No Glory in Prevention? Wie CISOs mehr Sichtbarkeit und Einfluss gewinnen können

CISOs haben eine wichtige Rolle mit hohem Ansehen im Unternehmen – oder? Leider nicht immer. Warum die Rolle undankbar sein kann, hat drei Hauptursachen:

Das Bild der IT-Sicherheit als reine Kostenstelle hält sich hartnäckig. Geschäftsführungen erwarten, dass Security-Entscheider mit günstiger Technologie für starke Sicherheit sorgen. Durch die Perspektive auf mögliche Schäden durch Cyberattacken wird der Eindruck der Kostenstelle noch verstärkt. Es drängt sich der Vergleich mit Versicherungen auf, bei denen man regelmäßig Geld einzahlt, um einen möglichen Schadensfall auszugleichen. Daraus ergibt sich allerdings eine sehr defensive und passive Position der IT Security.

CISOs & Co. kämpfen nicht nur täglich für ein sicheres Unternehmen, sie arbeiten auch daran, dass die immer digitaler werdende Organisation in Zukunft geschützt bleibt. All das vor dem Hintergrund, dass Cyberkriminelle sich weiter professionalisieren und Budget sowie Fachkräfte zur Verstärkung des eigenen Teams schwer zu bekommen sind.

Das Problem: Solange der Betrieb der Infrastruktur reibungslos läuft, werden die Anstrengungen des IT-Teams gerne übersehen. Schließlich erwarten Geschäftsführung und Mitarbeitende, dass sie normal arbeiten können. Die Wertschätzung bleibt leider allzu oft aus.

Kommt es dann doch zu einem erfolgreichen Cyberangriff, zeigen die Finger schnell auf den Security-Verantwortlichen. Und bei der Schuldfrage ist es häufig egal, ob vorher gut oder schlecht gearbeitet wurde. Wenn Server verschlüsselt sind, nicht gearbeitet werden kann und die Produktion aussetzt, steigt der Druck auf den CISO immens.

Nach einem Sicherheitsvorfall geht es darum, den Schaden so gering wie möglich zu halten und die Reputation oder im schlimmsten Fall das Überleben des Unternehmens zu sichern. Diesen enormen Druck geben die Stakeholder an die Rolle des Security-Verantwortlichen weiter. Für viele CISOs ist es das Albtraum-Szenario und durchaus etwas, was sie nachts um den Schlaf bringt.

Große Herausforderungen in turbulenten Zeiten. Aber gerade die fortschreitende Digitalisierung, die Industrialisierung von Cyberkriminalität und die daraus resultierende Zuspitzung der Bedrohungslage führen dazu, dass die Rolle der Security-Experten für Unternehmen immer wichtiger wird. Oder besser gesagt: immer wichtiger werden sollte.

Doch noch besteht ein Dilemma für viele CISOs: Selbst mit den besten Intentionen und technischen Tools hat ein Unternehmen erst den nötigen Schutz, wenn Geschäftsführung und Mitarbeitende aktiver Teil der Sicherheitskultur sind. Doch wie kann der CISO den nötigen Einfluss im Unternehmen gewinnen, um das zu schaffen?

Warum sind Sicherheitsverantwortliche häufig zu wenig in Unternehmensstrukturen eingebunden? Das hat vor allem mit der externen Perspektive (z. B. durch die Geschäftsführung) auf das Thema IT Security zu tun: Müssen wir wirklich in Kauf nehmen, dass uns das Thema Informationssicherheit durch zusätzlichen Aufwand und Beschränkungen bremst, um theoretische Gefahren abzuwenden? Wir geben doch schon einiges für Security-Software aus und bisher ist nichts passiert.

„Es ist erstaunlich, wie viele Fahrer – selbst in der Formel 1 – denken, dass Bremsen dazu da sind, das Auto zu verlangsamen.“

Das berühmte Zitat von Mario Andretti ist eine passende Metapher. Denn er hat Recht: Bremsen dienen nicht dazu, uns langsam zu machen. Sie ermöglichen uns, eine Rennstrecke schneller und dabei sicher zu meistern. Das beschreibt sehr treffend die Rolle der IT-Sicherheit. Denn sie ermöglicht Unternehmen, die Vorteile der digitalen Transformation bestmöglich auszunutzen, während gleichzeitig die Risiken kontrolliert werden. (Diesen schlauen Gedanken haben wir von Fred Rica übernommen. Er war zu diesem Zeitpunkt Principal @KPMG Cyber Security).

CISOs reagieren häufig auf zwei verschiedenen Arten auf den mangelnden Einfluss (Quelle RUB):

• Die Verantwortung wird der Geschäftsführung zugeschoben und mehr Unterstützung eingefordert.
• Die Verantwortung wird auf Mitarbeitende abgewälzt, indem diese als lästiges Sicherheitsrisiko angesehen werden.

