Eine gemeinsame Sprache finden: Ein Leitfaden für CISOs

foto freepik ki

Wie man die Vorstands- und Führungsebene beim Thema Cybersicherheit ins Boot holt.

Ein Chief Information Security Officer (CISO) weiß, wie es sich anfühlt unter mikroskopisch genauer Dauerbeobachtung zu stehen. Angesichts der nicht enden wollenden Schlagzeilen zu Sicherheitsverletzungen, nimmt der Druck weiter zu, die Daten und damit die Vermögenswerte eines Unternehmens wirksam zu schützen. Die Leistung eines CISO wird oft alleinig an seiner Fähigkeit gemessen, Vorfälle wie Sicherheitsverletzungen, Datenverluste oder Ransomware-Angriffe zu verhindern. CISOs sehen sich aber noch einer weiteren Herausforderung gegenüber. Denn Sie sind es, die Vorständen und Führungskräften die strategischen Vorteile von Investitionen in die Cybersicherheit überzeugend vermitteln müssen.

 

Mehr Verantwortung für CISOs

Die Erwartungshaltung gegenüber einem CISO hat sich im vergangenen Jahr deutlich weiterentwickelt. Das unterstreicht den kritischen Charakter seiner Beziehung zum Vorstand und der Führungsebene eines Unternehmens im Allgemeinen. Untersuchungen zeigen, dass lediglich 50 Prozent der befragten CISOs vierteljährlich mit dem Vorstand ihres Unternehmens sprechen, 25 Prozent immerhin zweimal im Jahr – und 13 Prozent haben keinerlei regelmäßigen Kontakt [1].

Hier klafft eine Kommunikationslücke, und die erschwert eine fundierte Entscheidungsfindung in Bezug auf Investitionen in die Cybersicherheit. Schließlich sollte man zunächst die Führungsebene über die Auswirkungen der bestehenden Risiken aufklären – und dabei so weit als möglich deren Perspektive einnehmen. Da 70 % der Vorstandsmitglieder in der Regel einen geschäftsstrategischen Hintergrund haben, sollten CISOs ihre Bedenken und Empfehlungen derart formulieren, dass dabei deutlich wird, wie effektive Cybersicherheit die allgemeine Geschäftsstrategie und die langfristigen Ziele des Unternehmens unterstützt [2]. Das baut Vertrauen auf und vermittelt, wie dringlich das Thema Cybersicht ist. Nur so ist es dauerhaft machbar, Sicherheit und Resilienz gegenüber bestehenden und neuartigen Bedrohungen zu gewährleisten.

CISOs haben eine entscheidende Position inne, wenn es darum geht, Strategien zu entwickeln und umzusetzen, die dem Schutz von Vermögenswerten dienen. Das gilt analog für die Einhaltung gesetzlicher und regulatorischer Vorgaben. Welchen Stellenwert die Position eines CISO inzwischen innehat und welchen Wert für ein Unternehmen, das zeigt sich in wesentlichen Bereichen der Cybersicherheit. So hat ein CISO die Übersicht, die eine Identifizierung von Sicherheitsrisiken erlaubt und er weiß, wie man diese Risiken am besten senkt. Im Falle einer Sicherheitsverletzung verantwortet er Incident-Response-Maßnahmen, und er fördert das Bewusstsein für Cybersicherheit im gesamten Unternehmen [3]. Ein CISO ist also weit mehr als nur der »Hüter der Daten«. CISOs sind strategische Führungskräfte, die einen wesentlichen Teil zum unternehmerischen Erfolg beitragen.

Ein tragfähiges Verhältnis zwischen CISO und Vorstand, respektive Führungsebene, bildet die Basis, um Investitionen in die Cybersicherheit erfolgreich zu priorisieren und umzusetzen. Annähernd 90 Prozent der Vorstandsmitglieder betrachten Cybersicherheitsvorfälle zu Recht als geschäftliches beziehungsweise unternehmerisches Risiko [4]. Dementsprechend hat das Thema inzwischen höchste Priorität. Allerdings räumt die überwiegende Zahl der Vorstände konkreten Sicherheitsmaßnahmen den Vorrang vor einer allgemeinen Widerstandsfähigkeit gegen Cybersicherheitsvorfälle (Cyber Resilience) ein. Sie betrachten somit Sicherheit eher von der technischen, anstatt von der unternehmerischen Seite.

