Ist dir eine Sicherheitsverletzung widerfahren?
|
Unterstützung
|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
Cyber-Resilienz

Worte, die wirken: Virgin Money CISO Neil Robinson über die Kommunikation von Sicherheitsfragen gegenüber der Macht

Raghu Nandakumara
Vizepräsident, Industriestrategie
Illumio Editorial
6Mai 2026
23 min. lesen

Vor einigen Wochen platzte eine Bombe in der Sicherheitswelt.  

Das KI-Modell Claude Mythos von Anthropic zeigte, dass es autonom eine 32-stufige Angriffssequenz ausführen kann. Es handelt sich um eine Art ausgeklügelter, mehrstufiger Seitwärtsbewegung, für die früher Elite-Angreifer tagelang im Einsatz waren.  

Innerhalb weniger Stunden brodelte es in den WhatsApp-Gruppen der CISOs. Und innerhalb weniger Tage riefen plötzlich Vorstandsmitglieder und Führungskräfte der obersten Ebene, die zuvor noch nie eine kritische Frage zur Cybersicherheit gestellt hatten, ihre CISOs an.  

Für viele Sicherheitsverantwortliche, die ich kenne, war dieser Moment gleichermaßen Bestätigung und Druck.

In einer kürzlich erschienenen Folge des Podcasts „The Segment “ hatte ich die Gelegenheit, diese Dynamik mit Neil Robinson, CISO bei Virgin Money, genauer zu beleuchten. Seit drei Jahren ist er bei Virgin in ein 52 Millionen Pfund teures Sicherheitsprogramm eingebunden und hat sich intensiv Gedanken darüber gemacht, was es tatsächlich braucht, um Sicherheitsgespräche in konkrete Maßnahmen des Unternehmens umzusetzen.  

Sicherheitskompetenz: die Sprache Ihres Publikums sprechen

Gleich zu Beginn unseres Gesprächs beschrieb Neil die Rolle des CISO in vielerlei Hinsicht als die eines „Chef-Geschichtenerzählers“. Und dann – denn Neil ist ja bekanntlich immer ehrlich – wehrte er sich umgehend gegen seine eigene Darstellung.

„Es ist wahr und gleichzeitig falsch“, sagte er.

Was er damit meinte, war, dass die Bezeichnung „Storytelling“ den Eindruck erwecken kann, es handle sich um PR oder Marketingstrategie. Die eigentliche Kunst besteht jedoch darin, schnelllebige, hochtechnische Risiken in eine Sprache zu übersetzen, die bei dem jeweiligen Gesprächspartner Anklang findet, sei es ein Kunde, ein COO oder ein Ingenieur, der aufgefordert wird, dem Patchen Vorrang vor der Auslieferung zu geben.

Zum Beispiel:

  • Im Gespräch mit einem Kunden könnte es beispielsweise darum gehen, die Software seines Telefons auf dem neuesten Stand zu halten.  
  • Bei einem COO geht es um die gefährdeten Geschäftsdienstleistungen.  
  • Da das Entwicklerteam unter Druck steht, schneller zu liefern, geht es um die moralische Verpflichtung, die Menschen zu schützen, für deren Daten sie verantwortlich sind.  

Es ist dieselbe Sicherheitsrealität, aber betrachtet durch die Linse dreier völlig unterschiedlicher Gespräche.

Diese nutzerzentrierte Disziplin wird von vielen Sicherheitsprogrammen nicht ausreichend berücksichtigt. Sicherheitsteams neigen dazu, standardmäßig auf technische Kennzahlen zurückzugreifen, wie z. B. CVE-Scores, MTTR oder Metriken zur Angriffsfläche, während diejenigen, die auf Sicherheitsinformationen reagieren müssen, eher an Auswirkungen auf den Kunden, die operative Kontinuität oder den Wettbewerbsdruck denken.  

Die Kluft zwischen diesen beiden Sprachen ist der Punkt, an dem Sicherheitsprogramme an Dynamik verlieren.

Wenn ein Nachrichtenzyklus zum perfekten Auftakt für ein Sicherheitsgespräch wird

Der KI-Schlagzeilenmoment, der unser Gespräch ausgelöst hat, ist eigentlich eine nützliche Fallstudie darüber, wie externe Ereignisse die interne Kommunikationsdynamik für CISOs verändern können.

