IT-Security-Verantwortliche scheitern an der Kommunikation mit der Geschäftsleitung

foto freepik

Die meisten CISOs fühlen sich unter Druck gesetzt, Cyberrisiken herunterzuspielen.

 

Die Studie »The CISO Credibility Gap« von Trend Micro zeigt: Drei Viertel der deutschen IT-Security-Verantwortlichen (76 Prozent, weltweit 79 Prozent) fühlen sich von der Geschäftsleitung unter Druck gesetzt, die Cyberrisiken im Unternehmen herunterzuspielen [1]. 48 Prozent (weltweit 41 Prozent) von ihnen glauben, dass erst ein schwerwiegender Sicherheitsvorfall im Unternehmen die Führungsriege dazu veranlassen würde, entschlossener gegen Cyberrisiken vorzugehen.

Warum werden CISOs nicht gehört? 49 Prozent der Befragten in Deutschland (weltweit 42 Prozent) glauben, dass sie als übermäßig negativ gelten. 32 Prozent (weltweit 43 Prozent), sagen, sie würden als sich wiederholend und nörgelnd gesehen. Mehr als ein Drittel von ihnen (34 Prozent, weltweit 33 Prozent) berichtet, bereits von der Geschäftsleitung kurzerhand abgewiesen worden zu sein. Diese Ergebnisse deuten auf ein gravierendes Kommunikationsproblem hin: Offensichtlich schaffen es die Security-Verantwortlichen nicht, der Geschäftsleitung den Zusammenhang zwischen Cyberrisiken und daraus entstehenden Geschäftsrisiken aufzuzeigen.

Umgekehrt berichten fast alle (99 Prozent), dass sich ihre interne Lage verbesserte, sobald es ihnen gelang, den geschäftlichen Nutzen ihrer Cybersicherheitsstrategie zu messen:

  • 46 Prozent (weltweit 43 Prozent) erhielten daraufhin mehr Budget.
  • 45 Prozent (weltweit 44 Prozent) haben den Eindruck, dass ihre Rolle im Unternehmen als wertvoller angesehen wird.
  • 42 Prozent (weltweit 41 Prozent) werden in die Entscheidungsfindung auf höherer Ebene einbezogen.
  • 40 Prozent (weltweit 45 Prozent) erhielten mehr Verantwortung.
  • 26 Prozent (weltweit 46 Prozent) fühlen sich als glaubwürdiger wahrgenommen.

Doch es gibt noch viel zu tun: In über einem Drittel der deutschen Unternehmen (34 Prozent, weltweit 34 Prozent) wird Cybersicherheit nach wie vor lediglich als reine IT-Aufgabe und nicht als Teil des Managements von Geschäftsrisiken behandelt. Nur zirka die Hälfte (51 Prozent, weltweit 54 Prozent) der Befragten sind zuversichtlich, dass ihre Führungsebene die Cyberrisiken, denen das Unternehmen ausgesetzt ist, vollständig versteht. Da sich diese Zahl seit 2021 kaum verändert hat, stellt sich die Frage: Berichten CISOs die richtigen Kennzahlen? Sprechen sie die richtige Sprache, um Cyberrisiken effektiv in geschäftlichen Begriffen zu kommunizieren? Eine große Herausforderung ist dabei die heterogene Security-Landschaft. Viele isolierte Einzellösungen erzeugen inkonsistente Datenpunkte, die es den Security-Verantwortlichen erschweren, klare Aussagen zu Cyberrisiken zu machen.

