News | Business | IT-Security | Ausgabe 11-12-2023 | Security Spezial 11-12-2023

Cyberrisiken kontrollieren – Wie Business und Cyber­security besser zusammenarbeiten

In Zeiten einer zunehmenden Abhängigkeit von Technologien und dem rasanten Voranschreiten der digitalen Vernetzung müssen Unternehmen über alle Branchen hinweg die Sicherheit ihrer Systeme und Daten an oberste Stelle setzen. Dabei geht es jedoch längst nicht mehr um die reine Abwehr von Bedrohungen wie Ransomware oder Hackerangriffe. Vielmehr spielt die Cybersicherheit mittlerweile eine grundlegende ­Rolle, wenn es darum geht, Unternehmen zu Wachstum, Erfolg und einem starken Wettbewerbsvorteil zu verhelfen. Voraussetzung hierfür ist eine enge Zusammenarbeit von IT-Teams und Business-Verantwort­lichen sowie Metriken, die die ­positiven Auswirkungen von Sicherheitsmaßnahmen auf die Geschäftsergebnisse sichtbar machen.

Eine positive Geschäftsentwicklung von Unternehmen hängt mittlerweile in nicht zu vernachlässigendem Maße auch mit der Fähigkeit zusammen, Cyberrisiken zu kontrollieren. Doch während CIOs und CISOs diese Chancen längst erkannt haben, tun sich viele Kollegen und insbesondere der Großteil der Geschäftsführungen nach wie vor schwer, diese Zusammenhänge zu erfassen und zu nutzen. Tatsächlich geben IT-Sicherheitsentscheider immer wieder an, dass ihre Geschäftsführer den Wettbewerbsvorteil einer funktionierenden Cybersecurity verkennen. Dies zeigt sich unter anderem in nur spärlich bewilligten Budgets und Verzögerungen bei wichtigen Sicherheitsinvestitionen.

Soll sich diese Situation ändern, müssen beide Seiten, das heißt Cybersecurity- und Business-Verantwortliche ihren Beitrag leisten. Dies bedeutet in erster Linie, strategische Dialoge zu führen, um Business- und Sicherheitsziele langfristig aufeinander abzustimmen.

Wie Business und Cybersecurity ihre Zusammenarbeit gewinnbringend ausbauen. Um sicherzustellen, dass Sicherheits- und Business-Abteilungen nicht weiterhin in Silos arbeiten, sondern funktionsübergreifende Teams bilden, müssen die Verantwortlichen in Unternehmen bestehende Barrieren aufbrechen und Security-Mitarbeitende gezielt in die Geschäftsprozesse einbinden. Folgende Strategien haben sich dabei bewährt:

  • Regelmäßige Besprechungen arrangieren, um ein kontinuierliches Business-Security-Alignment zu schaffen:
    Was so einfach und selbstverständlich klingt, ist in der Realität leider noch keine Selbstverständlichkeit. Vielmehr sprechen die Teams meist nur, wenn akut Probleme auftreten oder neue Projekte anstehen. Dabei kann nur ein kontinuierlicher Austausch der beiden Parteien dafür sorgen, dass das gegenseitige Verständnis verbessert, gemeinsame Ziele definiert und eine wertschätzende Zusammenarbeit geschaffen werden. Nur wenn CISOs und Security-Leiter verstehen, mit welchen langfristigen und kurzfristigen Herausforderungen ihre Kollegen konfrontiert sind, sind sie in der Lage, gezielt darauf zu reagieren. Dabei sind nicht unbedingt immer zeitaufwendige persönliche Meetings vonnöten, oft reichen kurze Online-Calls, um das Gegenüber auf den neuesten Stand zu bringen.
  • Eine gemeinsame Sprache sprechen, die an der Geschäftsstrategie und den Geschäftsfähigkeiten ausgerichtet ist:
    Security-Verantwortliche müssen in zunehmendem Maße auch Geschäftsstrategen sein, die in der Lage sind, die Geschäftsführung zu beeinflussen und ihre Agenda voranzutreiben. Dies erfordert neben technischen Skills und einem breiten Fachwissen im Bereich der Cybersecurity auch klassische Business-Kompetenzen. In einer aktuellen Umfrage unter mehr als 2.000 IT-Sicherheitsentscheidern gab jedoch fast ein Drittel der Befragten zu, dass das erfolgreiche Vermitteln von Geschäftsszenarien an die Geschäftsleitung eine Lücke in den eigenen Fähigkeiten darstellt, und fast ebenso viele bewerteten ihre eigenen Kommunikationsfähigkeiten als verbesserungswürdig. Sicherheitsmitarbeitende sollten daher lernen, die Sprache ihrer Business-Kollegen zu sprechen. Diese beinhaltet eindeutige und wiederkehrende Elemente, die an der Geschäftsstrategie und den Geschäftsfähigkeiten ausgerichtet ist. Zudem können die Verantwortlichen für Cybersicherheit auch in Erwägung ziehen, Talente mit nicht-traditionell-technischem Hintergrund für die Zusammenarbeit mit ihren Teams zu gewinnen.
  • Berichtsstrukturen überarbeiten, um die Sicherheitslage sichtbarer zu machen:
    Soll die Rolle der Security-Teams als »Business-Enabler« sichtbar gemacht werden, sollten eventuell auch die Berichtsstrukturen überarbeitet und angepasst werden. Dabei gilt es zu überlegen, ob CISOs und ihre Kollegen direkt an den CIO berichten, oder besser dem CEO unterstellt sein sollten. Tatsächlich bevorzugt der Großteil der Sicherheitsentscheider erstere Version. Dabei kann eine direkte Unterstellung unter den CEO beispielsweise helfen, die Sicherheitslage des Unternehmens auf Leitungsebene sichtbar zu machen und die Bereitstellung zusätzlicher Mittel erleichtern, während ein Berichten an den CIO gewährleistet, dass die IT-Sicherheit vollständig in die Strategie des Unternehmens integriert ist und die Sicherheit der IT-Systeme des Unternehmens umgehend und wirksam behandelt wird. Hier muss sorgfältig abgewogen werden.
  • Business- und Sicherheitsziele aufeinander abstimmen, um sichtbar zu machen, wie sich Cybersicherheit auf die Geschäftsergebnisse auswirkt:
    Obwohl die Cybersicherheit für den allgemeinen Unternehmenserfolg eine wesentliche Rolle spielt, wird der Erfolg der Sicherheitsmaßnahmen und -strategien in vielen Fällen immer noch größtenteils auf der Grundlage von technischen oder aktivitätsbasierten Kennzahlen wie der Anzahl der verhinderten oder abgewehrten Angriffe bewertet. Dies sind zwar wichtige Maßstäbe für die Wirksamkeit von Sicherheitskontrollen, dennoch sollten die Verantwortlichen nicht ausschließlich Sicherheitsaktivitäten messen, sondern ihre Reports auf messbare Ziele ausrichten, die mit dem geschäftlichen Erfolg des Unternehmens verknüpft sind. Dazu gehören unter anderem Metriken wie sie im Kasten dargestellt sind.

 

Reports auf messbare Ziele ausrichten

  • Metriken für das Risiko­management: Sie sind hilfreich, um die Wirksamkeit der Identifizierung und Abschwächung von Cybersicherheitsrisiken unter Berücksichtigung der Häufigkeit von Vorfällen und der Reaktionszeiten zu bewerten.
  • Compliance-Metriken: Sie verfolgen die Fähigkeit des Unternehmens, die gesetzlichen und branchenüblichen Standards für Cybersicherheit einzuhalten.
  • Metriken zur Geschäftskontinuität: Sie evaluieren, inwieweit ein Unternehmen den Betrieb während eines Cybersicherheitsvorfalls aufrechterhalten kann, einschließlich der Dauer der Ausfallzeiten und der Wiederherstellungszeit.
  • Kostenmetriken: Sie sind ein wirksames Tool, um die Kosten für die Implementierung und Aufrechterhaltung von Cybersicherheitsmaßnahmen im Verhältnis zum Gesamtbudget zu erfassen.
  • Produktivitätsmetriken: Sie messen die Effizienz der Einarbeitung neuer Mitarbeitenden oder Anbieter, einschließlich der Bereitstellung der erforderlichen Ressourcen und des Zugangs.

 

Die Cybersicherheit spielt bei der Erschließung von Geschäftspotenzialen eine entscheidende Rolle. Umso wichtiger ist es, dass alle Beteiligten, also Geschäftsführung und Security-Verantwortliche, ein gemeinsames Verständnis von den Erfolgsmaßstäben haben. Stehen beide Seiten in regelmäßigem Austausch, sprechen dieselbe Sprache und haben Business- und Sicherheitsziele aufeinander abgestimmt, profitieren Widerstandsfähigkeit und Geschäft gleichermaßen.

 

 

Andreas Müller,
Vice President DACH,
Delinea

 

 

Illustration: © Raman Maisei | Dreamstime.com

 

 

Zur Startseite →

← Zurück