Hier sind CISOs gefragt, die Diskussion weg von reinen Schutzmaßnahmen hin zur geschäftlichen Kontinuität zu verlagern. Ein ganzheitlicher Ansatz bildet die Voraussetzung, damit auch die Vorstandsebene besser versteht, dass Cyberattacken heute unvermeidlich sind. Und vor allem, dass sämtliche Bemühungen und Investitionen daran ausgerichtet sein sollten, potenzielle Schäden zu minimieren. Das betrifft Kosten und Rufschädigung gleichermaßen.

Nur dadurch gelingt es die Unternehmensführung stärker in die Cybersicherheitsstrategie einzubinden – und in die Verantwortung zu nehmen.

 

Im Sinne höherer Sicherheit – Die Kluft überbrücken

CISOs sehen sich oftmals in der Position, eine sprachliche Kluft überbrücken zu müssen. Vorstände fokussieren sich naturgemäß auf finanzielle Aspekte. Demgegenüber muss ein CISO den Wert von Investitionen in die Cybersicherheit plausibel machen. Die Expertise des Vorstands liegt im Bereich der strategischen Unternehmensführung. Ein Weg, die Führungsebene zu überzeugen, liegt darin, Cybersicherheit mit den wichtigsten Geschäftszielen zu verknüpfen. Etwa wie folgt:

  • Die finanziellen Folgen quantifizieren: Verwenden Sie vergleichbare Beispiele, um die mit Cyberrisiken verbundenen Kosten zu demonstrieren, z. B. Geldstrafen, Anwaltskosten und Rufschädigung durch Datenschutzverletzungen (und leider gibt es zahlreiche solcher Beispiele).
  • Cybersicherheit als Wegbereiter: Zeigen Sie, wie Cybersicherheit neue digitale Produkte oder Dienstleistungen schützt und damit den Weg für Investitionen und Innovationen ebnet.
  • Benutzen Sie strategische Metriken: Verwenden Sie Metriken wie Investitionsrendite (Return on Investment, ROI), verkürzte Reaktionszeiten auf Vorfälle und die positiven Auswirkungen von Sicherheitsmaßnahmen auf die grundlegende Leistungsfähigkeit eines Unternehmens.
  • Erläutern Sie die Vorteile im Bereich Compliance: Erläutern Sie, wie Investitionen in die Cybersicherheit dazu beitragen, Branchenvorschriften einzuhalten, Prämienzahlungen für Cyberversicherungen zu senken und strategische Risiken zu verringern.

Wenn es einem CISO gelingt, die Geschäftsziele mit dem Thema Cybersicherheit zu verknüpfen, lässt sich deren Wert überzeugend vermitteln. Gleichzeitig sichert sich ein CISO so die Unterstützung der Vorstands- und Führungsebene. Initiativen, welche die Cyberresilienz und die strategischen Ziele eines Unternehmens stärken, bekommen Priorität.

Offene Kommunikationswege erleichtern es, Cybersicherheit und Unternehmensziele abzustimmen und bilden das notwendige Rückgrat eines widerstandsfähigen Sicherheitsrahmens. Ein ganzheitlicher Ansatz stärkt organisatorische Verteidigungsmaßnahmen und integriert Cybersicherheit in die übergreifende Unternehmensstrategie. Damit gewährleistet er eine vorausschauende Verteidigung, Sicherheit und Widerstandsfähigkeit gegenüber den aufkommenden Bedrohungen [5].

Mark Logan, CEO One Identity

 

[1] https://www.iansresearch.com/resources/infosec-content-downloads/research-reports/2023-2024-state-of-the-ciso-benchmark-report
[2] https://corpgov.law.harvard.edu/2022/06/14/diversity-experience-and-effectiveness-in-board-composition/
[3] https://www.oneidentity.com/webcast-ondemand/tracking-the-attackers-steps-using-pam-in-your-incident-response-toolk8153138/
[4] https://www.gartner.com/en/newsroom/press-releases/2021-11-18-gartner-survey-finds-88-percent-of-boards-of-directors-view-cybersecurity-as-a-business-risk
[5] https://www.gartner.com/en/newsroom/press-releases/2021-11-18-gartner-survey-finds-88-percent-of-boards-of-directors-view-cybersecurity-as-a-business-risk

 

C-Level mit Wissenslücken trifft auf CISOs mit Tunnelblick

foto freepik

Überzogene Zuversicht und eindimensionale Wahrnehmung von Cyberbedrohungen unterminieren firmenweites Risikomanagement.