»Mehr als die Hälfte der Security-Verantwortlichen in Deutschland (62 Prozent) sagen, dass Cyberrisiken ihr größtes Geschäftsrisiko sind. Es gelingt ihnen aber oft nicht, dieses Risiko so zu kommunizieren, dass es die Geschäftsleitung versteht. Infolgedessen werden sie ignoriert, herabgesetzt und der Nörgelei bezichtigt«, so Richard Werner, Security Advisor bei Trend Micro. »Wenn sich die Kommunikation mit der Führungsebene nicht verbessert, wird die Cyberresilienz von Unternehmen leiden. Der erste Schritt zur Verbesserung sollte darin bestehen, eine ›Single Source of Truth‹ für die gesamte Angriffsfläche zu schaffen.«

Über die Hälfte der Befragten (59 Prozent, weltweit 58 Prozent) glauben, dass sie stärker in ihre Kommunikationsfähigkeiten investieren müssen. Eine ganzheitliche Plattform zum Management der Angriffsoberfläche (Attack Surface Risk Management, ASRM) kann dabei zur Lösung dieses Kommunikationsproblems beitragen, indem sie konsistente, management-taugliche Risikoeinblicke liefert. ASRM sammelt interne und externe Security-Daten in einem zentralen Data Lake, analysiert und korreliert sie KI-gestützt. Im Executive Dashboard erhalten CISOs alle Informationen zur Risikoexposition, die sie für ein überzeugendes Reporting bei der Geschäftsleitung brauchen.

 

[1] Sapio Research befragte im Februar 2024 im Auftrag von Trend Micro 2600 IT-Security-Verantwortliche aus Unternehmen verschiedener Branchen und Größen in Europa, Nord- und Lateinamerika, dem Nahen Osten, sowie dem Asien-Pazifik-Raum, davon 100 aus Deutschland. Weitere Informationen zur Trend Micro-Studie The CISO Credibility Gap finden Sie hier: https://www.trendmicro.com/explore/thecisocredibilitygap_de

 

Erhebliche Kommunikationslücken zwischen CISO und Top-Management

Illustration Absmeier foto freepik

Fehlende Kommunikation als Risikofaktor: In Führungsetagen geht mehr als jeder dritte Befragte davon aus, dass Cybersicherheits-Verantwortliche ihr Top-Management über potenzielle Schwachstellen nur zögerlich informieren.

 

Zwischen Top-Management und Cybersicherheits-Verantwortlichen in Unternehmen klafft eine potenziell riskante Kommunikationslücke – trotz breiter Einigkeit über die steigende Bedeutung von Cybersicherheit. Das zeigt die Studie »CISO Redefined – Navigating C-Suite Perceptions & Expectations« von FTI Consulting.

Angesichts einer sich rasch entwickelnden Risikolandschaft, neuer gesetzlicher Vorschriften und erhöhter öffentlicher Aufmerksamkeit investieren Top-Manager vermehrt in Cybersicherheit. Zugleich sind viele aber der Meinung, dass ihre CISOs wichtigen, sicherheitsrelevanten Kommunikationsanforderungen nicht gerecht werden.

»Keine Frage, Top-Management und CISOs sind sich der Bedeutung von Cybersicherheitsrisiken bewusst«, sagt Meredith Griffanti, Global Head of Cybersecurity & Data Privacy Communications bei FTI Consulting. »Dennoch müssen Unternehmen noch mehr tun, damit Manager und CISOs auch die gleiche Sprache sprechen.«

Im Rahmen der CISO-Studie wurden knapp 800 C-Level-Manager aus neun Ländern und sieben Industrien befragt. Der Studie zufolge wünschen sich nahezu die Hälfte (45 %) der befragten deutschen Führungskräfte von ihren CISOs die Fähigkeit, Fachjargon in verständliche Sprache zu übersetzen. Die Risikodimension verdeutlicht ein weiteres Ergebnis der Studie: Darin gaben nur 2 % der befragten deutschen CISOs an, dass ihre Unternehmen in den vergangenen zwölf Monaten keinen Cyberangriff erlebt hatten.

