CISOs haben ein Glaubwürdigkeitsproblem

Angesichts der tagtäglichen Berichte über Hackerangriffe könnte man meinen, Cybersecurity sei zu wichtig, um ignoriert zu werden. In vielen Führungsetagen ist man aber offenbar anderer Ansicht. Zu diesem Ergebnis kommt eine aktuelle Studie von Trend Micro, in deren Rahmen weltweit 2.600 IT-Security-Verantwortliche (davon 100 aus Deutschland) befragt wurden.

Wie die Umfrage ergab, fühlen sich drei Viertel der deutschen IT-Security-Verantwortlichen (76 Prozent, weltweit 79 Prozent) von der Geschäftsleitung unter Druck gesetzt, die Cyberrisiken im Unternehmen herunterzuspielen. 48 Prozent (weltweit 41 Prozent) von diesen glauben, dass erst ein schwerwiegender Sicherheitsvorfall im Unternehmen die Führungsriege dazu veranlassen würde, entschlossener gegen Cyberrisiken vorzugehen.

Ständiger Nörgler und Miesepeter

Aber warum werden die CISOs nicht ernst genommen? Die Ergebnisse der Studie "The CISO Credibility Gap" deuten auf ein gravierendes Kommunikationsproblem hin: So glauben 49 Prozent der Befragten in Deutschland (weltweit 42 Prozent), dass sie als übermäßig negativ gelten. 32 Prozent (weltweit 43 Prozent) der CISOs gaben an, sie würden vom Management als sich ständig wiederholende Nörgler gesehen. Und mehr als ein Drittel von ihnen (34 Prozent, weltweit 33 Prozent) berichteten, sie seien bereits von der Geschäftsleitung kurzerhand abgewiesen worden.

Offensichtlich schaffen es die Security-Verantwortlichen nicht, der Geschäftsleitung den Zusammenhang zwischen Cyberrisiken und daraus entstehenden Geschäftsrisiken aufzuzeigen. Die potenziellen Folgen sind absehbar, da ein uninteressierter Vorstand Cybersecurity seltener in seine strategischen Überlegungen miteinbezieht.

Die Ergebnisse der Studie bestätigen dies: So wird in über einem Drittel der deutschen Unternehmen (34 Prozent, weltweit 34 Prozent) Cybersicherheit nach wie vor lediglich als reine IT-Aufgabe und nicht als Teil des Managements von Geschäftsrisiken behandelt. Und nur zirka die Hälfte (51 Prozent, weltweit 54 Prozent) der Befragten sind zuversichtlich, dass ihre Führungsebene die Cyberrisiken, denen das Unternehmen ausgesetzt ist, vollständig versteht.

Die Sprache des Business sprechen

Aus Sicht von Trend Micro hängt vieles von der Sprache ab. Allzu häufig seien die Präsentationen der CISOs gespickt mit Fachjargon und obskuren Kennzahlen, beantworteten jedoch nicht so einfache übergeordnete Fragen wie 'Wie sicher sind wir?' oder 'Wie kann Cybersecurity unsere Business-Ziele unterstützen?'.

"Mehr als die Hälfte der Security-Verantwortlichen in Deutschland (62 Prozent) sagen, dass Cyberrisiken ihr größtes Geschäftsrisiko darstellen. Es gelingt ihnen aber oft nicht, dieses Risiko so zu kommunizieren, dass es die Geschäftsleitung versteht", so Richard Werner, SecuritySecurity Advisor bei Trend Micro. Alles zu Security auf CIO.de

Als Lösungsansatz empfehlen die Security-Experten den Einsatz einer - rein zufällig auch von Trend Micro angebotenen - Plattform zum Management der Angriffsoberfläche (Attack Surface (Risk) Management, AS(R)M). Mit einer solchen Lösung sei der CISO in der Lage, der Geschäftsleitung konsistente und leicht konsumierbare Informationen in Form eines Risiko-Reportings zu liefern.

Daneben sollten CISOs auch ihre Sprache anpassen und ihre Kommunikationsfähigkeiten verbessern, um sich gegenüber besser verständlich zu machen. Laut Trend Micro bedeutet das:

• Klartext zu reden, statt mit Akronymen und Fachjargon um sich zu werfen;

• Cybersicherheitsprogramme an den Unternehmenszielen auszurichten;

• auf klare Risiken zu fokussieren;

• relevante Daten/Metriken zu verwenden;

• dem Vorstand lieber weniger, dafür aber öfter Bericht zu erstatten;

• Zeit zu investieren, um persönliche Beziehungen zu Vorstandsmitgliedern aufzubauen.