Rückblickend war das erste Halbjahr 2024 turbulent – mit hochkarätigen Cyberbedrohungen, die auf Unternehmen aller Branchen abzielten. Und dennoch haben laut einer kürzlich von Netskope durchgeführten Studie mehr als die Hälfte (57 Prozent) der Chief Information Security Officer (CISOs) ihre Risikobereitschaft für Cyberrisiken erhöht. Die CISOs haben jedoch nicht das Gefühl, dass dieses wachsende Vertrauen von ihren Führungskräften erwidert wird: Ein Drittel der CISOs sieht ihre CEOs als viel risikoscheuer an als sie selbst. Diese unterschiedlichen Risikoeinstellungen führen zu Spannungen mit der gesamten Führungsebene – wie neun von zehn CISOs berichten.

Daraus ergibt sich ein klares Gebot. CISOs müssen sicherstellen, dass sie bei ihrer Kommunikation eine Terminologie verwenden, die der Führungsebene vertraut ist und ihnen direkt den Nutzen zeigt, wie beispielsweise Umsatz- oder Geschäftswachstum. Andernfalls werden sie nie in der Lage sein, ihren Führungskräften das Vertrauen in den Sicherheitsansatz des Unternehmens und dessen Beitrag zu den Geschäftszielen zu vermitteln und so Wachstum und Innovation zu ermöglichen. Ein Unternehmen, das risikoscheu ist, wird sich nicht trauen, Innovationen voranzutreiben oder zu wachsen. Dies sollte der CISO kommunizieren können – er darf sich nicht auf die Förderung spezifischer technischer Maßnahmen versteifen.

Cyberrisiken ausbalancieren Unternehmen müssen jeden Tag eine Reihe von Abwägungen treffen – zum Beispiel zwischen Innovation und Zuverlässigkeit, Investitionen und Gewinn oder Geschwindigkeit und Sicherheit. Jede Führungskraft trägt zur Gewichtung von Entscheidungen über Risiken bei. Traditionell wurde von CISOs als oberstem Beschützer der Informationswerte eines Unternehmens erwartet, dass sie an einem Ende dieser Skala agieren. Doch diese Rolle entwickelt sich weiter. In den letzten zehn Jahren haben die CISOs ihre Rolle allmählich angepasst, da das Geschäft zunehmend digitalisiert und datengesteuert ist. CISOs sind nicht mehr auf Back-Office-Support-Funktionen beschränkt, sondern haben ihren Platz an der Seite ihrer Kollegen im Führungsteam bei umfassenderen Geschäfts- und Risikoentscheidungen eingenommen. Die von den CISOs zu schützenden Informationen stehen im Mittelpunkt von geschäftlichen Innovationsprojekten. Sie sind also die Schlüsselfiguren, die diese Innovationen vorantreiben (oder verhindern). Allerdings sind die meisten CISOs der Meinung, dass andere Mitglieder der Führungsetage immer noch nicht erkennen, dass die Rolle des CISOs Innovationen ermöglicht. Wie können sie die Bedenken der C-Suite in Bezug auf Cyberrisiken zerstreuen und dem gesamten Unternehmen helfen, ihre Position als Business Enabler zu sehen?

Sicherheit im gesamten Unternehmen verankern Damit CISOs das Vertrauen des CEOs und des Vorstands in Cyberrisikobereitschaft stärken können, müssen sie sich die Zeit nehmen, deren Vorbehalte auszuräumen. Dies ist möglich, indem sie das Verständnis des Vorstands für die Bedrohungslandschaft und deren Zusammenhang mit ihrem Geschäft verbessern, vereinbarte Spielräume für die Risikotoleranz festlegen und die Maßnahmen darlegen, die der CISO zum Schutz des Lebenselixiers moderner Unternehmen ergriffen hat: Daten. Eine verbreitete Herausforderung besteht darin, den Wert der Cybersicherheit für die Steigerung des Geschäftsergebnisses greifbar zu machen. Um dieses Problem zu überwinden, sollten CISOs das Thema neu formulieren und ihre Kollegen in der Führungsetage fragen, wie sie beständige Einnahmen erzielen können, wenn unkontrollierte Risiken das Geschäft lähmen? Das gilt nicht nur für den Vorstand und die Geschäftsführung: CISOs sollten proaktiv Beziehungen zu allen Abteilungen im Unternehmen aufbauen, um deren Prioritäten und Geschäftsziele zu verstehen und herauszufinden, wie die Sicherheit dazu beitragen kann, diese zu erreichen. Dabei geht es nicht mehr nur um die Verwaltung von Risiken, sondern auch um die Unterstützung der Geschäftsentwicklung. Durch die Schaffung von Verbindungen im gesamten Unternehmen können CISOs von einer rein defensiven Rolle des „Beschützers“ zu einer progressiven, proaktiven und übergreifenden Rolle übergehen.

Vertrauen schaffen durch Strategie, nicht durch Taktik Wenn CISOs mit dem CEO über die Sicherheitslage sprechen, finden sie sich zu oft in taktischen statt in strategischen Gesprächen wieder. Von Führungsteams und Vorständen werden CISOs oftmals nach Zero Trust gefragt. Was also ist Zero Trust? Es handelt sich um ein Sicherheitsmodell, das auf der Prämisse beruht, dass niemandem blind vertraut wird und niemandem der Zugriff auf Unternehmensressourcen ohne ständige und detaillierte Überprüfung gestattet wird. „CISOs sollten proaktiv Beziehungen zu allen Abteilungen im Unternehmen aufbauen, um deren Prioritäten und Geschäftsziele zu verstehen und herauszufinden, wie die Sicherheit dazu beitragen kann, diese zu erreichen.“ James Robinson, Netskope Dieser populäre Trend hat sich auch bei nicht-technischen Führungskräften durchgesetzt. Es ist positiv zu betrachten, dass andere Führungskräfte sich mit der Cybersicherheitsinfrastruktur des Unternehmens befassen. CISOs müssen dieses Interesse der Kollegen an Zero Trust begrüßen und fördern. Sie können es als Ausgangspunkt nutzen, um die ihnen zur Verfügung stehenden Optionen zu skizzieren und eine langfristige Vision für die Sicherheitslage des Unternehmens zu entwickeln, die die Geschäftsanforderungen unterstützt.