»Sicherheit ist das gemeinsame Ziel von CISOs und Top-Management. Doch unsere Studie zeigt, dass sie häufig aneinander vorbei kommunizieren«, sagt Hans-Peter Fischer, Senior Managing Director und Leiter des Bereichs Cyber Security bei FTI in Deutschland. Schließlich spricht der CISO einen Fachjargon, den die Führungsebene und der Vorstand oft nicht verstehen. So entsteht leicht ein endloser Kreislauf, in dem der CISO versucht, die Dinge einfacher – oder besser – darzustellen, als sie tatsächlich sind. »Das wiederum kann dazu führen, dass zum einen CISOs ihr Management von gewissen Investitionen nicht oder nur schwer überzeugen können. Und zum anderen der Vorstand kein genaues Bild hat, wo das Unternehmen am anfälligsten ist,« so Hans-Peter Fischer weiter. Die Schulung der Präsentations- und Kommunikationsfähigkeiten von CISOs ist somit von entscheidender Bedeutung für ein gemeinsames Verständnis und die richtige Priorisierung von Cybersicherheitsthemen im Unternehmen. Neben einem besseren Verständnis wünschen sich deutsche Vorstandsvertreter aber auch eine bessere Verankerung des Themas in der Unternehmenskultur, um Risiken im Bereich Informations- und Cybersicherheit zu reduzieren. So sehen 28 % der Befragten in Deutschland Trainingsbedarf zur Frage, wie eine proaktive und adaptive Cybersicherheits-Kultur geschaffen werden kann.

Die befragten deutschen Unternehmen besorgt am meisten das unzureichende Verständnis von Informationssicherheits- und Cybersicherheitsrisiken der Mitarbeiter (45 %). Die Schwierigkeit, die richtigen Talente im Bereich Cybersicherheit und Datenschutz zu finden (41 %) rangiert auf Rang 2 der Sorgen-Skala.

Der Studie zufolge sind 94 % der befragten Top-Manager der Meinung, dass das Thema Cybersicherheit in den letzten 12 Monaten an Bedeutung gewonnen hat. Bei der Mehrheit genießt Cybersicherheit eine hohe Priorität. Das Top-Management stellt finanzielle Mittel bereit, um dieser neuen Realität Rechnung zu tragen. Durchschnittlich wollen sie Cybersicherheitsbudgets in den kommenden ein bis zwei Jahren um etwa ein Viertel (23 %) und in den nächsten drei bis fünf Jahren um mehr als ein Drittel (36 %) erhöhen.

Die zentralen Ergebnisse der »CISO Redefined«-Reihe bestätigen eine Kommunikationslücke zwischen Top-Management und CISOs:

  • Bemerkenswerte 66 % der CISOs sind der Meinung, dass die oberste Führungsebene Schwierigkeiten hat, ihre Rolle innerhalb des Unternehmens vollständig zu verstehen. 31 % der C-Level-Führungskräfte wiederum haben Schwierigkeiten, den konkreten Nutzen von Cyberinvestitionen nachzuvollziehen.
  • Während 82 % der CISOs ein Bedürfnis verspüren, die Sachlage gegenüber dem Vorstand besser darzustellen, glauben 31 % der Top-Manager, dass ihre CISOs ein positiveres Bild zeichnen, als es der Wirklichkeit entspricht. 30 % denken, dass die CISOs sich nur zögerlich über Sicherheitsbedenken äußern.
  • Was interne Abstimmungen betrifft, bestätigen 58 % der CISOs, dass es ihnen schwer fällt, den Fachjargon für die Führungsebene verständlich zu übersetzen. 28 % der Top-Führungskräfte sind der Studie zufolge zugleich der Meinung, dass es ihre CISO vor Herausforderungen stellt, technische Begriffe in betriebswirtschaftliche Begriffe zu übersetzen. 30 % berichten von diesem Problem, wenn CISOs Cyberrisiken in finanziellen und materiellen Kategorien verständlich machen sollen.
  • 98 % der befragten Top-Manager sprechen sich dafür aus, mehr Mittel für Kommunikations- und Präsentationstrainings für CISOs bereitzustellen, wobei fast die Hälfte diesen Bedarf als dringend bezeichnet.