 

C-Level-Entscheider außerhalb der IT haben teils deutliche Wissenslücken und ein mangelndes Bewusstsein, wenn es um Cyberrisiken geht. Aber auch CISOs neigen dazu, diese Risiken erstaunlich einseitig zu betrachten. Das zeigt eine aktuelle Studie des Technologieunternehmens Ivanti zum Cyber-Risikomanagement in Unternehmen [1].

 

Blickwinkel Risikobewusstsein

Technologische Entwicklungen, die zunehmende Raffinesse von Cyberkriminellen und die Zunahme der Angriffsflächen durch miteinander verbundene Systeme verstärken die Bedrohungslage von Unternehmen. Eine Entwicklung, die sich im firmenweiten Risikomanagement widerspiegeln sollte. Allerdings scheinen Führungskräfte außerhalb der IT in kritischen Bereichen auffallend zuversichtlich zu sein – deutlich stärker als ihre IT-/Sicherheitsexperten es sind. Die Situation stellt sich wie folgt dar:

60 % der Führungskräfte außerhalb des IT-Bereichs geben an, dass sie »sehr« oder »äußerst zuversichtlich« sind, dass ihr Unternehmen einen zerstörerischen Sicherheitsvorfall in den nächsten 12 Monaten verhindern oder stoppen kann. Nur 46 % der IT-Fachleute teilen dieses Vertrauen.

 

 

 

Diese Diskrepanz deutet darauf hin, dass sich Führungskräfte außerhalb der IT-Abteilung der finanziellen und betrieblichen Risiken, die von den Sicherheitsbedrohungen ausgehen, nur unzureichend bewusst sind.

 

Blickwinkel Schwachstellenmanagement

Diese Unterschiede lassen sich auch beim Thema Schwachstellenmanagement beobachten: Die Mehrheit (55 %) der Sicherheitsexperten gibt an, dass ihre Führungskräfte außerhalb der IT dieses Thema nicht vollständig überblicken. Diese Einschätzung teilt auch die Leitungsebene: 47 % der Führungskräfte ohne IT-Verantwortung sagen selbst, dass sie mit dem Konzept nicht besonders vertraut sind.

Schwachstellenmanagement ist eine unerlässliche Voraussetzung moderner Cybersicherheitsstrategien. Sicherheitsteams müssen ihre Maßnahmen und Ressourcen klar priorisieren und dabei die Bereiche absichern, die den größten Business-Impact haben.

 

Ohne ein klares Verständnis des Begriffs auf Führungsebene kann es zu einer falschen Einschätzung der Effektivität des CISO und seines Sicherheitsteams kommen. Führungskräfte außerhalb der IT neigen beispielsweise dazu, einen erfolgreichen Cyberangriff als Versagen seitens der IT zu betrachten, selbst wenn diese Bedrohung schnell eingedämmt und neutralisiert wird. Ein Zeichen dieses mangelnden Verständnisses: Jeder vierte IT-Experte gibt an, dass das Patch-Management durch wechselnde Prioritäten seines C-Levels untergraben wird.

 

Blickwinkel Bedrohungserkennung

Die Studie von Ivanti bestätigt, dass die Budgets für Cybersicherheit grundsätzlich steigen werden (71 % Zustimmung). Allerdings halten die Sicherheitsstrategien und Investitionen häufig nicht mit der zunehmenden Verbreitung und Schwere von Bedrohungen Schritt: 95 % der IT- und Sicherheitsexperten wissen, dass Angriffe durch KI gefährlicher werden. Trotz dieses erhöhten Risikos besitzt fast jeder dritte Sicherheits- und IT-Experte keine dokumentierte Strategie, um Gefahren durch generative KI zu begegnen. Investitionsimpulse fehlen auch für moderne Tools zur Bedrohungserkennung und -abwehr: Fast zwei von drei befragten Unternehmen investieren noch nicht in relevante Bereiche wie externes Surface Attack Management, digitale Forensik oder Incident Response (DFIR). Der aktuelle Ivanti Report betont, wie entscheidend es ist, dass CISOs die Notwendigkeit solcher Cybersecurity-Maßnahmen gerade auf Führungsebene verdeutlichen.

