Cybersecurity als Top-Priorität Warum CISOs ein fester Platz im Vorstand zustehen sollte

Autor / Redakteur: Andrew Rose / Peter Schmitz

Innerhalb des Vorstands von Unternehmen – also dem sogenannten C-Level – gibt es eine klare Rollenverteilung, aber auch eindeutige Hierarchien. Angefangen mit dem CEO, gefolgt vom CFO und dem COO bis hin zum CRO und CIO. Seit vergleichsweise kurzer Zeit wird der Vorstand zudem von einer weiteren Rolle ergänzt, dem CISO. Dieser ist jedoch oftmals ganz am Ende der Rangfolge angesiedelt.

Firma zum Thema

CISOs müssen von den anderen Angehörigen des C-Levels in erster Linie als gleichwertiges Vorstandsmitglied und nicht als Technik-Experten wahrgenommen werden.
CISOs müssen von den anderen Angehörigen des C-Levels in erster Linie als gleichwertiges Vorstandsmitglied und nicht als Technik-Experten wahrgenommen werden.
(© leowolfert - stock.adobe.com)

Noch vor etwas mehr als fünf Jahren waren 74 Prozent des C-Levels der Meinung, dass ein CISO keinen Platz im Vorstand verdient hätte. Mehr als 60 Prozent äußerten zudem, dass CISOs in jeder Rolle scheitern würden, die sich nicht ausschließlich auf Security beschränkt.

Angesichts der zunehmenden Professionalisierung der CISO-Rolle, scheint sich das Meinungsbild jedoch zu wandeln. Laut eines kürzlich veröffentlichten Berichts von Capgemini bestätigen 68 Prozent aller Führungskräfte, dass die Bedeutung der Sicherheit in ihrem Unternehmen zugenommen hat. Und 77 Prozent sind sogar der Meinung, dass der CISO in dieser Hinsicht einen positiven Einfluss auf das Geschäft als Ganzes hat.

Die gesteigerte Bedeutung hat jedoch auch Schattenseiten. Denn die Rolle des CISO und die Cybersicherheit im Allgemeinen wird von den meisten als Selbstverständlichkeit angesehen. Zumeist wirft nur ein aufsehenerregender Sicherheitsvorfall ein Schlaglicht auf die Rolle des CISO und dieser wird sodann vom Vorstand zur Rechenschaft gezogen. Aber nur selten erregt die Rolle des CISO Aufmerksamkeit auf Vorstandsebene aufgrund herausragender Best Practices im Bereich Sicherheit.

Die gegenwärtig Coronavirus-Pandemie verdeutlicht dies einmal mehr: Der CISO steht nun im Zentrum einer sich schnell wandelnden Arbeitswelt. Im Zuge der raschen Umstellung von Organisationen auf neue, dezentrale Arbeitsweisen, ist es die Aufgabe des CISO, Stolpersteine zu identifizieren, Sicherheitsrisiken auszuräumen und einen sicheren Übergang hin zur Arbeit aus dem Homeoffice zu gewährleisten bzw. die Konsequenzen im Falle von Fehlern zu tragen.

Dass die Rolle des Sicherheitsverantwortlichen stärker in den Blickpunkt rückt, bedeutet aber nicht automatisch, dass sich auch die Hierarchien auf Vorstandsebene verändern würden – von den 62 Prozent der Fortune-500-Unternehmen, die über einen CISO verfügen, nennen nur 4 Prozent diesen auch in der Übersicht des Vorstands. Dieser Mangel an Einfluss spiegelt sich ebenfalls intern wider: Mehr als 50 Prozent der CISOs sagen, dass ihre Beziehungen zu anderen Abteilungen, einschließlich der Finanzabteilung, angespannt sind.

Nach wie vor existiert eine Diskrepanz zwischen der Bedeutung der CISO-Rolle und seiner Autorität sowie seines Einflusses. Dies ist zumindest teilweise auf Schwächen der Sicherheitsexperten zurückzuführen, die diese bei der effizienten Kommunikation mit anderen Führungskräften offenbaren.

Um die Kluft zu überbrücken, müssen CISOs die „Sprache“ des Vorstands sprechen lernen. Dies setzt voraus, dass sich die Sicherheitsverantwortlichen in erster Linie als Vorstandsmitglieder verstehen und erst in zweiter Linie als Technologie-Experten.

Ständiges Mitspracherecht auf Vorstandsebene ist nötig

Die Art und Weise, wie ein CISO über Risiken spricht, stellt für die Vorstandsebene oftmals komplettes Neuland dar. Zwar kennt auch die Finanzabteilung finanzielle Risiken und stellt sie im Vorstand zur Diskussion, jedoch handelt es sich dabei um Geschäftsfunktionen mit etablierten Modellen, fester Nomenklatur und Metriken, mit denen jedes Vorstandsmitglied vertraut ist.

Gleiches lässt sich von Cybersicherheit nicht behaupten. Nur wenige abseits der damit betrauten Experten verfügen hier über umfassendes Wissen, ganz zu schweigen von Kenntnissen der sich ständig ändernden Bedrohungen, derer es zur Verteidigung eines modernen Unternehmens bedarfs. Die verwendeten Messgrößen, die im Cybersecurity-Bereich Verwendung finden, sind zudem weit weniger greifbar als es in anderen Unternehmensbereichen der Fall ist. Der Schutz einer Organisation ist keine exakte Wissenschaft. Experten im Bereich Cybersicherheit sind nicht immer in der Lage, beruhigende, schwarz-weiße Antworten zu liefern. Zudem können sich Gegebenheiten über Nacht verändern, wenn aufgrund einer neuen Schwachstelle offenbar wird, dass das, was als sicher galt, nun verwundbar ist.

