Geschäftsführer verkennen den Wettbewerbsvorteil einer funktionierenden Cybersecurity
Die Mehrheit der Security-Manager tauscht sich regelmäßig mit der Geschäftsführung aus, doch das Abstimmen von Sicherheitsstrategien ist dennoch verbesserungswürdig. © Pixabay
Eine funktionierende Cybersicherheit ist für Unternehmen nicht nur die Beste Strategie zur Abwehr von Hackerangriffen und Ransomware, sondern spielt auch für den allgemeinen Unternehmenserfolg eine wichtige Rolle. Tatsächlich zeigen Untersuchungen immer wieder, dass die Geschäftsentwicklung von Unternehmen eng mit der Fähigkeit, Cyber-Risiken entgegenzuwirken, zusammenhängt. Doch was CIOS und CISOs längst klar ist, ist bei Geschäftsführern und Vorständen noch lange nicht in den Köpfen angekommen.
Wie eine aktuelle Umfrage von Delinea bestätigt, sind nur 39 Prozent der IT-Sicherheitsentscheider der Meinung, dass die Führungsetage ihres Unternehmens die Bedeutung von Cybersecurity für den Geschäftserfolg ihres Unternehmens richtig einschätzt. Vielmehr wird das Thema Sicherheit oft nur im Hinblick auf die Compliance und die Einhaltung gesetzlicher Bestimmungen als wichtig erachtet. Laut 17 Prozent der Befragten wird der Cybersecurity von der Unternehmensleitung sogar keinerlei geschäftliche Priorität zugeschrieben. Dabei hat die globale wirtschaftliche Unsicherheit die Situation noch verschlimmert und macht es noch schwieriger, die Cybersicherheit mit den allgemeinen Unternehmenszielen in Einklang zu bringen.
Falsche Priorisierung erhöht die Angriffsfläche
Die fehlende Einschätzung des Sicherheitsaspekts von Seiten der Geschäftsführung hat für die Unternehmen weitreichende Auswirkungen, auch auf Investitionen und Budgetverteilungen. So berichten 35 Prozent der Befragten von Verzögerungen bei wichtigen Sicherheitsinvestitionen, fast ebenso viele von aufgeschobenen strategischen Entscheidungen. Dies bleibt wiederum auch für die Sicherheitslage der Unternehmen nicht ohne Folgen: Mehr als ein Viertel gab etwa an, dass dies zu einem Anstieg erfolgreicher Cyberangriffe geführt hatte.
Security-Teams haben Schwierigkeiten, ihre Erfolge sichtbar zu machen
Stellt sich die Frage, warum Geschäftsführer die Rolle der Cybersicherheit nach wie vor unterschätzen. Immerhin gaben 62 Prozent der Security-Manager an, sich regelmäßig mit Führungskräften auszutauschen und in 54 Prozent der Unternehmen sind Security-Verantwortliche sogar Teil der Führungsetage, etwa in der Rolle des CISO.
Ein Problem könnte die verbesserungswürdige Abstimmen der Sicherheitsstrategien sowie das fehlende Sichtbarmachen von Erfolgen sein. So dokumentiert nur etwa die Hälfte der Unternehmen (48 %) Richtlinien und Verfahren, um Abstimmungen und Anpassungen von Maßnahmen zu erleichtern, und ein weiteres Drittel (33 %) gab an, dass Abstimmungen grundsätzlich nur ad hoc oder bei Bedarf erfolgen. Zudem macht die Studie deutlich, dass die Metriken, mit denen der Erfolg von Cybersicherheitsmaßnahmen sichtbar gemacht und bewertet wird, immer noch streng an technische oder tätigkeitsbasierte Kennzahlen geknüpft sind. Laut 31 Prozent der Befragten ist die Zahl der abgewehrten Angriffe das wichtigste Maß für den Erfolg, gefolgt von der Erfüllung der Compliance-Ziele und der Reduzierung der Kosten für Sicherheitsvorfälle.
Die Kommunikation zwischen Security-Abteilung und Geschäftsführung ist nicht perfekt
Technische Skills und Fachwissen im Bereich der Cybersecurity sind für Security-Professionals unverzichtbare Fähigkeiten, doch auch Skills wie Kommunikationsgeschick, Geschäftssinn oder Mitarbeiterführung sind nicht zu unterschätzen. Immerhin sind es klassischen Business-Kompetenzen, die Sicherheitsverantwortlichen dabei helfen, sich besser mit der Geschäftsführung abzustimmen. Tatsächlich gibt fast ein Drittel der Befragten zu, dass das erfolgreiche Vermitteln von Geschäftsszenarien an den Vorstand und die Geschäftsleitung eine Lücke in den eigenen Fähigkeiten darstellt, und fast ebenso viele (30 %) stufen ihre Kommunikationsfähigkeiten als verbesserungswürdig ein.
Soll die Diskrepanz zwischen Business- und Sicherheitszielen überwunden werden, braucht es optimierte Berichtslinien sowie mehr Sichtbarkeit der Cybersicherheit auf Vorstandsebene: Die Umfrage deutet jedoch darauf hin, dass die Bereitschaft, aktuelle Berichtsstrukturen zu ändern, nur sehr gering ist. So sind nur 27 Prozent der befragten Sicherheitsentscheider der Meinung, dass die CISOs bzw. die ranghöchsten Cybersecurity-Führungskräfte dem CEO Bericht erstatten sollten, um die Cybersecurity optimal auf die Gesamtziele des Unternehmens abzustimmen.
Fazit
Die Abstimmung der Cybersicherheit mit den Geschäftszielen ist für den Erfolg eines Unternehmens nicht unwichtig, weshalb es unerlässlich ist, dass das Sicherheitsteam und die Geschäftsführung miteinander anstatt nebeneinander agieren und Metriken nicht nur die Sicherheitsaktivitäten, sondern auch deren Auswirkungen auf das Business messen. Der Schlüssel liegt dabei in einer besseren Kommunikation der Security-Teams – ungeachtet dessen, dass starke technische Fähigkeiten für den Erfolg ihrer Arbeit nach wie vor sehr wichtig sind. Sicherheitsverantwortliche müssen mehr denn je in der Lage sein, zu kommunizieren, Einfluss zu nehmen und den Wert, den ihre Arbeit für den allgemeinen Geschäftserfolg hat, sichtbar zu machen.