 

Blickwinkel Risikoeinschätzung

Cyberbedrohungen sind längst nicht mehr nur ein reines Sicherheitsproblem. Die Anzahl an Insolvenzen nach großen Angriffen zeigt, dass sie sich schnell zu Unternehmenskrisen entwickeln können. Krisen, die sich auf alle unternehmensrelevanten Bereiche auswirken, vom Aktienkurs bis hin zur regulatorischen Stellung.

Sicherheitsteams und Führungskräfte außerhalb der IT haben unterschiedliche Ansichten über die potenziellen Auswirkungen von Cyberrisiken – einschließlich der möglichen Schäden und der Unternehmensbereiche, die am ehesten von den Folgen betroffen sind. Führungskräfte außerhalb der IT konzentrieren sich dabei stark auf finanzielle und rechtliche Auswirkungen eines Angriffs. CISOs wiederum nehmen diese Risiken deutlich geringer wahr und blicken auf Attacken tendenziell einseitig aus dem operativen Blickwinkel. Sie übersehen dabei gegebenenfalls das große Ganze. Während beispielsweise Reputationsschäden für 24 % der Führungsebene außerhalb der IT für die Quantifizierung des Cyberrisikos herangezogen werden, ist Reputation für gerade einmal 15 % der CISOs ein relevanter Faktor in der Gleichung. Gleiches gilt auch für die Bereiche »Rechtliche Auswirkungen« (Führungsebene: 24 %, CISOS: 13 %) und »Finanzielle Auswirkungen« (Führungsebene: 26 %, CISOS: 17 %).

 

 

 

»Die Rolle des CISOs besteht darin, das tatsächliche Risiko, dem das Unternehmen ausgesetzt ist, deutlich zu kommunizieren. Es geht für Unternehmen darum, zu wissen, wie sich verschiedene Arten von Sicherheitsvorfällen auswirken«, so Mike Riemer, Field CISO bei Ivanti. »Cybersicherheit muss auf Vorstandsebene diskutiert und verstanden werden. Als strategischer Berater der Führungsspitze für eine Vielzahl von Themen, von der Einführung von KI bis zum Management von Risiken in der Lieferkette, müssen CISOs beginnen, ähnlich zu denken wie ihre CEOs und Vorstände – indem sie technisches Know-how in geschäftliche Prioritäten übersetzen.«

 

[1] Die Studie »Aligning Perspectives: Cyber Risk Management in the C Suite« basiert auf zwei Umfragen, die von Ivanti Ende 2023 und Anfang 2024 durchgeführt wurden: »2024 Everywhere Work Report: Empowering Flexible Work« und »2024 State of Cybersecurity: Inflection Point«. Insgesamt wurden für diese beiden Studien 16.200 Führungskräfte, IT- und Sicherheitsexperten sowie Büroangestellte befragt. Der aktuelle Report befasst sich speziell mit den 3.059 Führungskräften, IT-Fachleuten und Sicherheitsexperten, die im Rahmen der beiden Studien befragt wurden.
Weitere Ergebnisse der Ivanti-Studie erfahren Sie hier. https://www.ivanti.com/de/resources/research-reports/cybersecurity-risk-management

 

494 Artikel zu „CiSO Kommunikation“

Erhebliche Kommunikationslücken zwischen CISO und Top-Management

Fehlende Kommunikation als Risikofaktor: In Führungsetagen geht mehr als jeder dritte Befragte davon aus, dass Cybersicherheits-Verantwortliche ihr Top-Management über potenzielle Schwachstellen nur zögerlich informieren.   Zwischen Top-Management und Cybersicherheits-Verantwortlichen in Unternehmen klafft eine potenziell riskante Kommunikationslücke – trotz breiter Einigkeit über die steigende Bedeutung von Cybersicherheit. Das zeigt die Studie »CISO Redefined – Navigating C-Suite…