»Klare, offene Kommunikation im Führungskreis ist ein Muss für jedes Unternehmen, um die gestiegenen Risiken im Bereich der Cybersicherheit angemessen zu bewerten und sich dagegen zu schützen,« sagt Oliver Müller, Senior Managing Director und Leiter des Bereichs Krisen-, Litigation- und Cybersicherheitskommunikation bei FTI Deutschland. »Wenn Führungskräfte keinen Einblick in die Bedrohungen haben, mit denen sie konfrontiert sind, verpassen Unternehmen die Möglichkeit, die richtigen Ressourcen einzusetzen, um ihre Widerstandsfähigkeit und Abwehrbereitschaft zu maximieren.«

 

Die vollständige Untersuchung können Sie hier herunterladen:
https://fticommunications.com/ciso-redefined-navigating-c-suite-perceptions-and-expectations/
Methodik der Umfrage
FTI Consulting’s Digital & Insights Practice führte im November 2023 eine Online-Umfrage unter 787 C-Suite-Führungskräften in Organisationen mit mehr als 500 Mitarbeitern aus den Schlüsselindustrien von FTI durch, welche Unternehmen mit einem Gesamtumsatz von 21,5 Billionen US-Dollar und 3,69 Millionen Mitarbeitern weltweit repräsentieren.

 

 

2898 Artikel zu „IT-Security Kommunikation“

Kommunikationskanäle im Service Desk: Effizienter Support dank Direkt-Chat

Wenn IT-Nutzer ein IT-Problem haben, erwarten sie einfachen und schnellen Support, um zügig störungsfrei weiterarbeiten zu können. Die Service Desks vieler Unternehmen sind jedoch oftmals technologisch nicht so aufgestellt, dass sie diesem Anspruch gerecht werden könnten. Es existieren zwar vielfach Ticketsysteme, doch die Kommunikation erfolgt klassischerweise über E-Mail und Telefon. Das sorgt für Ineffizienz, Intransparenz…

NIS-2-Congress: Alle Informationen zu den neuen Herausforderungen – IT-Security Dialog für Unternehmen

Die NIS-Projects GmbH kündigt einen praxisorientierten und ganzheitlichen NIS-2-Congress mit umfangreichem Programm im Juli in Stuttgart an. Auf der zweitägigen Veranstaltung am 10. und 11. Juli 2024 haben Unternehmen die Möglichkeit, sich über die Umsetzung der NIS-2-Richtlinie zu informieren. Sie können sich intensiv mit den Herausforderungen, aber auch den Chancen auseinandersetzen, die NIS-2 mit sich…

Die zwei wichtigsten Trends der IT-Security

Entwicklung und Einsatz von KI-Tools und Absicherung der Software-Lieferkette sind die wichtigsten Trends in der IT-Security.   Künstliche Intelligenz (KI) ist fraglos der derzeit wichtigste Trend in der IT, der auch in der IT-Security in vielen Bereichen längst zum Einsatz kommt. Leider auch auf der Seite der Cyberkriminellen. Denn diese sind wie so oft Vorreiter…

Erhebliche Kommunikationslücken zwischen CISO und Top-Management

Fehlende Kommunikation als Risikofaktor: In Führungsetagen geht mehr als jeder dritte Befragte davon aus, dass Cybersicherheits-Verantwortliche ihr Top-Management über potenzielle Schwachstellen nur zögerlich informieren.   Zwischen Top-Management und Cybersicherheits-Verantwortlichen in Unternehmen klafft eine potenziell riskante Kommunikationslücke – trotz breiter Einigkeit über die steigende Bedeutung von Cybersicherheit. Das zeigt die Studie »CISO Redefined – Navigating C-Suite…