Neil machte die treffende Bemerkung, dass die Ankündigung unter anderem deshalb so viel Aufmerksamkeit erregte, weil sie von jemandem gemacht wurde.  

Anthropic, ein renommiertes KI-Unternehmen mit starker Medienpräsenz, schuf ein Nachrichtenereignis, das auch Führungskräfte und Vorstandsmitglieder erreichte, die sich normalerweise nicht intensiv mit Cybersicherheit beschäftigen.  

Plötzlich fand die Diskussion, die Sicherheitsverantwortliche seit Jahren über das Agieren in Maschinengeschwindigkeit und das Tempo der sich ständig verändernden Bedrohungslandschaft zu führen versuchten, ein Publikum, das aufmerksam zuhörte, anstatt abzuschalten.

„Viele Vorstandsmitglieder und Führungskräfte sprechen über die Ankündigung von Anthropic“, sagte Neil. „Die Fähigkeit, in Maschinengeschwindigkeit zu reagieren, ist ein Thema, das wir im Bereich der Cybersicherheit seit mindestens einem Jahr beobachten.“ Ich denke, die Ankündigung trägt wirklich zu dieser Diskussion bei.“

Für Sicherheitsverantwortliche besteht die Lehre daraus nicht darin, auf Nachrichtenzyklen aufzuspringen, sondern darin, zu erkennen, dass externe Ereignisse regelmäßig Zeitfenster schaffen, in denen das Bedürfnis nach ernsthaften Sicherheitsgesprächen auf Führungsebene sprunghaft ansteigt. Diejenigen CISOs, die mit einer klaren, verständlichen Darstellung ihrer Sicherheitslage, ihres Risikoprofils und ihrer Investitionsprioritäten vorbereitet sind, sind diejenigen, die echte Fortschritte erzielen, wenn sich diese Möglichkeiten bieten.

Neil achtete sorgfältig darauf, dies ohne Triumphgehabe zu formulieren. Ja, es ist ein Moment erhöhter Aufmerksamkeit. Es bindet aber auch Interessengruppen ein, die sich dem Thema von ganz unterschiedlichen Ausgangspunkten und in unterschiedlichem Tempo nähern.  

„Wir müssen uns ernsthaft mit Menschen auseinandersetzen, die vielleicht außerhalb dieser Blase standen und die Veränderungen, die sich vollziehen, nicht beobachtet und verfolgt haben“, sagte er. „Und wir müssen respektieren, dass die Menschen aus unterschiedlichen Orten und zu unterschiedlichen Zeiten hierher kommen.“

Diese Art von Geduld, bei der man die Menschen dort abholt, wo sie sind, anstatt dort, wo man sie gerne hätte, ist eine praktische Fähigkeit, die CISOs in ihrem Repertoire haben müssen.  

Verknüpfung von Infrastrukturmaßnahmen mit Kundenergebnissen

Eine der hartnäckigsten Herausforderungen bei großen Sicherheitsprogrammen ist die enorme Kluft zwischen der technischen Arbeit auf Infrastrukturebene und den Kundenergebnissen, die dem Unternehmen tatsächlich wichtig sind.  

Das Patchen eines Netzwerkgeräts, das Segmentieren eines VLANs, das Aktualisieren eines Endpoint-Agenten – all das scheint auf den ersten Blick nichts damit zu tun zu haben, ob ein Kunde sicher bezahlen kann oder darauf vertrauen kann, dass seine Daten geschützt sind.

Neil hat sich eingehend Gedanken darüber gemacht, wie diese Lücke innerhalb von Virgin Money geschlossen werden kann, und sein Ansatz ist unkompliziert. Alles hat seinen Ursprung im Kunden.

„Unsere Aufgabe ist es, die Kunden der Bank zu schützen, ihre Daten zu schützen und ihre Zahlungen zu schützen“, sagte er mir. „Alles, was wir tun, dient diesem Ziel.“

Das klingt selbstverständlich, wenn man es laut ausspricht. Doch die konsequente Aufrechterhaltung dieser Ausrichtung in einem Sicherheitsteam von 150 Personen, das sich mit allem von Schwachstellenmanagement über Anwendungssicherheit bis hin zu Netzwerkkontrollen befasst, erfordert bewusste Anstrengungen.  