Die drei wichtigsten Konversationen, die jeder CISO beherrschen sollte

Eine aktuelle, internationale Studie von zeigt, dass es für Führungskräfte oftmals eine Herausforderung darstellt, Cyberrisiken zu verstehen [1]. Etwas mehr als ein Drittel (35 Prozent) der kleineren Unternehmen, die für die Studie befragt wurden, gibt an, dass Führungskräfte Cyberangriffe nicht als signifikantes Risiko ansehen – und ein Viertel der befragten Unternehmen ist der Meinung, dass…

IT-Security-Verantwortliche scheitern an der Kommunikation mit der Geschäftsleitung

Die meisten CISOs fühlen sich unter Druck gesetzt, Cyberrisiken herunterzuspielen.   Die Studie »The CISO Credibility Gap« von Trend Micro zeigt: Drei Viertel der deutschen IT-Security-Verantwortlichen (76 Prozent, weltweit 79 Prozent) fühlen sich von der Geschäftsleitung unter Druck gesetzt, die Cyberrisiken im Unternehmen herunterzuspielen [1]. 48 Prozent (weltweit 41 Prozent) von ihnen glauben, dass erst…

Kommunikationskanäle im Service Desk: Effizienter Support dank Direkt-Chat

Wenn IT-Nutzer ein IT-Problem haben, erwarten sie einfachen und schnellen Support, um zügig störungsfrei weiterarbeiten zu können. Die Service Desks vieler Unternehmen sind jedoch oftmals technologisch nicht so aufgestellt, dass sie diesem Anspruch gerecht werden könnten. Es existieren zwar vielfach Ticketsysteme, doch die Kommunikation erfolgt klassischerweise über E-Mail und Telefon. Das sorgt für Ineffizienz, Intransparenz…

US-Börsenaufsicht verklagt CISO

Die US-Börsenaufsicht SEC (Security and Exchange Comission) hat Klage gegen den CISO des Unternehmens SolarWinds erhoben und damit für ein mittelstarkes Erdbeben in IT-Security-Kreisen gesorgt. Die Sachlage scheint dabei relativ klar. Das Echo der Industrie ist dagegen bemerkenswert und rein theoretisch ist eine solche Klage auch in Deutschland möglich. Und damit hat dieser Fall auch…

Navigieren in unsicheren Zeiten: Darauf kommt es für CISOs 2021 an

Gerade in diesen unsicheren Zeiten wäre eine voll funktionsfähige Kristallkugel besonders praktisch: Hinter uns liegt ein Jahr, in dem sich nahezu alles, was für uns selbstverständlich war, verändert hat. 2021 wird Unternehmen und der Security-Branchen zahlreiche Chancen bieten, dennoch müssen wir auch damit rechnen, dass neue und schädliche Bedrohungen auftauchen werden. Neil Thacker, CISO EMEA…

Drei Tipps wie CISOs die menschliche Firewall ihres Unternehmens stärken können

Unabhängig davon, ob sie sich dessen bewusst sind oder nicht, können Mitarbeiter ein erhebliches Risiko für die Sicherheit von Unternehmensnetzwerken und deren gespeicherte Daten darstellen: Um Cyberkriminellen die Tür zu öffnen, reicht es, auf einen Link zu klicken oder eine Datei herunterzuladen, ohne zuvor zu prüfen, ob diese schädlich ist. Beschäftigte, die von zu Hause…

Sicherheitsproblem: HTTPS-Kommunikation gehört auf den Prüfstand

Laut jüngstem Internet Security Report zielen groß angelegte Malware-Kampagnen vor allem auf Deutschland ab.   Der aktuell veröffentlichte WatchGuard Internet Security Report für das erste Quartal 2020 bringt erneut spannende Erkenntnisse zur weltweiten Lage der IT-Sicherheit ans Licht. So wurde beispielsweise erstmals ein genauerer Blick auf die Verteilwege von Malware geworfen – mit aufrüttelnden Ergebnissen: Über 67…

CEOs bevorzugen eine proaktive, CISOs eine reaktive Sicherheitsstrategie

Die Studie »The Current and Future State of Cybersecurity« von Forcepoint in Zusammenarbeit mit WSJ Intelligence erstellt, beschreibt die Prioritäten globaler Wirtschaftsführer bei der Cybersicherheit und legt die wachsenden Unterschiede zwischen CEOs und CISOs dar. Die Befragung von CEOs und CISOs deckt erhebliche Reibungspunkte bei der Cybersicherheit auf. Die Studie zeigt die divergierenden Ansichten von…

