Oft konzentriert sich die Geschäftsleitung auf die finanziellen Ergebnisse und versäumt es, einen Plan für den virtuellen Schutz der Firma aufzustellen – obwohl niemand als Opfer eines Hackerangriffs in den Nachrichten erscheinen möchte.
Einem Bericht der Unternehmensberatung McKinsey von 2021 zufolge räumten stets die Vorstandschaften von Unternehmen in regulierten Branchen, wie Banken und Versicherungen, der Cybersicherheit Priorität ein [1].
Andere Bereiche hinken hinterher und haben wenige Techniker oder mit der Technik bewanderte Leute auf der Führungsebene. CIOs und CTOs machen mit speziellen Führungskräften, die einen IT-Hintergrund vorweisen können, weltweit nur einen kleinen Teil der Vorstandsmitglieder aus. In einer von der Harvard Business Review durchgeführten Umfrage gab mehr als ein Drittel der Befragten an, dass es ihnen schwer falle, bezüglich Zwischenfälle, Risikobewertung und neuer Technologie auf dem Laufenden zu bleiben [2]. Nur 13 Prozent der Vorstände suchten bei ihrer letzten Auswahl der Führungskräfte nach informationstechnologischem Fachwissen als Kriterium. Dies führt zu einem Überangebot an Führungskräften mit Finanz- und Management-Kenntnissen – oder anders gesagt: Es fehlt Fachwissen zur Digitalisierung.
Warum die Führungsebene bei der IT-Sicherheit mitmachen sollte. Es wird schwieriger, an der Spitze eines Unternehmens zu sitzen, wenn man das Risiko eines Schadens, sowohl physisch als auch virtuell, nicht einschätzen kann. Bloß die Umsetzung von vorgeschlagenen Maßnahmen gegen IT-Attacken kann eine fundierte Entscheidungsfindung auf Führungsebene nicht ersetzen, denn mittlerweile stellen Cyberangriffe eine manchmal sogar existenzielle Bedrohung für jedes Unternehmen und jede Behörde dar. Im Jahr 2020 wurden bei Zwischenfällen mehr als 37 Milliarden Datensätze offengelegt – die höchste Zahl in einem Jahr. Das Verhältnis zwischen einem Angreifer und einem Verteidiger ist asymmetrisch: Ein Angreifer, der in 99 Prozent der Angriffe scheitert und in nur einem Prozent der Angriffe erfolgreich ist, hat Erfolg. Ein Verteidiger, der bei lediglich einem Prozent der Angriffe versagt und bei 99 Prozent erfolgreich ist, war erfolglos.
Früher lag die Aufgabe, IT-Bedrohungen zu verstehen und zu quantifizieren, bei den CISOs und ihren IT-Teams, die sich hauptsächlich mit der technischen Seite des Problems befassten. Ziel war es, eine Bestandsaufnahme der bestehenden Schutzmaßnahmen durchzuführen und festzustellen, wie anfällig die Systeme sind. Dies ist jedoch ein rückwärtsgewandter Ansatz und die vielschichtigen neuen Verteidigungsmaßnahmen der Unternehmen werden nicht berücksichtigt. Beispielsweise die Bemühung, Hacker absichtlich zu täuschen, wenn diese versuchen, Schwachstellen zu studieren, oder das Risiko, welches von Insider-Bedrohungen und versehentlichen Fehlkonfigurationen ausgeht.
Dieser traditionelle Ansatz trennt Sicherheitsentscheidungen von den Angelegenheiten, denen sie eigentlich dienen sollen. Während technische Bewertungen für die technischen Verantwortlichen ausreichend sein mögen, bieten sie selten eine risikoorientierte, umfassende und validierte Sicht, um die finanziellen und geschäftlichen Auswirkungen der IT-Sicherheit zu berücksichtigen. Darüber hinaus erfassen nicht alle Berichte alle wichtigen Bereiche einer Firma, wie die Unternehmensführung, die Mitarbeiterkultur, die Praktiken der Entscheidungsfindung oder die allgemeine Behandlung des virtuellen Risikoprofils eines Unternehmens.
Vorstandsmitglieder müssen all dies verstehen und auswerten können, wenn sie fundierte Entscheidungen treffen wollen. Zum Beispiel darüber, wo sie Kapital zur Verbesserung der IT-Abwehr bereitstellen sollten oder wie schwerwiegend sie die Auswirkungen von Attacken auf das Unternehmen bewerten sollen, bevor sie in andere Abteilungen investieren.
Digitale Transformation sorgt für Handlungsbedarf. Die Forderung nach mehr Fachwissen auf Führungsebene bedeutet nicht, dass alle Führungskräfte zu technischen Experten in Sachen der IT werden müssen. Es meint, dass diese in der Lage sein sollen, die Angriffsfläche ihrer Firma einzuschätzen, um die Steuerung von Investitionen zu definieren und eine Kultur des Sicherheitsbewusstseins und der Widerstandsfähigkeit zu fördern.
In der Vergangenheit waren CTOs und CIOs eher für Back-Office-Outsourcing, Beschaffung und Standardisierung zuständig. Jetzt helfen diese Positionen zunehmend, den Kurs für die langfristige Unternehmensstrategie festzulegen.
Einer der Gründe dafür ist die digitale Transformation, die Notwendigkeit zur Einbindung von IT-Technologie in so gut wie jede Firma und jede Behörde. Laut Gartner umfasst diese alle Bereiche: von der Modernisierung der IT bis hin zur Erfindung digitaler Geschäftsmodelle [3]. Die Netzwerke sind nun über mehrere öffentliche Clouds und Rechenzentren verteilt, was die Komplexität erhöht.
Damit einher geht die Notwendigkeit, den Einsatz digitaler Technologie zur Lösung geschäftlicher Herausforderungen ständig zu prüfen, zu aktualisieren und zu verbessern. Diese Abhängigkeit bringt Herausforderungen mit sich, da Unternehmer sicherstellen müssen, dass die IT-Sicherheit die digitale Transformation nicht behindert, sondern sogar beschleunigt.
Den wachsenden Anforderungen gerecht werden. Jeder IT-Mitarbeiter weiß: Um die Zustimmung der Führungskräfte zu einem Projekt oder Anliegen zu erhalten, reicht es nicht aus, sie mit technischen Spezifikationen zu überschütten. Die Bedrohungen und Chancen müssen in die Sprache der Wirtschaft übersetzt werden, damit die Mehrheit der Vorstandsmitglieder die realen negativen Folgen von Angriffen verstehen können, die oft sogar durch Untätigkeit verursacht werden. Zum Schaden gehören außerdem die finanzielle Belastung und Rufschädigung, neben den technischen und rechtlichen Verwicklungen.
Aus diesem Grund sollten CTOs und CIOs auf Vorstandsebene häufiger vertreten sein, um technische Erklärungen ebenfalls verstehen zu können und als Übersetzer zu wirken. Außerdem: Um eine Strategie der digitalen Transformation umsetzbar zu machen, sollten Führungskräfte auf allen Ebenen über die notwendigen digitalen Fähigkeiten verfügen, damit sie die Agenda im Unternehmen vorantreiben können und die IT-Sicherheit von einem abstrakten zu einem substantiellen Anliegen werden lassen.
Yuval Baron,
CEO und Mitbegründer
von AlgoSec
[1] https://www.mckinsey.com/business-functions/strategy-and-corporate-finance/our-insights/boards-and-cybersecurity
[2] https://hbr.org/2018/09/innovation-should-be-a-top-priority-for-boards-so-why-isnt-it
[3] https://www.gartner.com/en/information-technology/glossary/digital-transformation