Am wichtigsten ist jedoch, dass es Führungskräfte braucht, die erklären können, warum die langweiligen Dinge wichtig sind. Warum das Patchen eines veralteten Betriebssystems die Ersparnisse eines Kunden schützt. Warum ein Netzwerksegmentierungsprojekt den Wirkungsbereich eines Ransomware-Angriffs begrenzt. Warum die für Compliance-Kontrollen aufgewendeten Stunden dazu beitragen, ein regulatorisches Ereignis zu verhindern, das das Vertrauen der Kunden erschüttern würde.

Dies ist insbesondere für Zero-Trust-Programme relevant, bei denen ein Großteil der Arbeit für die Endnutzer unsichtbar und weit von jeglichem kundenorientierten Ergebnis entfernt ist.  

Die Teams, die Richtlinien für die Mikrosegmentierung entwickeln oder das Prinzip der minimalen Berechtigungen durchsetzen, stehen nicht in den Schlagzeilen. Die Verbindung zwischen dieser Infrastrukturarbeit und der Kernaufgabe der Organisation immer wieder explizit herzustellen, ist Teil dessen, wie Sicherheitsverantwortliche die Finanzierung und Priorisierung von Programmen sicherstellen.

Das Problem der Flickstellen: Warum menschliches Urteilsvermögen immer noch wichtig ist

Einen Großteil unseres Gesprächs widmeten wir einem Thema, das auf den ersten Blick banal erscheinen mag, aber tatsächlich einer der aufschlussreichsten Stresstests für jedes Sicherheitsprogramm ist: das Patch-Management.

Der Grund, warum das Einspielen von Patches in großen Unternehmen so schwierig ist, liegt darin, dass die Entscheidung, ob ein Patch eingesetzt werden soll, fast nie einfach ist. Der Prozess verläuft oft ungefähr so:

  • Sie müssen wissen, welche Prozesse auf dem System laufen.  
  • Sie müssen wissen, wem es gehört.  
  • Sie müssen wissen, welche Anwendungen davon abhängen und ob sie mit dem Update getestet wurden.  
  • Sie benötigen ein Änderungsfenster.  
  • Sie benötigen einen Genehmiger.  
  • Bevor Sie den Patch in die Produktionsumgebung einführen, benötigen Sie den Nachweis, dass er in Ihrer Umgebung tatsächlich funktioniert.

Jeder dieser Schritte erfordert Beurteilungen, die mehrere Teams betreffen, und die Folgen eines Fehlers in einem dieser Schritte können schwerwiegend sein.

Neil beschrieb eine Zukunft mit agentenbasierter KI, in der ein Großteil dieser prozeduralen Arbeit automatisiert wird. KI-Agenten werden in der Lage sein, Konfigurationsmanagementdatenbanken zu durchsuchen, Asset-Besitzer zuzuordnen, den relevanten Kontext einem menschlichen Genehmiger bereitzustellen und die Zeit von der CVE-Offenlegung bis zur Behebung drastisch zu verkürzen.  

Er hat Startups beobachtet, die genau solche Arbeitsabläufe prototypisch entwickeln, insbesondere für Cloud-Umgebungen.

Der Grund, warum wir noch nicht so weit sind, machte er deutlich, liegt in der Regierungsführung. Der Einsatz autonomer KI-Agenten in kritischen operativen Arbeitsabläufen erfordert eine Infrastruktur für Identitätskontrolle, Beobachtbarkeit und Verantwortlichkeit, die die meisten Organisationen noch nicht aufgebaut haben.  

„Wir sind verständlicherweise sehr zurückhaltend, wenn es darum geht, KI-Modellen den autonomen Betrieb zu erlauben“, sagte er. „Man braucht Leitplanken, und viele dieser Infrastrukturelemente sind auch gut eingeschränkt und werden überwacht.“

Die kommunikative Herausforderung für die Verantwortlichen im Sicherheitsbereich ist im Grunde dieselbe wie die allgemeinere. Wie erklärt man einem Vorstand oder einem Budgetausschuss, warum Investitionen in die Governance-Infrastruktur für KI-Agenten eine Sicherheitspriorität darstellen, wenn der Nutzen abstrakt und die Kosten real sind?  

Du erzählst die Geschichte davon, was passiert, wenn du es nicht tust. Das bedeutet, dass man einen autonomen Agenten mit übermäßigen Zugriffsrechten erhält, der ohne Protokollierung in einer Sicherheitsarchitektur operiert, die nie für die Berücksichtigung nicht-menschlicher Identitäten ausgelegt war.

