiger denn je. Alle Branchen betreten ein neues Zeitalter, in dem sowohl KI-gesteuerte Kundenerlebnisse als auch KI-generierte Bedrohungen auf sie zukommen. Der Schlüssel zum Erfolg wird dabei in einer strengen Abstimmung von Richtlinien und Technologien liegen.
Wenn ein Unternehmen sicher und mit weniger internen Reibungsverlusten arbeitet, kann sich letztlich jeder auf das Kerngeschäft konzentrieren. Wer würde das nicht befürworten?
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Erfahren Sie mehr über den Umgang mit den größten Cybersicherheitsrisiken der Branche in „Best Practices für Unternehmen aus dem Bereich Online-Gaming und iGaming“.
Ami Dave
CISO, Fanatics
Folgende Informationen werden in diesem Artikel vermittelt:
Angriffstrends im Bereich der Cybersicherheit bei digitalen Sport-Apps und Online-Wetten
3 Empfehlungen zur Förderung einer Kultur der proaktiven Cybersicherheit
Positionierung der Sicherheitsfunktion als Geschäftsmotor
Best Practices für Unternehmen aus dem Bereich Online-Gaming und iGaming
Fünf Wege, ein erfolgreiches Team für Cybersicherheit aufzubauen