Worauf es im Katastrophenfall ankommt: ultramobile Kommunikation

Diese vier Herausforderungen muss ultramobile Kommunikation für Einsatzkräfte bewältigen. Tritt der Ernstfall ein, sind Einsatzkräfte auf reibungslose Abläufe und sichere, funktionierende Technik angewiesen – insbesondere bei der Kommunikation. Ultramobile Lösungen können eine effektive Koordination realisieren, müssen dafür aber grundlegende Hürden überwinden. Welche das sind und wie mögliche Lösungen aussehen, erklärt der Kommunikations- und IT-Security-Experte Materna…

Die Zukunft der Business-Kommunikation: Drei Trends für 2024

Produktivitätssteigerung und Kostenoptimierung durch Intelligent Document Processing stehen ganz oben auf der Agenda der Unternehmen. KI spielt 2024 eine entscheidende Rolle in der E-Mail-Sicherheit. Schnelle Innovationsfähigkeit ist Voraussetzung für Unternehmenserfolg, und kann durch den klugen Einsatz von Cloud-Umgebungen umgesetzt werden. Retarus, Spezialist für Cloud-Messaging-Lösungen auf Enterprise-Level, hat diese drei Trends identifiziert, welche die digitale Geschäftskommunikation…

IT-Security für KRITIS: Datenschutz = Katastrophenschutz

Wenn kritische Infrastrukturen (KRITIS) von Hackern angegriffen werden, kann das dramatische Folgen haben. Doch während Rechenzentren oft Hochsicherheitstresoren gleichen, lassen sich Schaltbefehle beispielsweise von Bahnunternehmen, Energieversorgern oder Wasserwerken leicht manipulieren. Wenn sich diese Unternehmen vor folgenschweren Angriffen schützen wollen, sollten sie auf Verschlüsselungstechnologien »Made in Germany« setzen.   Ein Vorfall aus dem vergangenen Frühjahr zeigt,…

IT-Security von heute braucht Mentalitätswandel

Unternehmen und Organisationen in Deutschland haben berechtigterweise die Befürchtung, Opfer eines Cyberangriffs zu werden. Die Schlagzeilen über Netzwerkzugriffe durch Unbefugte häufen sich. Viele Vorfälle – auch in Deutschland – lassen die Vermutung aufkommen, dass die Cyberkriminalität enorme Ausmaße annimmt und ihren Opfern scheinbar immer einen Schritt voraus ist. Welche drei zentralen Herausforderungen kommen 2023 in…

IT-Security-Trends 2023: Slack, Teams, Elements, WhatsApp & Co. im Aufschwung – und was ist mit der E-Mail?

Schon seit über 50 Jahren gibt es die E-Mail. Seitdem hat sie sich vor allem als praktisches Kommunikationsmittel im Business-Alltag bewährt. »Mal eben« eine Nachricht an Kollegen, Partner oder Kunden schicken – das ist via E-Mail innerhalb kürzester Zeit möglich. Auch wichtige Dokumente lassen sich auf diese Weise einfach übertragen und teilen. Doch wird dies…

Höhere Sicherheit in der Business-Kommunikation: Wie Sie Ihre E-Mails einfach, aber sicher verschlüsseln

Die Bedeutung der digitalen Kommunikation steigt stetig. Im Zuge der Corona-Pandemie werden etwa immer mehr Meetings online per Videokonferenz durchgeführt, viele Mitarbeiter arbeiten statt im Büro im Home Office. Dadurch nimmt der digitale Versand von Daten weiterhin stark zu. Doch die E-Mail, als meistgenutztes Kommunikationsmittel, zählt für Cyberkriminelle zu den beliebtesten Angriffszielen. Wie können sich Unternehmen also gegen solche Attacken absichern?