Gutes, ehrliches Storytelling: Was die besten Sicherheitsverantwortlichen schon immer wussten

Durch alles, was Neil gesagt hat, zieht sich ein roter Faden, der meiner Meinung nach den Kern dessen trifft, was über Erfolg oder Misserfolg von Sicherheitsprogrammen in großem Umfang entscheidet.  

Technologie ist fast nie der limitierende Faktor. Es geht darum, ob die für die Sicherheit Verantwortlichen klar genug, konsequent genug und in der richtigen Sprache für die richtige Zielgruppe kommunizieren können, um das Verhalten in einer komplexen Organisation tatsächlich zu verändern.

Es bedeutet, dem COO zu erläutern, was „wichtige Geschäftsdienstleistungen“ im Hinblick auf operationelle Risiken tatsächlich bedeuten. Es bedeutet aber auch, ehrlich mit Unsicherheit umzugehen.  

Neil sprach offen darüber, was wir in Bezug auf die neuesten KI-Fähigkeiten noch nicht wissen, wie zum Beispiel die Wirtschaftlichkeit des Einsatzes dieser Modelle im kriminellen Maßstab, wie viel Rauschen sie erzeugen oder wie schnell Open-Source-Äquivalente die gleiche Leistung erbringen werden.  

Gutes Storytelling im Bereich Sicherheit vermittelt Risikobereiche, erkennt das Unbekannte an und konzentriert das Handeln auf die Dinge, die man kontrollieren kann.

„Ich glaube, dass wir letztendlich auf eine bessere Welt hinarbeiten werden, in der die KI-Modelle selbst sicheren Code ausführen“, sagte Neil. „Hoffen wir, dass ich Recht habe.“

Diese Kombination aus ehrlicher Unsicherheit hinsichtlich der Zukunft, begründet in Optimismus hinsichtlich der Entwicklung, und einem klaren Fokus auf das, was jetzt zu tun ist, ist genau die Art von Erzählung, die Organisationen bewegt.  

Das haben die besten Sicherheitsverantwortlichen schon immer getan, und es ist heute wertvoller denn je.

Hören Sie sich die vollständige Folge von „The Segment: A Zero Trust Leadership Podcast“ an auf Apple Podcasts, Spotify, oder Unsere Website.

Raghu Nandakumara
Vizepräsident, Industriestrategie
Illumio Editorial
6Mai 2026
23 min. lesen
Cyber-Resilienz
Kontaktiere uns
Aktie

Verwandte Artikel

Keine Artikel gefunden.
Illumiverse Labs: Erleben Sie die Eindämmung von Breach hautnah in unseren virtuellen Live-Events
Cyber-Resilienz

Illumiverse Labs: Erleben Sie die Eindämmung von Breach hautnah in unseren virtuellen Live-Events

Erleben Sie die Eindämmung von Sicherheitslücken in der Praxis mit Illumiverse Labs, praxisnahen virtuellen Sitzungen, in denen Anwender die seitliche Ausbreitung in Echtzeit sehen und stoppen können.

Mehr lesen
Cyber-Resilienz
5 Tipps, um die Zustimmung des Vorstands für Ihre Investitionen in die Cybersicherheit zu erhalten
Cyber-Resilienz

5 Tipps, um die Zustimmung des Vorstands für Ihre Investitionen in die Cybersicherheit zu erhalten

Erfahren Sie, warum es wichtig ist, die Gespräche im Vorstand von Cybersicherheitsproblemen auf Befähigung, Risiken, Abhilfe und quantifizierbare Vorteile zu verlagern.

Mehr lesen
Keine Artikel gefunden.
Einblicke in den F5-Datendiebstahl: Was er uns über staatlich geförderte Cyberangriffe lehrt
Cyber-Resilienz

Einblicke in den F5-Datendiebstahl: Was er uns über staatlich geförderte Cyberangriffe lehrt

Erfahren Sie, wie der F5-Datendiebstahl moderne staatlich geförderte Taktiken offengelegt hat, und lernen Sie, wie Illumio Insights dabei hilft, Angreifer schneller zu erkennen, einzudämmen und zu stoppen.

Mehr lesen
Reaktion auf Vorfälle

Erleben Sie Illumio Insights noch heute

Erfahren Sie, wie KI-gestützte Beobachtbarkeit Ihnen hilft, Gefahren schneller zu erkennen, zu verstehen und einzudämmen.