Digitalisierung und Cyber-Sicherheit
Das muss endlich Chefsache werden
Jörg Asma leitet den multinationalen Bereich Cyber Security & Privacy Europe bei der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC. Asma hat Elektrotechnik in Jülich und Aachen studiert.
Eine Untersuchung, die im 1. Quartal dieses Jahres von Comma Soft durchgeführt wurde, ergab folgendes Ergebnis: Gerade einmal die Hälfte der im DAX notierten Unternehmen weisen auf ihrer Internet-Seite das Thema IT einem Vorstandsmitglied mit einem anderen Hauptverantwortungsbereich zu, im MDAX sind dies noch weniger: 20 von 50 Firmen. Kaum Beachtung findet das Thema Sicherheit. Vier von 30 DAX-Konzernen benennen öffentlich einen Vorstand, der auch für das Thema Sicherheit verantwortlich ist, im MDAX machen dies gerade einmal sechs Prozent. Das sind drei von 50 Unternehmen.
Während es Disziplinen wie Einkauf oder ComplianceCompliance in den vergangenen Jahren geschafft haben, ihren eigenen Posten im Vorstand zu erstreiten und damit ihre große Relevanz für den Unternehmenserfolg zu unterstreichen, ist dies CIOs genauso wie Chief SecuritySecurity Officers nicht gelungen. Von Chief Digital Officers gar nicht zu sprechen. Nur wenige Unternehmen halten bereits solch zukunftsweisende Funktionen vor. Alles zu Compliance auf CIO.de Alles zu Security auf CIO.de
IT und Cyber-Sicherheit in der zweiten Ebene
Allen ist eins gemein: Ihre oberste fachliche Führungskraft ist im besten Fall auf der zweiten Führungsebene angesiedelt, mit direktem Berichtsweg an ein Vorstandsmitglied. Dieses kann in Vorstandssitzungen dann entsprechend aus dem Bereich berichten. Der eigentlich relevante Manager sitzt jedoch bei den wegweisenden Vorstands- und Geschäftsführungsentscheidungen höchstens am Zuschauertisch. Wenn nicht gar vor der ihm verschlossenen Tür.
Interessant sind vor allem die Berichtswege von CIOs: Im Vorstand verantwortlich für das Thema IT ist in den meisten Fällen der Chief Financial Officer (CFO, in 21 der betrachteten Fälle), gefolgt vom Personalchef Chief Human Resources Officer (CHRO, 4x) und dem das Tagesgeschäft steuernden Chief Operating Officer (COO, 3x). In drei Fällen übernimmt der CEO selbst Verantwortung dafür in seinem Unternehmen. Das Thema Sicherheit ist je zweimal dem CFO, CHRO und COO zugeordnet, einmal einem Vorstandsmitglied ohne spezifische Bezeichnung. DatenschutzDatenschutz, ein wichtiger Sicherheitsaspekt, haben drei DAX-Unternehmen zusätzlich als Vorstandsausgabe herausgehoben, je zweimal beim obersten Juristen des Unternehmens und einmal beim CFO. Alles zu Datenschutz auf CIO.de
Übersetzt bedeutet das: IT-, Digitialisierungs- und Sicherheitsprofis berichten in der überwiegenden Zahl der Fälle an den Finanzchef des Unternehmens. In den meisten Fällen also an einen Manager, der sich häufig einen großen Namen bei Restrukturierungen oder langfristiger strategischer Unternehmensentwicklung im M&A-Bereich macht. Aber der selten ins operative Tagesgeschäft, Produktentwicklung, Innovationssteuerung oder gar Konzernsicherheit eingebunden ist. Bereiche, die ganz besonders von der Digitalisierung betroffen sind.
