Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Die wahren Kosten der Entlassung eines ganzen Cybersicherheitsteams
Joao Correia
November 2, 2022 - Technischer Evangelist
Der Content-Gigant Patreon hat kürzlich sein gesamtes internes Cybersicherheitsteam entlassen. Während öffentlich bekannt ist, dass fünf Mitarbeiter des Teams entlassen wurden, bestätigte das Unternehmen nicht, dass das gesamte Team entlassen wurde - aber ein Social-Media-Post von einer der gerade entlassenen Personen deutete genau das an.
Auf jeden Fall verbreitete sich die Nachricht, dass das Unternehmen sein gesamtes Cybersicherheitsteam entlässt, wie ein Lauffeuer. Es war eine große Entscheidung, die viele Cybersicherheitsexperten zu der Frage veranlasste: Was genau denkt sich dieses Unternehmen dabei? Macht es überhaupt Sinn, ein qualifiziertes internes Team einfach so gegen einen ausgelagerten Anbieter auszutauschen?
Niemand wird jemals erfahren, was Patreon dazu bewogen hat, diesen Weg einzuschlagen. Von einem externen Standpunkt aus betrachtet, sind die Auswirkungen der Entscheidung von Patreon auf die Cybersicherheit jedoch klar.
Die Abschaffung bewährter interner Fachkenntnisse ist eine große Belastung
Keine Organisation kann es sich leisten, bei der Cybersicherheit Risiken einzugehen - aber für manche Organisationen ist Cybersicherheit wichtiger als für andere. Wenn Sie Hosting-Dienste für zahllose Inhaltsersteller mit einem Umsatz von über einer Milliarde Dollar anbieten, müssen Sie das Thema Cybersicherheit sicherlich sehr ernst nehmen.
Mit anderen Worten: Gehen Sie keine großen Risiken ein.
Die Entlassung eines mittleren Managers oder von ein bis zwei Mitarbeitern wäre für sich genommen ein Risiko, aber ein überschaubares Risiko. Ihr gesamtes Sicherheitsteam auf einen Schlag zu entlassen - das ist ein kolossales Risiko.
Wir wissen nicht, warum Patreon sein gesamtes internes Sicherheitsteam entlassen hat, aber es sieht so aus, als sei genau das passiert. Es ist nicht schwer, die negativen Folgen vorherzusagen, denn der Verlust eines ganzen internen Teams bedeutet den Verlust einer unschätzbaren Menge an organisatorischem Wissen.
Interne Teams verfügen über "weiches" Wissen über tiefe Systemabhängigkeiten, das sie im Laufe der Zeit angesammelt haben. Wenn Sie das interne Team entlassen, verlieren Sie all dieses weiche Wissen. Und in den meisten Fällen gibt es keine Möglichkeit, das verlorene Wissen wiederzuerlangen, da dieses weiche Wissen selten irgendwo aufgeschrieben ist.
Im Laufe der Zeit kann das Wissen wieder aufgebaut werden, aber das ist nicht einfach - und die Chancen stehen gut, dass ein Unternehmen für einen längeren Zeitraum auf wichtiges Cybersicherheits-Know-how verzichten muss.
Wie sieht also der Ersatz (wahrscheinlich) aus?
Patreon hat sein Sicherheitsteam nicht entlassen, nur um nichts zu hinterlassen. Wahrscheinlich hat sich das Unternehmen stattdessen für ein Outsourcing entschieden.
Vermutlich handelt es sich um einen äußerst fähigen ausgelagerten Dienstleister, der zwar nicht über das Wissen des scheidenden Teams verfügt, aber dennoch ernstzunehmende Fähigkeiten im Bereich der Cybersicherheit mitbringt.
Aber es gibt noch eine weitere Frage in der Debatte zwischen interner und ausgelagerter Sicherheit: Wie engagiert wird das ausgelagerte Sicherheitsteam genau sein?
Wir sind der Meinung, dass selbst die sachkundigsten Auftragnehmer niemals das gleiche Maß an Engagement aufbringen können wie interne Mitarbeiter. Bei Patreon hätte das interne Team viel mehr Engagement und Reaktionsfähigkeit gezeigt.
Fremdfirmen haben ein Auge auf die Sicherheit, weil sie damit beauftragt sind, aber Fremdfirmen werden sich nie mit demselben Engagement um die Sicherheit kümmern wie ein internes Team. Sie sind einfach weniger an der Sicherheit der Systeme eines Unternehmens interessiert, und das wirkt sich auf die Geschwindigkeit und das Engagement aus, mit dem Sicherheitsprobleme gelöst werden.
Ja, Sicherheitsdienstleister sind an SLAs gebunden, die die Leistungsstandards vorgeben, aber es bleibt die Tatsache, dass die Anforderungen eines Kunden mit denen eines anderen konkurrieren. In einer Krise stellt sich wirklich die Frage, ob ein Auftragnehmer die Situation genauso ernst nimmt wie ein internes Team.
