Ausbau der IT-Sicherheit

So überzeugen IT-Manager die Geschäftsführung

| Autor / Redakteur: Markus Kahmen / Peter Schmitz

IT-Verantwortliche müssen auf die Bedürfnisse und Interessen der Geschäftsführung eingehen und dafür sorgen, dass CIO und CEO die gleiche Sprache sprechen.
IT-Verantwortliche müssen auf die Bedürfnisse und Interessen der Geschäftsführung eingehen und dafür sorgen, dass CIO und CEO die gleiche Sprache sprechen. (Bild: Pixabay / CC0)

Lange lag die Cybersicherheit eines Unter­nehmens vor allem in der Verantwortung der IT-Abteilung und ihrer Leiter. Hier wurde entschieden, welche Schutztechnologien eingesetzt werden und wie mit Cyberangriffen und Datenschutzverletzungen umzugehen ist. Die Geschäftsführung war bis auf die Zuteilung des entsprechenden Budgets eher am Rande in Entscheidungen rund um die IT-Sicherheit involviert.

Im Zuge der zunehmenden Digitalisierung, rasant wachsender Datenmengen und damit verbunden höheren Risiken und deutlich massiveren Cybervorfällen hat sich die Verantwortung jedoch gezwungenermaßen mehr und mehr auf die Führungsebene verlagert. Ransomware-Angriffe, Datendiebstahl und Cyberspionage bedrohen die Integrität eines Unternehmens wie nie zuvor und können existenzgefährdende Schäden in Millionenhöhe nach sich ziehen. Von der schnellen Reaktion auf reputationsgefährdende Datendiebstähle oder Lösegeldforderungen durch Ransomware-Erpresser bis hin zum Einsatz neuer kostenintensiver Technologien – die Geschäftsführung trägt immer öfter auch die Verantwortung für „fachfremde“ IT-Entscheidungen.

Dies hat auch Auswirkungen auf die IT-Abteilung, die ihre Zusammenarbeit mit der Führungsebene intensivieren muss. Über die bisher gewohnte Rolle der „Obertechniker“ hinausgewachsen, wird der Job von Security-Verantwortlichen heute zunehmend als strategische Position erkannt, die wichtige Weichenstellungen für die Effizienz und die Sicherheit ihres Unternehmens vornimmt. Dazu gehört vermehrt auch die strategische Kommunikation mit dem CEO und der Geschäftsführung. Denn die „Übersetzung“ von Cyberrisiken in Geschäftsrisiken ist eine wichtige Voraussetzung, die Führungsebene beim Statuieren der Sicherheitsstrategie ins Boot zu holen und vom nötigen Aus- oder Umbau der IT-Sicherheit zu überzeugen.

Damit dies gelingt müssen IT-Verantwortliche auf die Bedürfnisse und Interessen der Geschäftsführung eingehen und dafür sorgen, dass CIO und CEO die gleiche Sprache sprechen. Folgende drei Punkte sollten IT-Verantwortliche in der Kommunikation und Interaktion mit der Führungsebene dabei beachten.

Schritt 1: Vertrauen ist Trumpf

Nur wer eine vertrauensvolle Beziehung zu jemandem pflegt, kann ihn auch nachhaltig von einem Anliegen überzeugen. Dies sollten auch IT-Manager im Umgang mit der Geschäftsführung nicht unterschätzen. Wichtigste Basis einer solchen Beziehung sind dabei Transparenz und Ehrlichkeit. Probleme sollten ehrlich angesprochen und Sicherheitsvorfälle von größerem Umfang zeitnah gemeldet werden. In Zeiten der EU-Datenschutzverordnung (DSGVO) haften Geschäftsführer bei Datenrechtsverstößen unter Umständen auch persönlich mit ihrem Privatvermögen. Schon alleine deshalb dürfen (potenzielle) Cyberangriffe nicht vor der Unternehmensleitung verschwiegen werden. Immer wieder kommt es vor, dass einzelne Mitarbeiter auch umfangreichere Cybervorfälle ohne Absprache „allein“ erledigen und zum Beispiel das von Ransomware-Angreifern geforderte Lösegeld ohne vorherige Absprache und Genehmigung schnell bezahlen, wie unter anderem eine aktuelle Ransomware-Studie von SentinelOne gezeigt hat. Wer Probleme offen kommuniziert, schafft Vertrauen und hat bei Verhandlungen eine gestärkte Position.

