US-Börsenaufsicht verklagt CISO

Illustration Absmeier foto freepik

Die US-Börsenaufsicht SEC (Security and Exchange Comission) hat Klage gegen den CISO des Unternehmens SolarWinds erhoben und damit für ein mittelstarkes Erdbeben in IT-Security-Kreisen gesorgt. Die Sachlage scheint dabei relativ klar. Das Echo der Industrie ist dagegen bemerkenswert und rein theoretisch ist eine solche Klage auch in Deutschland möglich. Und damit hat dieser Fall auch hier seine Relevanz.

 

Ein Kommentar von Richard Werner, Business Consultant bei Trend Micro

Relevanz in Deutschland

Die Verantwortung in einem Unternehmen trägt die Geschäftsführung. Das betrifft auch Schäden, die durch einen Cyberangriff entstehen, sowie die Korrektheit von geschäftsbezogenen Informationen wie Bilanz und immer wichtiger auch Cybersicherheit. Über letztere wird zunehmend sowohl von Geschäftspartnern, Versicherern und in naher Zukunft mit NIS2 auch vom Staat, Auskunft angefordert.

Diese Verantwortung kann nicht delegiert werden. Damit hat jede Geschäftsleitung die Pflicht, adäquate Informationen zur eigenen Lage einzuholen und darzustellen. Dafür greift sie in der Regel auf Fachkräfte zurück. Die Position des CISOs ist dabei eine Stabsstelle in größeren Unternehmen, die als Bindeglied zwischen Unternehmensleitung und IT-Security dienen soll. Sie kann, muss aber nicht, Teil der Geschäftsführung sein. Was hier verhandelt wird, ist tatsächlich die Frage, ob eine Geschäftsleitung für Falschaussagen zur eigenen Cybersicherheit verurteilt werden kann. Aber auch, welche Rolle dabei die interne IT-Security spielt.

Der Fall nüchtern betrachtet

Eigentlich stellt sich alles ziemlich einfach dar. Wenn die Klageschrift stimmt (und nur darüber sprechen wir), dann wurden Warnungen aus der IT-Sicherheit nicht ernst genommen. Statt Gegenmaßnahmen wurde in entsprechenden Darstellungen nach außen gelogen und die eigenen Probleme ignoriert. Den Aktionären ist dadurch ein erheblicher Schaden entstanden, für den das Unternehmen haften soll. Der CISO von SolarWinds war in diesem Zusammenhang sowohl für die interne Kommunikation als auch für die Außendarstellung verantwortlich und steht somit sogar als Beschuldigter persönlich auf der Anklagebank.

Unter der Haube

Spannend sind die Reaktionen auf diese Anklage. Sie zeigen das eigentliche Problem im Machtungleichgewicht sowie in der Grundaufgabe des CISO auf. Es geht darum, Cyberrisiken zu identifizieren und zu bewerten sowie entsprechende Aktivitäten daraus abzuleiten. Dieser Task an sich ist nicht einfach. Wie es auch die internen Diskussionen bei Solarwinds zeigen, kann man zu unterschiedlichen Einschätzungen kommen.

Noch viel schwieriger wird es, wenn es darum geht, diese Informationen auch an die Geschäftsführung weiterzuleiten bzw. intern zu eskalieren. Diese primäre Aufgabe der IT-Security mit der finalen Instanz des CISOs beinhaltet eine Vorfilterung und Relativierung von IT-Security-Risiken. Auf dem Papier sind Geschäftsleitungen dafür verantwortlich es der meldenden Stelle einfach zu machen, wichtige Informationen ohne Angst um die eigene Rolle vorzutragen. In der Realität sieht das leider oft anders aus. Security-Verantwortliche sind in vielen Unternehmen als »Schwarzseher« oder »Bremser« verschrien. Eine Eigenart der IT-Security ist es, dass die Eintrittswahrscheinlichkeit eines Angriffs nur sehr vage eingeschätzt werden kann. Dies macht es gerade für Unternehmensleitungen schwer nachzuvollziehen, ob ein Gegenüber von ernsthaften Problemen oder pessimistischen Ansichten spricht. In Folge halten IT-Security-Verantwortliche oft Teile ihres Wissens zur Situation zurück, aus Angst »zu negativ« zu klingen oder nicht mehr ernst genommen zu werden, weil man sich ständig wiederholt. In einer Trend Micro-Umfrage aus dem Jahr 2021 beschrieben 80 Prozent der deutschen Security-Verantwortlichen (weltweit 82 Prozent) genau dieses Verhalten.

 


 

Wer trägt in Deutschland die Verantwortung bei einem ernsten Sicherheitsvorfall im Unternehmen: die Geschäftsführung oder der CISO?