Drei Kommunikationstrends 2020

2020 wird ein wichtiges Jahr für viele Unternehmen, das über Erfolg oder Misserfolg entscheiden könnte. In Zeiten eher schleppender Wirtschaftsentwicklung ist es umso wichtiger, dass Unternehmensentscheider Wege finden, die Wettbewerbsfähigkeit ihrer Unternehmen zu steigern und schnell neue Chancen im Bereich Digitalisierung für ihre Geschäftsmodelle zu nutzen. Treiber und Erfolgsfaktor für viele aktuelle Innovationen und Entwicklungen…

3 Tipps für einen besseren Ruf als CISO

Die Rolle des Chief Information Security Officer (CISO) in einem Unternehmen wird zunehmend notwendiger: Unternehmen brauchen jemanden, der sich taktisch mit dem Thema Sicherheit auseinandersetzt. Bei der Rekrutierung eines CISO neigten Unternehmen bisweilen allerdings dazu, Bewerber auszuwählen, die über ein fundiertes technisches Grundwissen verfügen, aber nur selten Management-Erfahrung mitbringen. Das Ergebnis: Eine Positionierung des CISO…

Kosten von Datenlecks erreichen neues Rekordhoch

Deutsche Unternehmen verzeichneten Schäden von durchschnittlich 4,9 Millionen Euro pro Fall. Gestohlene oder kompromittierte Anmeldedaten waren der häufigste Angriffsvektor in Deutschland.   Die Studie »Cost of a Data Breach Report 2024« von IBM zeigt, dass die durchschnittlichen Kosten eines Datenlecks in Deutschland 2024 auf 4,9 Millionen Euro pro Fall gestiegen sind [1]. Sie zeigt auch,…

Visibility, Deep Observability und Zero Trust: Das Problem der blinden Flecken

Ein Blick auf die letzten zwölf Monate zeigt: Deutsche IT- und Security-Entscheider erkennen mittlerweile, dass die Themen Deep Observability und Zero Trust wesentlich zum Erfolg der eigenen Sicherheitsstrategie beitragen. Entsprechende Investitionen haben dazu geführt, dass sie sich weniger um Sicherheitsvorfälle sorgen und in – womöglich falscher – Sicherheit wägen. So scheint der Ernst der Lage…

Angreifer hacken nicht, sie loggen sich ein

Den Wildwuchs im Datenzugriff durch menschliche und nicht-menschliche Identitäten unter Kontrolle bringen Unternehmen weltweit kämpfen heutzutage damit ihren Datenzugriff zu sichern, wobei weniger als 5 % der Zugriffsberechtigungen tatsächlich benötigt werden. Diese globale Bedrohung möchte CyberDesk, ein in München ansässiges Cybersicherheitsunternehmen, lösen und hat nun den offiziellen Start seiner Plattform für identitätszentrierte Datensicherheit bekanntgegeben. Mit…

Die Gefahr session-basierter Attacken steigt

Die zunehmende Verbreitung der Multi-Faktor-Authentifizierung (MFA) hat es Angreifern erschwert, Accounts zu kompromittieren. MFA ist jedoch kein Allheilmittel, denn Angreifer können sie unter Nutzung von Authentifizierungs-Token umgehen und dadurch Zugriff auf sensible Systeme und Daten erhalten. CyberArk nennt die zentralen Risiken und korrespondierende Maßnahmen zur Gefahrenreduzierung.   In einer Zeit der zunehmenden MFA-Nutzung zielen immer…

Déjà-vu bei Move-IT?

Ein Kommentar von Richard Werner, Security Advisor bei Trend Micro Vor fast genau einem Jahr im Mai und Juni 2023 stand Move-IT ganz oben in den IT-Security-Schlagzeilen. Auch damals ging es um Schwachstellen. Auch damals gab es schnell Angriffe. Auch damals warnte das BSI davor und riet den betroffenen Kunden in Deutschland, schnellstmöglich zu aktualisieren.…