Schritt 2: Ein Hoch auf Metriken und Statistiken

Um angemessen hohe Budgets bewilligt zu bekommen und Vorgesetzte von notwendigen Ausgaben oder neuen Anschaffungen zu überzeugen, müssen IT-Verantwortliche die Geschäftsführung zudem möglichst genau und detailliert über Risiken, Schwachstellen und die aktuelle Bedrohungslandschaft informieren. Denn auch in der IT-Sicherheit gilt: Ohne konkrete Fakten keine effektive Diskussion. Je ausführlichere Metriken, Statistiken und Berichte vorgelegt werden können – zu schützenswerten Daten in ihren Systemen, sensiblen privilegierten Unternehmenskonten, vereitelten Angriffsversuchen etc. –, desto klarer ist das Bild, das gezeichnet werden kann. Viele sind sich gar nicht bewusst, wo genau die größten Cyberrisiken überhaupt liegen. So haben viele IT-Verantwortliche etwa längst nicht mehr den Überblick, wie viele privilegierte Accounts, d.h. Administrator-, Maschinen- oder Datenbank-Accounts mit weitreichenden Rechten, eigentlich in ihren Systemen existieren. Bedenkt man jedoch, dass diese der Hauptangriffspunkt für Kriminelle schlechthin sind, empfiehlt sich der Einsatz von Tools, die diese Konten identifizieren und sichtbar machen, um in einem zweiten Schritt Schutzmaßnahmen zu implementieren. Je konkreter die Gefahr veranschaulicht wird, desto eher wird die Geschäftsführung Handlungsbedarf erkennen und Vorschläge des IT-Leiters bewilligen.

Schritt 3: Wirtschaftlichen Nutzwert betonen

Um der Geschäftsführung neue und kostenintensive Cyberinvestitionen zu verkaufen, sollten sich IT-Verantwortliche nicht allein auf die „sicherheitstechnischen‘“ Vorteile der neuen Maßnahmen und Lösungen konzentrieren. Vielmehr ist es ratsam, das zu betonen, was für CEO und leitendes Management von größtem Interesse ist: Kosten- und Zeitersparnis und damit verbunden wirtschaftliche Effizienz. Hier gilt es überzeugend zu erklären, wie neue Sicherheitsprodukte Unternehmen u.a. helfen, mehr Übersichtlichkeit und Transparenz zu schaffen, Prozesse zu automatisieren, Mitarbeiter in ihrer Alltagstätigkeit zu entlasten, herkömmliche Sicherheitslösungen zu ersetzen und damit letztlich Kosten zu sparen. So sorgen z.B. automatisierte Passwortmanager nicht nur für den wirksamen Schutz von Zugangsdaten sensibler Unternehmenskonten, sie bewahren Mitarbeiter auch vor der ineffizienten Verwaltung von Passwörtern über Microsoft Excel-Tabellen. Der dargelegte Nutzen sollte dabei individuell an der zu überzeugenden Person und deren Interessen ausgerichtet werden, auch wenn das bedeutet, dass unterschiedliche Geschichten erzählt werden müssen. Alles was zählt, ist dass die Person den für ihn relevanten Nutzen erkennt.

Für die Kommunikation zwischen IT-Manager und Geschäftsführung gilt letztlich dasselbe Prinzip wie für die Cybersicherheit selbst: Keep it short and simple! Zu komplexe Sicherheitsstrategien und -lösungen sind selten effektiv und nachhaltig. Und auch gute Kommunikation beruht auf Übersichtlichkeit, Klarheit und Ehrlichkeit.

Über den Autor: Markus Kahmen ist Regional Director Central Europe bei Thycotic.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45449459 / Sicherheits-Policies)