 

Diese Frage ist nicht einfach zu beantworten, denn es kommt auf die konkreten Umstände des Vorfalls und die Rolle des CISOs im Unternehmen an. Grundsätzlich gilt, dass die Geschäftsführung die oberste Verantwortung für die Sicherheit des Unternehmens trägt und dafür haftet, wenn sie diese Pflicht verletzt. Der CISO ist jedoch derjenige, der die Sicherheitsstrategie und -maßnahmen umsetzt und überwacht. Er ist somit der Fachexperte, der die Geschäftsführung berät und unterstützt.

Wenn ein Sicherheitsvorfall eintritt, muss der CISO zunächst die Geschäftsführung informieren und gemeinsam mit ihr die geeigneten Schritte zur Schadensbegrenzung und Aufklärung einleiten. Dabei muss er transparent und ehrlich sein, auch wenn er selbst Fehler gemacht hat oder Schwachstellen in seinem Bereich aufdeckt. Der CISO sollte auch die Kommunikation mit den betroffenen Kunden, Partnern, Behörden und der Öffentlichkeit koordinieren und sicherstellen, dass alle relevanten Informationen korrekt und zeitnah weitergegeben werden.

Die Geschäftsführung muss ihrerseits dem CISO das nötige Vertrauen und die Ressourcen geben, um seine Aufgaben zu erfüllen. Sie muss auch bereit sein, seine Empfehlungen anzunehmen und umzusetzen, auch wenn diese unangenehm oder kostspielig sind. Die Geschäftsführung sollte außerdem den CISO vor ungerechtfertigten Angriffen oder Sanktionen schützen, wenn er nach bestem Wissen und Gewissen gehandelt hat.

Die Verantwortung bei einem ernsten Sicherheitsvorfall im Unternehmen ist also eine geteilte Verantwortung zwischen der Geschäftsführung und dem CISO. Beide müssen eng zusammenarbeiten, um das Problem zu lösen und aus dem Vorfall zu lernen. Nur so kann das Vertrauen in das Unternehmen wiederhergestellt und die Sicherheitskultur verbessert werden.

 

Was sind die Aufgaben und Pflichten eines CISO? Welche Verantwortung hat er gegenüber der Geschäftsführung?

Ein CISO (Chief Information Security Officer) ist eine Führungskraft, die für die Sicherheit der IT-Systeme und Daten eines Unternehmens verantwortlich ist. Er oder sie muss sicherstellen, dass die IT-Infrastruktur, die Anwendungen, die Netzwerke und die Cloud-Dienste vor internen und externen Bedrohungen geschützt sind. Ein CISO muss auch die Einhaltung von gesetzlichen und regulatorischen Anforderungen an die Informationssicherheit überwachen und durchsetzen.

Die Aufgaben und Pflichten eines CISO können je nach Größe, Branche und Reifegrad des Unternehmens variieren, aber einige typische Aufgaben sind:

  • Die Entwicklung, Implementierung und Überprüfung einer Informationssicherheitsstrategie, die auf den Geschäftszielen und -risiken des Unternehmens basiert.
  • Die Leitung eines Teams von Informationssicherheitsexperten, die für die tägliche Sicherheitsüberwachung, -analyse, -reaktion und -berichterstattung zuständig sind.
  • Die Förderung einer Sicherheitskultur im gesamten Unternehmen durch Schulung, Sensibilisierung und Kommunikation von Sicherheitsrichtlinien, Sicherheitsverfahren und Sicherheits-best-practices.
  • Die Bewertung und Verwaltung von Sicherheitsrisiken, einschließlich der Durchführung von Risikoanalysen, -bewertungen und -audits.
  • Die Auswahl, Implementierung und Wartung von Sicherheitstechnologien, -tools und -prozessen, die den Sicherheitsanforderungen des Unternehmens entsprechen.
  • Die Zusammenarbeit mit anderen Führungskräften, Geschäftsbereichen, Stakeholdern und externen Partnern, um die Sicherheitsanforderungen zu verstehen, zu erfüllen und zu unterstützen.
  • Die Reaktion auf Sicherheitsvorfälle und -krisen, einschließlich der Koordination von Untersuchungen, Gegenmaßnahmen und Wiederherstellungsplänen.
  • Die Erstellung und Präsentation von Sicherheitsberichten, -metriken und -empfehlungen für die Geschäftsführung.

Die Verantwortung eines CISO gegenüber der Geschäftsführung ist es, das Unternehmen vor den finanziellen, rechtlichen, reputativen und operativen Folgen eines Sicherheitsvorfalls oder -verstoßes zu schützen. Ein CISO muss auch die Geschäftsführung über den aktuellen Stand der Informationssicherheit im Unternehmen informieren und beraten. Ein CISO muss in der Lage sein, die Geschäftsführung davon zu überzeugen, dass Informationssicherheit eine strategische Priorität ist, die angemessene Ressourcen und Investitionen erfordert. Ein CISO muss auch die Erwartungen der Geschäftsführung in Bezug auf die Sicherheitsziele, -leistungen und -herausforderungen des Unternehmens managen.

Genki Absmeier