Suchen

Der CISO und der Stellenwert der Security Warum CISOs das Security-Marketing verändern müssen

| Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Gute IT-Sicherheit ist ein Wettbewerbsvorteil, eigentlich ein tolles Argument für mehr Security-Budget. Doch wenn Sicherheit zu sehr als Marketing-Faktor gesehen wird, schadet dies der Security. CISOs müssen Einfluss auf das Marketing nehmen, keine leichte Aufgabe, aber zwingend erforderlich. Die Security braucht einen neuen Stellenwert, um nicht unter die Räder der Werbung zu gelangen.

Firma zum Thema

CISOs brauchen inzwischen gute Argumente für mehr Budget in der IT-Sicherheit.
CISOs brauchen inzwischen gute Argumente für mehr Budget in der IT-Sicherheit.
(Bild: gemeinfrei / Pixabay )

Kein Online-Banking, wenig Social Media oder der Verzicht auf Cloud-Dienste: Sechs von zehn Internetnutzern (62 Prozent) verzichten aus Sicherheitsgründen bewusst auf bestimmte Online-Dienste, wie der Digitalverband Bitkom berichtete. Sicherheit ist den Anwendern wichtig, denn neun von zehn Internetnutzern (89 Prozent) sehen eine wachsende Bedrohung durch Internetkriminalität. Im Vorjahr sagten dies erst 85 Prozent.

Unternehmen, die diese Sorgen der Interessenten und Kunden nicht zerstreuen, die also nicht durch ihre Sicherheit überzeugen, können wirtschaftliche Nachteile erleiden. So jedenfalls argumentiert man gerne, wenn es um die Bewilligung des höheren Security-Budgets geht. IT-Sicherheit ist wichtig für den Erfolg auf dem Markt, ja Sicherheit ist sogar ein Wettbewerbsvorteil, so lauten typische Argumente.

Die Wirklichkeit sieht leider anders aus

Jeder kennt solche Umfragen, nach denen die befragten Nutzer stark auf die Sicherheit achten und bei einem Cloud-Dienst eher dann aktiv werden wollen, wenn sie von der Sicherheit und dem Datenschutz überzeugt sind.

Doch die Sicherheit hat trotzdem nicht den Stellenwert, den man vermuten könnte. Eine aktuelle Umfrage des BSI (Bundesamt für Sicherheit in der Informationstechnik) ist ernüchternd: Weniger als ein Drittel der befragten Institutionen verstehen Cyber-Sicherheit als Chance für Innovation. Nur 29 Prozent der Teilnehmer erkennen Cyber-Sicherheit als Wettbewerbsvorteil. 61 Prozent versprechen sich keinen Mehrwert von Cyber-Sicherheit.

Wie kann das sein? Bedeutet das, dass der Hinweis auf den Wettbewerbsvorteil durch Security falsch ist, kein Argument für ein höheres IT-Sicherheitsbudget ist oder in Zukunft nicht mehr sein wird?

Wert der Security wird falsch eingestuft

Laut einer Studie von Thycotic beklagt fast ein Drittel der befragten IT-Security-Manager, dass die Unternehmensleitung ihre Arbeit nach wie vor mehr als Kostenfaktor denn als Vermögenswert betrachtet. Das könnte daran liegen, dass laut 65 Prozent der Befragten, Vorstand und Geschäftsführung den Geschäftsnutzen von Security-Investitionen nicht immer erkennen. Nur 15 Prozent der befragten IT-Sicherheitsentscheider sind demnach der Meinung, dass die Geschäftsführung sich der Bedeutung der Security beim Erzielen von Wettbewerbsvorteilen bewusst ist.

Doch ist Security wirklich ein Wettbewerbsvorteil, vergleichbar mit einem besseren Preis, einer schnelleren Lieferung oder anderen positiven Faktoren rund um ein Waren- oder Dienstleistungsangebot? Genau betrachtet, ist Security nicht mit diesen Wettbewerbsvorteilen vergleichbar. Aus diesem Grund ist es auch nicht verwunderlich, wenn die Geschäftsleitung andere Wettbewerbsvorteile als wichtiger ansieht.

