Illustration Absmeier foto freepik

Fehlende Kommunikation als Risikofaktor: In Führungsetagen geht mehr als jeder dritte Befragte davon aus, dass Cybersicherheits-Verantwortliche ihr Top-Management über potenzielle Schwachstellen nur zögerlich informieren.

Zwischen Top-Management und Cybersicherheits-Verantwortlichen in Unternehmen klafft eine potenziell riskante Kommunikationslücke – trotz breiter Einigkeit über die steigende Bedeutung von Cybersicherheit. Das zeigt die Studie »CISO Redefined – Navigating C-Suite Perceptions & Expectations« von FTI Consulting.

Angesichts einer sich rasch entwickelnden Risikolandschaft, neuer gesetzlicher Vorschriften und erhöhter öffentlicher Aufmerksamkeit investieren Top-Manager vermehrt in Cybersicherheit. Zugleich sind viele aber der Meinung, dass ihre CISOs wichtigen, sicherheitsrelevanten Kommunikationsanforderungen nicht gerecht werden.

»Keine Frage, Top-Management und CISOs sind sich der Bedeutung von Cybersicherheitsrisiken bewusst«, sagt Meredith Griffanti, Global Head of Cybersecurity & Data Privacy Communications bei FTI Consulting. »Dennoch müssen Unternehmen noch mehr tun, damit Manager und CISOs auch die gleiche Sprache sprechen.«

Im Rahmen der CISO-Studie wurden knapp 800 C-Level-Manager aus neun Ländern und sieben Industrien befragt. Der Studie zufolge wünschen sich nahezu die Hälfte (45 %) der befragten deutschen Führungskräfte von ihren CISOs die Fähigkeit, Fachjargon in verständliche Sprache zu übersetzen. Die Risikodimension verdeutlicht ein weiteres Ergebnis der Studie: Darin gaben nur 2 % der befragten deutschen CISOs an, dass ihre Unternehmen in den vergangenen zwölf Monaten keinen Cyberangriff erlebt hatten.

»Sicherheit ist das gemeinsame Ziel von CISOs und Top-Management. Doch unsere Studie zeigt, dass sie häufig aneinander vorbei kommunizieren«, sagt Hans-Peter Fischer, Senior Managing Director und Leiter des Bereichs Cyber Security bei FTI in Deutschland. Schließlich spricht der CISO einen Fachjargon, den die Führungsebene und der Vorstand oft nicht verstehen. So entsteht leicht ein endloser Kreislauf, in dem der CISO versucht, die Dinge einfacher – oder besser – darzustellen, als sie tatsächlich sind. »Das wiederum kann dazu führen, dass zum einen CISOs ihr Management von gewissen Investitionen nicht oder nur schwer überzeugen können. Und zum anderen der Vorstand kein genaues Bild hat, wo das Unternehmen am anfälligsten ist,« so Hans-Peter Fischer weiter. Die Schulung der Präsentations- und Kommunikationsfähigkeiten von CISOs ist somit von entscheidender Bedeutung für ein gemeinsames Verständnis und die richtige Priorisierung von Cybersicherheitsthemen im Unternehmen. Neben einem besseren Verständnis wünschen sich deutsche Vorstandsvertreter aber auch eine bessere Verankerung des Themas in der Unternehmenskultur, um Risiken im Bereich Informations- und Cybersicherheit zu reduzieren. So sehen 28 % der Befragten in Deutschland Trainingsbedarf zur Frage, wie eine proaktive und adaptive Cybersicherheits-Kultur geschaffen werden kann.

Die befragten deutschen Unternehmen besorgt am meisten das unzureichende Verständnis von Informationssicherheits- und Cybersicherheitsrisiken der Mitarbeiter (45 %). Die Schwierigkeit, die richtigen Talente im Bereich Cybersicherheit und Datenschutz zu finden (41 %) rangiert auf Rang 2 der Sorgen-Skala.

Der Studie zufolge sind 94 % der befragten Top-Manager der Meinung, dass das Thema Cybersicherheit in den letzten 12 Monaten an Bedeutung gewonnen hat. Bei der Mehrheit genießt Cybersicherheit eine hohe Priorität. Das Top-Management stellt finanzielle Mittel bereit, um dieser neuen Realität Rechnung zu tragen. Durchschnittlich wollen sie Cybersicherheitsbudgets in den kommenden ein bis zwei Jahren um etwa ein Viertel (23 %) und in den nächsten drei bis fünf Jahren um mehr als ein Drittel (36 %) erhöhen.

Die zentralen Ergebnisse der »CISO Redefined«-Reihe bestätigen eine Kommunikationslücke zwischen Top-Management und CISOs:

• Bemerkenswerte 66 % der CISOs sind der Meinung, dass die oberste Führungsebene Schwierigkeiten hat, ihre Rolle innerhalb des Unternehmens vollständig zu verstehen. 31 % der C-Level-Führungskräfte wiederum haben Schwierigkeiten, den konkreten Nutzen von Cyberinvestitionen nachzuvollziehen.
• Während 82 % der CISOs ein Bedürfnis verspüren, die Sachlage gegenüber dem Vorstand besser darzustellen, glauben 31 % der Top-Manager, dass ihre CISOs ein positiveres Bild zeichnen, als es der Wirklichkeit entspricht. 30 % denken, dass die CISOs sich nur zögerlich über Sicherheitsbedenken äußern.
• Was interne Abstimmungen betrifft, bestätigen 58 % der CISOs, dass es ihnen schwer fällt, den Fachjargon für die Führungsebene verständlich zu übersetzen. 28 % der Top-Führungskräfte sind der Studie zufolge zugleich der Meinung, dass es ihre CISO vor Herausforderungen stellt, technische Begriffe in betriebswirtschaftliche Begriffe zu übersetzen. 30 % berichten von diesem Problem, wenn CISOs Cyberrisiken in finanziellen und materiellen Kategorien verständlich machen sollen.
• 98 % der befragten Top-Manager sprechen sich dafür aus, mehr Mittel für Kommunikations- und Präsentationstrainings für CISOs bereitzustellen, wobei fast die Hälfte diesen Bedarf als dringend bezeichnet.

»Klare, offene Kommunikation im Führungskreis ist ein Muss für jedes Unternehmen, um die gestiegenen Risiken im Bereich der Cybersicherheit angemessen zu bewerten und sich dagegen zu schützen,« sagt Oliver Müller, Senior Managing Director und Leiter des Bereichs Krisen-, Litigation- und Cybersicherheitskommunikation bei FTI Deutschland. »Wenn Führungskräfte keinen Einblick in die Bedrohungen haben, mit denen sie konfrontiert sind, verpassen Unternehmen die Möglichkeit, die richtigen Ressourcen einzusetzen, um ihre Widerstandsfähigkeit und Abwehrbereitschaft zu maximieren.«

Die vollständige Untersuchung können Sie hier herunterladen:

https://fticommunications.com/ciso-redefined-navigating-c-suite-perceptions-and-expectations/

Methodik der Umfrage

FTI Consulting’s Digital & Insights Practice führte im November 2023 eine Online-Umfrage unter 787 C-Suite-Führungskräften in Organisationen mit mehr als 500 Mitarbeitern aus den Schlüsselindustrien von FTI durch, welche Unternehmen mit einem Gesamtumsatz von 21,5 Billionen US-Dollar und 3,69 Millionen Mitarbeitern weltweit repräsentieren.