Inmitten eines größeren Sicherheitsvorfalls ist das Letzte, was Sie wollen, dass ein Mitarbeiter einer Fremdfirma sitzt und auf die Uhr schaut, während er sich mit der Krise befasst, die Ihr Unternehmen durchmacht.
Kann Patreon den Kurs ändern?
Ein internes Team zu entlassen und einen Auftragnehmer einzustellen ist eine Sache - und kann schnell geschehen. Ein internes Team von Grund auf neu aufzubauen, ist eine ganz andere Geschichte. Das ist ein wichtiger Punkt, den man bei dieser Art von Entscheidung berücksichtigen muss: Wie einfach ist es, die Entscheidung rückgängig zu machen, wenn wir sie brauchen?
Die Gewinnung von Talenten ist, zumindest im Moment, eine große Herausforderung in der Welt der Technologie. Es ist ziemlich schwierig, die vorhandenen Talente zu halten. Ein neues Teammitglied einzustellen ist noch schwieriger, und ein ganzes Team neu aufzubauen ist eine noch größere Herausforderung.
Es ist nicht nur eine Frage der Kosten - und es wird teuer werden, wenn man die Ausbildungsanforderungen und alles andere bedenkt, was der Aufbau eines ganzen Teams von Grund auf erfordert.
Die größere Frage ist: Ist es überhaupt machbar? Und wie viele Monate wird es dauern?
Es ist keine gute Idee, die Akquise von Talenten als selbstverständlich zu betrachten, und Patreon könnte eine Entscheidung getroffen haben, die im Grunde unumkehrbar ist, da es sich für einige Zeit an Vertragspartner und die damit verbundenen Nachteile gebunden hat.
Über das Ergebnis nachdenken
Es gibt keinen Grund zu der Annahme, dass Patreon kein gut geführtes Unternehmen mit qualifizierten Führungskräften ist, so dass man davon ausgehen kann, dass hinter der Entscheidung stichhaltige Gründe stehen und das Führungsteam ein Ergebnis im Sinn hatte.
War es eine Kosteneinsparungsmaßnahme? Möglicherweise. Aber hier ist der wichtige Punkt, an den man sich erinnern sollte, wenn es um den Wert eines gut ausgebildeten internen Teams geht: Interne Teams werden mit der Zeit sorgfältig aufgebaut und sollen Geld sparen, wenn es wirklich darauf ankommt.
Was wollen wir damit sagen? Nun, Sie können Geld sparen, indem Sie die Cybersicherheit auslagern und teure interne Mitarbeiter entlassen. Aber wenn Sie sich in einer echten Cybersecurity-Krise befinden, ist Ihr internes Team höchstwahrscheinlich das Team, das am schnellsten und effektivsten reagieren kann - und Sie so vor einem weitaus größeren Angriffsschaden bewahrt.
Mit anderen Worten: Ihr internes Team spart Ihnen Geld, wenn es wirklich darauf ankommt, indem es sowohl den Gesamtschaden als auch die daraus resultierenden Sanierungskosten reduziert.
Das ist natürlich die Ironie an einem gut finanzierten internen Sicherheitsteam: Das Team hat oft nichts für seine Bemühungen vorzuweisen, weil die Bemühungen darauf ausgerichtet sind, laute Sicherheitsvorfälle zu vermeiden.
Eine gute interne Cybersicherheit sorgt dafür, dass es zu keinen Zwischenfällen kommt - und auch nicht zu den massiven, katastrophalen Kosten, die mit diesen Zwischenfällen verbunden sind.
Ja, Sie können mit einem ausgelagerten Team vielleicht etwas Geld sparen, aber - gleichzeitig - könnten Sie am Ende eine enorme Summe zahlen, um die Scherben nach einem Cybersecurity-Vorfall aufzusammeln.
Was hat Patreon am Ende des Tages gewonnen?
Das ist die große Frage, die wir und alle anderen sich stellen.
Auch hier können wir nur über die Gründe für die Entscheidung von Patreon spekulieren, und ein wahrscheinlicher Kandidat sind Kosteneinsparungen. Dennoch könnte Patreon am Ende viel mehr bezahlen, wenn ihre Entscheidung schiefgeht und ein erfolgreicher Einbruch stattfindet (und welches Ziel wäre besser geeignet als ein Unternehmen, das gerade sein Sicherheitsteam gefeuert hat?)
Es könnte natürlich auch einen anderen triftigen Grund geben - von Inkompetenz auf Seiten des internen Teams bis hin zu zwischenmenschlichen Problemen oder etwas anderem. So oder so, es ist kein gutes Signal und hat Patreon viel schlechte Presse eingebracht.
Und was sollen die Macher, die Patreon nutzen, denken?
Aus unserer Sicht ist es schwierig, ein gutes Ergebnis für alle Beteiligten vorauszusehen, und wir raten allen Organisationen, die einen solchen Schritt in Erwägung ziehen, zu großer Vorsicht.