Security ist kein Vorteil, sondern das Fundament

Betrachtet man so manche Werbung für IT-Produkte und Lösungen, dann findet man Aussagen wie „Hohe Sicherheit“ oder „DSGVO-Konform“. Beide Aussagen können gute Werbebotschaften sein, sie machen aber eigentlich keinen Sinn. Eine IT-Lösung oder ein IT-Produkt müssen eine angemessene Sicherheit haben und der DSGVO entsprechen, andernfalls werden gesetzliche Vorgaben wie die Datenschutz-Grundverordnung (DSGVO) der EU nicht eingehalten.

Ein Mehr an Sicherheit und Datenschutz, über die bestehenden Anforderungen hinaus, kann dagegen ein Vorteil gegenüber dem Wettbewerber sein. Einerseits könnte man einen Wettstreit, wer mehr Sicherheit und Datenschutz bieten kann, als positiv empfinden. Andererseits hat es auch deutliche Nachteile, wenn man in einen Security-Wettbewerb mit Marktbegleitern tritt.

Security sollte nicht als Wettbewerb gesehen werden

Wer Security mit der Marketing-Brille betrachtet, konzentriert sich eher auf „Hype-Themen“ als auf die Grundlagenbereiche der Security, die bei vielen Unternehmen weiterhin lückenhaft sind. So bringt es wenig, mit der neusten Security-Technologie zu werben, gleichzeitig aber den Basisschutz nicht vollständig umzusetzen.

Natürlich klingt es besser, auf Security mit der neusten KI (Künstlicher Intelligenz) zu verweisen, als zu sagen oder zu schreiben, dass man seine Backups auch wirklich regelmäßig macht. Doch bei einem IT-Sicherheitsvorfall kann sich es schnell rächen, wenn man die wenig spektakulären Security-Aufgaben außer Acht gelassen hat.

Ein weiterer Grund, warum der Marketinggedanke in der Security verändert werden sollte: Wer Security als Wettbewerbsvorteil ansieht, wird sich eher nicht innerhalb der Branche austauschen und helfen, zum Beispiel durch die gegenseitige Warnung vor Bedrohungen und den Austausch von Threat Intelligence.

Während sich Security-Anbieter austauschen und innerhalb der Lieferkette entsprechende, gegenseitige Security-Warnungen erwartet werden, findet der Austausch mit einem Wettbewerber nicht so ohne weiteres statt, wie verschiedene Gespräche des Autors gezeigt haben. Dabei wäre zum Beispiel der Hinweis auf eine branchenspezifische Attacke auch unter Wettbewerbern für die Security insgesamt mehr als hilfreich.

Was dies für CISOs bedeutet

Für IT-Sicherheitsverantwortliche kommen dadurch weitere Aufgaben hinzu, denn ein gezielter Austausch mit dem eigenen Marketing und der Geschäftsleitung ist wichtig. Dabei sollte aus Security-Sicht betont werden, dass IT-Sicherheit kein Wettbewerbsvorteil unter vielen ist, dass sich Security alleine dadurch lohnt, dass sie die Grundlage für die Digitalisierung und für das Geschäft mit Kunden darstellt.

Es ist vielmehr so, dass ein Mangel an Security schlecht für das Marketing und den Kundenerfolg ist und zudem Sanktionen und Bußgelder nach sich ziehen kann. Es geht aber nicht darum, von der positiven Argumentation für Security abzurücken, sondern den Stellenwert der Security richtig zu stellen.

Wenn man auf der Entscheiderebene begreift, dass es nicht darum geht, mehr Sicherheit als der Wettbewerber zu bieten, sondern die Sicherheit, die dem Risiko entspricht, ist viel gewonnen, auch für die Argumentation bei Budgetgesprächen, da das Risiko nicht abnimmt, sondern fortlaufend steigt.

(ID:45998057)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research