Auswirkungen von Covid-19 auf Kommunikationsdienstleister in verschiedenen Sektoren in Deutschland

Angesichts der langsamen Erholung von der Pandemie gibt es viele Länder, die von Covid-19 stärker betroffen waren als Deutschland, wo die Einschränkungen im Alltag weitaus weniger drakonisch waren. Dennoch haben deutsche Kommunikationsdienstleister, wie viele andere weltweit, einen Anstieg der Nachfrage festgestellt, und zwar bedingt durch den Übergang vieler Unternehmen zur Remote-Arbeit. Das hat eine Vielzahl…

Zusammenarbeit und Kommunikation neu gedacht mit Microsoft Teams

Das Home-Office ist aus der Unternehmenslandschaft nicht mehr wegzudenken. Es ist ein Stück Normalität geworden und wird auch nach Ende der Pandemie weiter bestehen. Jetzt ist es an der Zeit, überhastet eingeführte Strukturen auf sichere Beine zu stellen. Insbesondere mittelständische Unternehmen hat das plötzliche Hereinbrechen der Corona-Pandemie vor große Herausforderungen gestellt.   Hybrides Arbeiten wird…

IT-Security bleibt größte Sorge der Unternehmen und befördert Managed Services

Proaktivität ist Schlüsselanforderung bei Umstellung auf sicherheitszentriertes Servicemodell.   Die Covid-19-Pandemie hat deutlich vor Augen geführt, welche Auswirkungen solch ein Ereignis auf nahezu jedes Unternehmen weltweit hat: digitale Transformation, zunehmende Remote-Arbeit aber auch steigende Cyberkriminalität – nie waren die Chancen für Managed Service Provider größer als jetzt, sich ihren Kunden als kompetente Service-Berater in puncto…

Trends im Business Messaging: Kommunikationshub, KI und smarte Devices

Die Zukunft der mobilen Kommunikation. Mailen Sie noch oder chatten Sie schon? Messenger-Dienste sind aus der privaten Kommunikation nicht mehr wegzudenken. Auch im beruflichen Bereich gewinnen sie zunehmend an Relevanz. Dabei ist das Thema gar nicht so neu, wie man vermuten mag. Bereits 2001 nennt Gartner den Begriff »Enterprise Instant-Messaging« erstmals in seinem Hype Cycle.…

Die drei wichtigsten Kriterien für die Verschlüsselung der Videokommunikation

VNC, Entwickler von Open-Source-basierten Unternehmensanwendungen, listet die wichtigsten Parameter auf, die bei der Verschlüsselung von Videostreams beachtet werden sollten. Das exponentielle Wachstum von verteilten und vernetzten Arbeitsplätzen hat die Sicherheit der Kommunikation verstärkt in den Blickpunkt gerückt. Sowohl im Arbeitsleben (Home Office) als auch im Bildungswesen (Home Schooling) ist Videoconferencing zu einem elementaren Kommunikationskanal avanciert,…

Persuasive Kommunikation: Überzeugungsarbeit oder unbotmäßige Beeinflussung?

Persuasive Kommunikation ist so alt wie die Menschheit – Wer ihre Prinzipien kennt und versteht, ist eindeutig im Vorteil. Überzeugungsarbeit ist im Grunde genommen Kommunikation. Bei der Kunst der Überzeugung geht es jedoch darum, eine ausgeklügelte Mischung aus Kommunikationsfähigkeiten und Führungsqualitäten einzusetzen, um andere von den eigenen Ideen, Empfehlungen oder Vorschlägen zu überzeugen. Um die…

Grundsatzerklärung: Vertrauliche Kommunikation braucht Verschlüsselung

Bitkom veröffentlicht Grundsatzerklärung zu verschlüsselter Kommunikation.   Angesichts der jüngsten sicherheitspolitischen Debatte der EU-Mitglieder zu staatlichen Eingriffen in verschlüsselte Kommunikation hat der Digitalverband Bitkom eine Grundsatzerklärung veröffentlicht. Bitkom ist überzeugt, dass eine zwangsweise Einführung von Hintertüren in Kommunikationsdiensten mehr schaden als nutzen würde. Gleiches gelte für sogenannte Generalschlüssel für gesicherte Kommunikationswege. »Wir müssen alles dafür…