Der CISO und der Stellenwert der Security

Warum CISOs das Security-Marketing verändern müssen

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

CISOs brauchen inzwischen gute Argumente für mehr Budget in der IT-Sicherheit.
CISOs brauchen inzwischen gute Argumente für mehr Budget in der IT-Sicherheit. (Bild: gemeinfrei / Pixabay)

Gute IT-Sicherheit ist ein Wettbewerbsvorteil, eigentlich ein tolles Argument für mehr Security-Budget. Doch wenn Sicherheit zu sehr als Marketing-Faktor gesehen wird, schadet dies der Security. CISOs müssen Einfluss auf das Marketing nehmen, keine leichte Aufgabe, aber zwingend erforderlich. Die Security braucht einen neuen Stellenwert, um nicht unter die Räder der Werbung zu gelangen.

Kein Online-Banking, wenig Social Media oder der Verzicht auf Cloud-Dienste: Sechs von zehn Internetnutzern (62 Prozent) verzichten aus Sicherheitsgründen bewusst auf bestimmte Online-Dienste, wie der Digitalverband Bitkom berichtete. Sicherheit ist den Anwendern wichtig, denn neun von zehn Internetnutzern (89 Prozent) sehen eine wachsende Bedrohung durch Internetkriminalität. Im Vorjahr sagten dies erst 85 Prozent.

Unternehmen, die diese Sorgen der Interessenten und Kunden nicht zerstreuen, die also nicht durch ihre Sicherheit überzeugen, können wirtschaftliche Nachteile erleiden. So jedenfalls argumentiert man gerne, wenn es um die Bewilligung des höheren Security-Budgets geht. IT-Sicherheit ist wichtig für den Erfolg auf dem Markt, ja Sicherheit ist sogar ein Wettbewerbsvorteil, so lauten typische Argumente.

Die größten Belastungen für Security-Verantwortliche

CISOs sind hohen Belastungen ausgesetzt

Die größten Belastungen für Security-Verantwortliche

07.06.19 - Hohe Compliance-Anforderungen, steigende Cyber-Risiken, die fortschreitende Digitalisierung und die sehr dynamische Entwicklung der IT sorgen ebenso für die starke Belastung eines CISOs wie der bekannte Fachkräftemangel in der Security. Die Überlastung von Security-Verantwortlichen ist kein persönliches Problem, sondern ein Unternehmensrisiko. lesen

Die Wirklichkeit sieht leider anders aus

Jeder kennt solche Umfragen, nach denen die befragten Nutzer stark auf die Sicherheit achten und bei einem Cloud-Dienst eher dann aktiv werden wollen, wenn sie von der Sicherheit und dem Datenschutz überzeugt sind.

Doch die Sicherheit hat trotzdem nicht den Stellenwert, den man vermuten könnte. Eine aktuelle Umfrage des BSI (Bundesamt für Sicherheit in der Informationstechnik) ist ernüchternd: Weniger als ein Drittel der befragten Institutionen verstehen Cyber-Sicherheit als Chance für Innovation. Nur 29 Prozent der Teilnehmer erkennen Cyber-Sicherheit als Wettbewerbsvorteil. 61 Prozent versprechen sich keinen Mehrwert von Cyber-Sicherheit.

Wie kann das sein? Bedeutet das, dass der Hinweis auf den Wettbewerbsvorteil durch Security falsch ist, kein Argument für ein höheres IT-Sicherheitsbudget ist oder in Zukunft nicht mehr sein wird?

Warum CISOs gute Psychologen sein müssen

Hohe Anforderungen an CISOs

Warum CISOs gute Psychologen sein müssen

16.04.19 - Die Fähigkeiten eines CISO müssen breit gefächert sein. Technisches Know-how, Security-Expertise, Management-Qualitäten und Wissen im Bereich Recht und Compliance gehören dazu. Doch auch Psychologie spielt eine große Rolle bei den Aufgaben eines CISOs. Das gilt nicht nur für Führung und Motivation von Beschäftigten, es betrifft nahezu jede Tätigkeit eines CISOs. lesen

Wert der Security wird falsch eingestuft

Laut einer Studie von Thycotic beklagt fast ein Drittel der befragten IT-Security-Manager, dass die Unternehmensleitung ihre Arbeit nach wie vor mehr als Kostenfaktor denn als Vermögenswert betrachtet. Das könnte daran liegen, dass laut 65 Prozent der Befragten, Vorstand und Geschäftsführung den Geschäftsnutzen von Security-Investitionen nicht immer erkennen. Nur 15 Prozent der befragten IT-Sicherheitsentscheider sind demnach der Meinung, dass die Geschäftsführung sich der Bedeutung der Security beim Erzielen von Wettbewerbsvorteilen bewusst ist.

Doch ist Security wirklich ein Wettbewerbsvorteil, vergleichbar mit einem besseren Preis, einer schnelleren Lieferung oder anderen positiven Faktoren rund um ein Waren- oder Dienstleistungsangebot? Genau betrachtet, ist Security nicht mit diesen Wettbewerbsvorteilen vergleichbar. Aus diesem Grund ist es auch nicht verwunderlich, wenn die Geschäftsleitung andere Wettbewerbsvorteile als wichtiger ansieht.

Der CISO muss sich verändern!

CISO und Digitale Transformation

Der CISO muss sich verändern!