Die Schuld bei dem Mitarbeitenden zu suchen, ist wenig zielführend. Ihr Hauptjob ist die Buchhaltung, das Einstellen von Bewerbern oder Produkte an die Kunden zu vertreiben – nicht, für die Cyber-Resilienz im Unternehmen zu sorgen.

Das Ziel sollte vielmehr sein, Geschäftsführung und Mitarbeitende positiv zum Thema IT-Sicherheit abzuholen. Eine neue Perspektive aufzumachen, damit der Kampf gegen Cybercrime kein einsames Unterfangen bleibt, sondern zu einer Teamleistung wird, bei der das gesamte Unternehmen die IT unterstützt – freiwillig. Wie kann das gelingen?

Die Kommunikation zwischen IT-Sicherheitsverantwortlichen und der Geschäftsführung entscheidet darüber, wie effektiv Security-Maßnahmen umgesetzt werden können. Im schlimmsten (und leider nicht seltenen) Fall verstehen Führungskräfte weder das Sicherheitsjargon noch dahinter liegende Metriken. Selbst wenn sie sich der aktuellen Bedrohungslage bewusst sind und sich an einer Aufrüstung der Cyber Defense beteiligen wollen, entwickeln sie das Gefühl, Geld in ein Fass ohne Boden zu werfen (siehe Phil Zongo, CEO Cyber Leadership). Und ohne den Support der Führungskräfte kann ein Projekt nicht erfolgreich sein – das gilt auch für die IT.

Um diesem Schicksal zu entgehen, ist es wichtig, technische Details in Business-Sprache zu übersetzen. Zeigen Sie auf, wie die Sicherheitsmaßnahmen direkt mit den strategischen Zielen und dem Erfolg des Unternehmens verknüpft sind. Wie wirken sich die Security-Investitionen auf die Geschäftskontinuität, den Ruf des Unternehmens oder die finanziellen Aspekte aus?

Mit dieser Herangehensweise kommt die IT Security von einer reaktiven in eine proaktive Position im Unternehmen. So wird sie als Abteilung wahrgenommen, die positiv in die Unternehmensentwicklung eingebunden ist.

Man kann nicht managen, was man nicht misst. Und das Messen scheint gar nicht so leicht – insbesondere beim “Human Factor” in der IT Security. Aber es geht!

Mit modernen Security-Awareness-Plattformen bekommen Sie Dashboards, die Ihnen helfen, einen abstrakten Begriff wie gestiegene Cyber-Resilienz zu verbildlichen. So können Sie der Geschäftsführung aufzeigen, dass die Teilnahmequote der E-Learnings wächst oder wo noch nachgebessert werden muss. In Verbindung mit Phishing-Simulationen lässt sich außerdem messen, ob die Melderate verdächtiger E-Mails nach oben geht und gleichzeitig weniger Daten auf Fake-Seiten eingegeben werden.

Die Wirksamkeit von Security Awareness Maßnahmen lässt sich aber auch mit harten Euros bewerten. So hat Ostermann Research im Auftrag von Infosec herausgefunden, dass die Kosten für die Desinfektion von Arbeitsplätzen und die Beseitigung von Malware- oder Ransomware-Attacken drastisch sinken, wenn Security Awareness Trainings eingesetzt werden.

Cyber Security ist Teamarbeit. Nicht nur die IT sollte sich dafür interessieren, ob sichere Passwörter genutzt werden, Multi-Faktor-Authentifizierung aktiviert ist oder verdächtige Anhänge in E-Mails gemeldet werden. Deshalb sollten CISOs die Cybersicherheit in die DNA des Unternehmens einbetten. Sicheres Verhalten ist die Verantwortung eines jeden Einzelnen und die oben genannten Maßnahmen sollten keine bewusste Handlung, sondern verinnerlichtes Verhalten sein. Doch wie erreicht man das?

Indem Sie auf eine kooperative und einfühlsame Sicherheitskultur setzen. Die Belegschaft muss verstehen und verinnerlichen, warum sie sich wie verhalten soll. Der entgegengesetzte Weg wäre eine restriktive und strenge Sicherheitspolitik. Diese verstärkt allerdings den Ruf der IT-Security-Abteilung als Hürde der effizienten digitalen Arbeit. Als würden sie Ihrem Team PS-starke Autos hinstellen, diese aber auf 80 km/h drosseln. Mit einer positiven Sicherheitskultur hingegen bringen Sie den Mitarbeitenden bei, die Autos schnell und sicher durch die Kurven der Digitalisierung zu steuern.

Der Text stammt aus dem aktuellen CISO-Report der G DATA academy und steht hier zum Download bereit.