- Weite Bedrohungslandschaft
Ohne Security Intelligence wird es schwierig, der Vielfalt an IT-Bedrohungen effektiv zu begegnen. Der Bericht ENISA Threat Landscape 2014 zeigt eine breite Front an möglichen Angriffen. - Unternehmen sind unterlegen
IT-Sicherheitsverantwortliche berichten mehrheitlich (59 Prozent), dass ihre IT-Sicherheit den raffinierten Angreifern gegenüber unterlegen ist. - ... wollen sich aber wehren
Die raffinierten Attacken werden als größte Herausforderung für die IT-Sicherheit angesehen. - Security Intelligence hilft
Mit Security Intelligence kann die Abwehr raffinierter Attacken verbessert werden. Dazu werden zahlreiche Datenquellen ausgewertet; die Ergebnisse der Sicherheitsanalysen stehen dann verschiedenen Bereichen der IT-Sicherheit zur Verfügung, nicht nur die Abwehr, sondern auch vorbeugende Maßnahmen profitieren. - Großes Wehklagen
Unternehmen beklagen, dass sie nicht genug über mögliche Schwachstellen wissen. Hier können Security-Intelligence-Lösungen helfen und den Patchmanagement-Prozess optimieren. - Software-Tools
Security-Intelligence-Plattformen liefern Entscheidungsgrundlagen für das IT-Sicherheitsmanagement. - Risiken verwalten
Security Intelligence hilft bei der Bewertung der Risiken, die mit digitalen Identitäten verbunden sind. - Falsche Identitäten erkennen
Mit Security Intelligence lassen sich betrügerische Aktivitäten besser erkennen, bei denen zum Beispiel gefälschte Identitäten eingesetzt werden. - Malware und Phishing verhindern
Security Intelligence hilft bei der Erkennung von Malware, schädlichen Web-Seiten und Phishing-Attacken. - Auch mobil auf dem Laufenden
Die Bewertung des Risikos durch mobile Apps wird durch Security-Intelligence-Lösungen unterstützt.
Warum ist das so? Im Gegensatz zu US-amerikanischen Unternehmen, bei denen zumindest der CIO sehr häufig im obersten Führungsgremium sitzt, haben es die IT-Verantwortlichen in Deutschland in den letzten zehn Jahren vielfach nicht geschafft, aus ihrer Schublade herauszukommen. "Die IT ist dafür da, dass morgens mein Rechner angeht und meine Emails verschickt werden." Diese allzu plakative Aussage findet sich auf deutschen Firmenfluren noch immer erschreckend häufig.
Und es gibt CIOs, die sich mit dieser Rolle auch abgefunden haben. Die den Servicegrad erhöht, ihre Mitarbeiter auf Dienstleistermentalität getrimmt haben. Was zweifelsohne richtig ist. Aber die vergessen haben, die echte Relevanz ihrer Disziplin für das Unternehmen herauszustellen.
Einen besseren Moment als jetzt wird es für Deutschlands CIOs so schnell nicht wieder geben: Um klar zu machen, dass sie nicht nur für das Funktionieren des Notebooks verantwortlich sind. Sondern dass sie und ihre Mitarbeiter ein maßgeblicher wenn nicht gar der entscheidende Faktor für die Zukunftsfähigkeit ihres Unternehmens sind. Darum sollten sie jetzt den Anspruch anmelden, den sie bisher zaghaft immer wieder selbst verworfen haben: Ein Platz nicht am Rande, sondern genau in der Mitte des Top-Managements. Ein Platz am Entscheidertisch.
Über die Untersuchung: Untersucht wurden die Vorstellung der Vorstände aller DAX- und MDAX-Unternehmen auf den jeweiligen Internet-Seiten der Firmen im Februar 2015. Es wurde geprüft, wie sich die jeweiligen Vorstände laut dieser Information zusammensetzen und welche Zuständigkeiten öffentlich einsichtig zugeordnet worden sind. Es ist nicht auszuschließen, dass bei den Unternehmen, bei denen keine Zuordnung feststellbar war, grundsätzlich eine Verantwortung im Vorstandsressort angesiedelt ist. Die Autoren haben den Schluss gezogen, dass in diesen Fällen die Relevanz für eine Information der Öffentlichkeit nicht gegeben zu sein scheint und damit die Gesamtrelevanz von IT und Sicherheit als Vorstandsthema als fraglich zu definieren ist.