22.03.19 - Die Aufgaben und Rollen eines CISOs (Chief Information Security Officer) haben sich noch nicht gefestigt, im Gegenteil. Die IT-Sicherheits­verantwortlichen in den Unternehmen unterliegen einem stetigen Wandel. Unter den Veränderungen sind auch solche, die zu einer weiteren Aufwertung des CISOs und der Security führen können. Aktuelle Studien erlauben einen Blick in diese Zukunft. lesen

Security ist kein Vorteil, sondern das Fundament

Betrachtet man so manche Werbung für IT-Produkte und Lösungen, dann findet man Aussagen wie „Hohe Sicherheit“ oder „DSGVO-Konform“. Beide Aussagen können gute Werbebotschaften sein, sie machen aber eigentlich keinen Sinn. Eine IT-Lösung oder ein IT-Produkt müssen eine angemessene Sicherheit haben und der DSGVO entsprechen, andernfalls werden gesetzliche Vorgaben wie die Datenschutz-Grundverordnung (DSGVO) der EU nicht eingehalten.

Ein Mehr an Sicherheit und Datenschutz, über die bestehenden Anforderungen hinaus, kann dagegen ein Vorteil gegenüber dem Wettbewerber sein. Einerseits könnte man einen Wettstreit, wer mehr Sicherheit und Datenschutz bieten kann, als positiv empfinden. Andererseits hat es auch deutliche Nachteile, wenn man in einen Security-Wettbewerb mit Marktbegleitern tritt.

Datenschutz als Zusatzaufgabe für den CISO?

Aufgaben und Stellung des CISO

Datenschutz als Zusatzaufgabe für den CISO?

07.05.19 - IT-Sicherheitsverantwortliche (CISOs) müssen bereits eine Fülle von Aufgaben wahrnehmen. Trotzdem wollen viele Unternehmen ihrem CISO noch mehr aufbürden. So scheint ein IT-Sicherheitsverantwortlicher durch die Fachkompetenz die Idealbesetzung für den CPO (Chief Privacy Officer) oder Datenschutz­beauftragten (DSB) zu sein. Aber ist das zulässig? lesen

Security sollte nicht als Wettbewerb gesehen werden

Wer Security mit der Marketing-Brille betrachtet, konzentriert sich eher auf „Hype-Themen“ als auf die Grundlagenbereiche der Security, die bei vielen Unternehmen weiterhin lückenhaft sind. So bringt es wenig, mit der neusten Security-Technologie zu werben, gleichzeitig aber den Basisschutz nicht vollständig umzusetzen.

Natürlich klingt es besser, auf Security mit der neusten KI (Künstlicher Intelligenz) zu verweisen, als zu sagen oder zu schreiben, dass man seine Backups auch wirklich regelmäßig macht. Doch bei einem IT-Sicherheitsvorfall kann sich es schnell rächen, wenn man die wenig spektakulären Security-Aufgaben außer Acht gelassen hat.

Ein weiterer Grund, warum der Marketinggedanke in der Security verändert werden sollte: Wer Security als Wettbewerbsvorteil ansieht, wird sich eher nicht innerhalb der Branche austauschen und helfen, zum Beispiel durch die gegenseitige Warnung vor Bedrohungen und den Austausch von Threat Intelligence.

Während sich Security-Anbieter austauschen und innerhalb der Lieferkette entsprechende, gegenseitige Security-Warnungen erwartet werden, findet der Austausch mit einem Wettbewerber nicht so ohne weiteres statt, wie verschiedene Gespräche des Autors gezeigt haben. Dabei wäre zum Beispiel der Hinweis auf eine branchenspezifische Attacke auch unter Wettbewerbern für die Security insgesamt mehr als hilfreich.

Welche Aufgaben ein CISO übernehmen muss

Die Rolle des CISO im Unternehmen

Welche Aufgaben ein CISO übernehmen muss

22.02.19 - IT-Sicherheit geht jeden Mitarbeiter und jede Abteilung an. Welche Aufgaben verbleiben dann in der Abteilung für IT-Security? Welche Rolle hat der CISO (Chief Information Security Officer) im Unternehmen? Die Antwort erscheint einfach, ist sie aber nicht. Die Aufgaben unterliegen einer hohen Dynamik und werden nicht nur durch Compliance-Vorgaben beeinflusst. lesen

Was dies für CISOs bedeutet

Für IT-Sicherheitsverantwortliche kommen dadurch weitere Aufgaben hinzu, denn ein gezielter Austausch mit dem eigenen Marketing und der Geschäftsleitung ist wichtig. Dabei sollte aus Security-Sicht betont werden, dass IT-Sicherheit kein Wettbewerbsvorteil unter vielen ist, dass sich Security alleine dadurch lohnt, dass sie die Grundlage für die Digitalisierung und für das Geschäft mit Kunden darstellt.

Es ist vielmehr so, dass ein Mangel an Security schlecht für das Marketing und den Kundenerfolg ist und zudem Sanktionen und Bußgelder nach sich ziehen kann. Es geht aber nicht darum, von der positiven Argumentation für Security abzurücken, sondern den Stellenwert der Security richtig zu stellen.

Wenn man auf der Entscheiderebene begreift, dass es nicht darum geht, mehr Sicherheit als der Wettbewerber zu bieten, sondern die Sicherheit, die dem Risiko entspricht, ist viel gewonnen, auch für die Argumentation bei Budgetgesprächen, da das Risiko nicht abnimmt, sondern fortlaufend steigt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45998057 / Mitarbeiter-Management)