Adventures of Alice & Bob: Ep. 99 – Breaches, Births and Battling BS // Rob Black

In dieser Episode des Podcasts "The Adventures of Alice and Bob" spricht Moderator James Maude mit Rob Black, Gründer von Fractional CISO, über seine Karriere und die Missstände der Cybersicherheitsindustrie. Black berichtet von seiner Zeit bei RSA Security, insbesondere dem folgenreichen Hack 2011 durch staatliche Akteure. Im Zentrum der Diskussion steht jedoch Blacks Kreuzzug gegen das Compliance-Theater. Er kritisiert scharf Anbieter, die Audits wie SOC 2 als reine Abhak-Übung ohne echten Sicherheitsgewinn verkaufen. Die Diskussion wird stark durch eine unternehmerische und ökonomische Perspektive geprägt: Cybersecurity wird als Geschäftsrisiko dargestellt, das in Wahrscheinlichkeiten und Dollarbeträgen kommuniziert werden müsse, um von Führungskräften ernst genommen zu werden. Die Illusion von Sicherheit durch Zertifikate wird dabei als größeres Risiko als die Bedrohung selbst gerahmt.

Zentrale Punkte

• RSA-Hack und staatliche Bedrohungen Black schildere den Hack von RSA 2011, der auf das chinesische Militär zurückgeführt worden sei. Er argumentiere, dass es für kommerzielle Unternehmen extrem schwierig sei, sich gegen entschlossene staatliche Angreifer zu verteidigen; man könne lediglich die Einstiegshürde erhöhen.

• Kritik am Compliance-Theater Black kritisiere das Versprechen von "SOC 2 in zwei Wochen" als gefährliche Illusion. Er behaupte, dass viele Auditoren und Compliance-Tools eine reine Abhak-Übung ohne echten Sicherheitsgewinn böten, was den Markt für Scheinsicherheit schaffe und Unternehmen realen Risiken aussetze.

• Ökonomische Kommunikation von Risiken Um Budgets von Geschäftsführungen zu erhalten, müssten Sicherheitsverantwortliche in Geschäftsbegriffen sprechen, so Black. Anstatt technische Schwachstellen aufzuzählen, solle man Risiken in Eintrittswahrscheinlichkeiten und potenziellen Dollar-Verlusten monetarisieren.

• Cyberrisiken als Roulette-Rad Black vergleiche Cyberrisiken fälschlicherweise oft mit Asteroiden, obwohl sie eher einem Roulette-Rad ähnelten. Die Wahrscheinlichkeit eines Vorfalls liege bei einigen Prozent, weshalb langjährige Ruhe kein Beweis für gute Sicherheit, sondern oft nur Glück sei.

Einordnung

Die Episode liefert fundierte Einblicke in die praktischen Herausforderungen von Sicherheitsverantwortlichen und zeichnet sich durch eine erfrischend klare Kritik an der Compliance-Industrie aus. Blacks Plädoyer, Sicherheit als Geschäftsengnabler statt als "Abteilung für Nein" zu positionieren, ist für Fachleute hilfreich. Die Argumentation bleibt jedoch stark der Anbieter- und Führungskräfte-Perspektive verhaftet. Warum der Markt überhaupt "Fake-Audits" nachfragt – etwa weil Beschaffungsprozesse Zertifikate oft nur als formales Kriterium fordern, ohne deren Qualität zu prüfen – wird nur am Rande gestreift.

Zudem fehlt gänzlich die Perspektive der Betroffenen, deren Daten durch mangelnde Sicherheit kompromittiert werden. Ökonomische Logik wird als der einzig relevante Maßstab gesetzt, um CEO-Aufmerksamkeit zu gewinnen, was gesellschaftliche oder ethische Dimensionen von Sicherheit ausblendet. Gleichzeitig bietet Blacks pragmatischer Ansatz einen guten Gegenentwurf zu rein technischen Diskursen und macht die komplexe Thematik für betriebswirtschaftlich denkende Hörer:innen zugänglich.

Sprecher:innen

• James Maude – Moderator und Sicherheitsstratege bei Beyond Trust
• Rob Black – Gründer und CEO von Fractional CISO