Da nur wenige Vorstandsmitglieder über Erfahrung im Cybersicherheits-Umfeld verfügen, müssen CISOs Antworten für Laien formulieren. Dies kann jedoch unter Umständen dazu führen, dass die Bedeutung eines Problems und dessen komplexe Lösung nicht angemessen wahrgenommen wird. Der Schlüssel, diese Hürden zu überwinden, liegt darin, den Fokus auf das Wesentliche zu lenken.

Die Geschäftsführung möchte sicherstellen, dass die Kontrollmechanismen effizient funktionieren und dass das Unternehmen ausreichende Anstrengungen unternimmt, um der Cyberbedrohung zu begegnen. Sie muss wissen, wie die für die Cybersecurity bereitgestellten Ressourcen der strategischen Ausrichtung und dem erfolgreichen Betrieb des Unternehmens dienen. Hier ist es die Aufgabe des CISO, zu eruieren, wie diese Sicherheit gewährleistet werden kann – ohne langwierig technische Präsentationen zu erstellen, wie viele Computer gepatcht wurden oder wie verbreitet die neueste Sicherheitslücke ist.

Entwicklung einer Sicherheitskultur – von oben nach unten

Cybersecurity wird zwar mittlerweile in der Vorstandsetage als Thema wahrgenommen, aber es liegt nun in den Händen der Security-Verantwortlichen dafür zu sorgen, dass dieser Bereich mehr Aufmerksamkeit erhält als lediglich eine viertelstündige Präsentation pro Quartal. Cybersicherheit muss sich als essenzieller Bestandteil jeder Geschäftsentscheidung des Unternehmens etablieren – und zwar in einem solchen Maß, dass der CISO neben dem CEO, COO und CIO den Vorstand ergänzt und dort über ein ständiges Mitspracherecht verfügt.

Die Verantwortlichen im Bereich Cybersicherheit müssen die Wahrnehmung dieses Themas verändern und ihre eigene Rolle neu definieren – von einer notwendigen taktischen Feuerwehr hin zu einem strategischen geschäftskritischen Berater. Denn CISOs sind nicht nur dafür da, Brände zu bekämpfen. Ihre Rolle ist viel umfangreicher und sie sind ein wesentlicher Bestandteil für den sicheren und erfolgreichen Betrieb ihrer jeweiligen Organisation. Als Sicherheitsverantwortliche ist es ihre Aufgabe, dieses Bewusstsein zu schaffen und eine entsprechende Kultur zu fördern. Wenn das Bewusstsein steigt, wächst auch das Vertrauen in die Autorität des CISOs. Und das sollte das angestrebte Ziel sein.

Wenn es um die Politik im Vorstand geht, kann Vertrauen Barrieren beseitigen. Dieses Vertrauen ist nötig, um die Strategie zu beeinflussen und zur breiteren Konversation beitragen zu können, ohne den eigenen Platz in der Vorstandsriege rechtfertigen zu müssen.

Der Weg dorthin bedarf jedoch eines Umdenkens, das nur durch die Schaffung einer sicherheitsorientierten Kultur möglich wird. Die Sprache der Cybersicherheit muss sich auf jeder Ebene des Unternehmens etablieren, von der Spitze nach unten. Jeder innerhalb der Organisation sollte verstehen, mit welchen Bedrohungen er konfrontiert ist, wie diese Bedrohungen in der realen Welt aussehen und welche Rolle jeder Einzelne bei der Abwehr dieser Bedrohungen spielt.

CISOs müssen von den anderen Angehörigen des C-Levels in erster Linie als gleichwertiges Vorstandsmitglied und nicht als Technik-Experten wahrgenommen werden. Sie sollten die geschäftskritischen Faktoren des langfristigen Unternehmenswachstums kennen und zeigen, dass sie über ein Verständnis für die strategischen Herausforderungen des Unternehmens verfügen. Der CISO ist gut beraten, dies in seiner Interaktion mit den Vorstandskollegen zu beachten und sicherzustellen, dass diese erkennen, welche bedeutende Rolle auch für ihn die derzeitigen geschäftlichen Herausforderungen der Organisation bei seiner Arbeit spielen.

Über den Autor: Andrew Rose ist Resident CISO für die EMEA-Region bei Proofpoint. Er unterstützt Unternehmen bei der Optimierung ihrer Cybersecurity-Strategie zur Verbesserung der IT-Sicherheit und war zuvor Chief Security Officer der Mastercard-Tochtergesellschaft Vocalink, die für einen Großteil der Sofort- und Massenzahlungen in Großbritannien verantwortlich ist.

Andrew ist ein bekanntes Gesicht in der britischen und europäischen Cybersicherheits-Community und wurde bei den SC Media Europe Awards 2018 als "European CISO of the year" ausgezeichnet. Andrew hat einen Master-Abschluss in Informationssicherheit und ist ein regelmäßiger Redner auf globalen Sicherheitskonferenzen.

(ID:47412467)