Cybersicherheit auf höchster Unternehmensebene neu denken
Sechs Dinge, die die Geschäftsleitung wissen sollte
Gespräche über Cybersicherheit auf Geschäftsführungsebene haben sich weiterentwickelt. Sicherheitsteams werden nicht mehr nur als Technikexperten betrachtet, sondern als Architekten der Widerstandsfähigkeit von Unternehmen gegenüber Cyberbedrohungen. Dieser Wandel wird durch die zunehmende Zahl von Cyberangriffen, die geopolitischen Entwicklungen und die digitale Transformation vorangetrieben.
In den Führungsetagen erwartet man jetzt strategisch bedeutsame Erkenntnisse von Sicherheitsverantwortlichen. Man will von uns nicht nur hören, dass wir die neueste Firewall installiert haben oder die Vorschriften einhalten. Vielmehr will man verstehen, wie sich Cybertaktiken in die Unternehmensstrategie und den Shareholder Value einfügen. Dialog ist der Schlüssel. Von den Sicherheitsteams wird erwartet, dass sie die Lücke zwischen Cyberjargon und geschäftlichem Denken schließen.
Was möchte die Geschäftsleitung von Ihnen wissen? Was sind ihre Prioritäten? Was erwartet sie von Ihrem Team? In diesem Beitrag gehen wir auf die Prioritäten in den Vorständen hinsichtlich Cybersicherheit ein und zeigen, wie Sicherheitsverantwortliche effektiv mit der obersten Führungsebene kommunizieren können.
1. Cyberrisiken sind Geschäftsrisiken – daran gibt es nichts zu deuteln.
In der Vergangenheit betrachtete man in den Führungsetagen Cybersicherheit als einen Zuständigkeitsbereich der technischen Teams in weit entfernten Serverräumen. Cyberrisiken schienen abstrakt und nicht greifbar. Doch diese Zeiten sind vorbei. Man denke nur an die Nachbeben großer Sicherheitsvorfälle, etwa bei Equifax oder Colonial Pipeline. Diese Angriffe haben die Unternehmen bis ins Mark erschüttert und die Auswirkungen auf das Geschäft so groß gemacht, dass das Cyberrisiko zu einer eindeutigen und gegenwärtigen Gefahr geworden ist.
Die neuen SEC-Vorschriften zur Offenlegung von Sicherheitsrisiken bringen diese Gefahr noch deutlicher ans Tageslicht. Durch die Verpflichtung zur raschen öffentlichen Berichterstattung über schwerwiegende Cybervorfälle und die jährliche Offenlegung von Cyberprogrammen rückt die SEC das Cyberrisiko in den Mittelpunkt. „Ob ein Unternehmen bei einem Brand eine Fabrik oder bei einem Sicherheitsvorfall Millionen von Dateien verliert – beides kann für die Anleger von Bedeutung sein“, so der SEC-Vorsitzende Gary Gensler. Die Geschäftsleitung muss inzwischen eng in die Bewertung von Cybervorfällen, die Planung von Offenlegungen und die Validierung von Sicherheitsprogrammen eingebunden werden.
Auf oberster Führungsebene ist man sich zwar der Schwere der Cyberrisiken bewusst, doch man durchdringt oft die Begrifflichkeiten rund um Bedrohungen, Vektoren und Kontrollen nicht wirklich. Diese Kluft stellt eine Herausforderung für die strategische Kommunikation dar. Im Vorstand braucht man klare Erkenntnisse, die Cyberrisiken zu den Geschäftsergebnissen ins Verhältnis setzen, und klare Pläne, um diese Risiken in den Griff zu bekommen.
Als Sicherheitsverantwortliche sollten wir die Kluft überbrücken und für die Geschäftsleitung Fachjargon in einfache und klare Sprache übersetzen. Wir müssen Bedrohungen ins Verhältnis zu geschäftlichen Prioritäten wie Kundenvertrauen, Ausfallsicherheit und Marktposition setzen.
Die neuen SEC-Vorschriften bestätigen, dass Cyberrisiken dauerhaft mit Geschäftsrisiken verwoben sind. Unsere Berichterstattung sollte diese neue Realität widerspiegeln. Da an der Spitze der Unternehmen höchste Alarmbereitschaft herrscht, muss es unsere Aufgabe sein, Wege für die Zukunft aufzuzeigen.
2. Rendite in der Cybersicherheit: Es geht nicht nur ums Geld, sondern auch um den Sinn
Jeder weiß, wie schwer es ist, den finanziellen Mehrwert von Cybersicherheit nachzuweisen. Die Geschäftsleitung ist mehr denn je in Sicherheitsinvestitionen involviert, erwartet davon aber keine konkrete Rendite. Stattdessen will man von Ihnen wissen, wie Investitionen in die Sicherheit mit einer besser geschützten, robusteren Unternehmensarchitektur korrelieren.
Hier ist eine interessante Übung: Wenn Sie sich auf die nächste Vorstandssitzung vorbereiten, geben Sie nicht nur Zahlen weiter, sondern schildern Sie die Auswirkungen, erzählen Sie eine Geschichte. Kein Märchen, sondern ein Beispiel aus der Praxis dazu, wie Ihr Team durch schnelles Handeln eine Cyberkatastrophe abgewendet hat. Sie haben Ihr VPN durch Zero Trust Network Access ersetzt und ein schickes neues XDR-System eingeführt? Ausgezeichnet. Wie hat sich das auf Ihre Fähigkeit ausgewirkt, Nutzer zu schützen und die Reaktionszeit bei Sicherheitsvorfällen zu verkürzen? Sie sollten immer noch Zahlen nennen, dabei aber darauf achten, dass diese eine Geschichte erzählen.
Natürlich ist nicht jeder Erfolg leicht zu quantifizieren. Aber selbst bei immateriellen Vorteilen wie einem verbesserten Image lässt sich der Nutzen mithilfe von Messwerten abbilden. Der Schlüssel liegt darin, Programme und Ausgaben mit einer Risikominderung zu verknüpfen, die zum Zustand und zur Performance des Unternehmens passt.
Auf diese Weise wird die Cybersicherheit von einer Kostenstelle zu einer strategischen Funktion, die die Widerstandsfähigkeit des Unternehmens stärkt. Kluge Investitionen zeigen, wie Sicherheit als Wettbewerbsschutz fungiert und das Eingehen intelligenter Risiken erlaubt, die Wachstum ermöglichen. Dieser größerer Zusammenhang zeigt den wahren Nutzen, auf den es der Geschäftsführung ankommt.
3. Die zwei Seiten der KI: Ein Wunder und ein Minenfeld
Wenn wir das nebulöse Terrain der modernen Cybersicherheit durchdringen, steht immer das Thema Künstliche Intelligenz unausgesprochen im Raum. Während wir GenAI in die Struktur unserer Cybersicherheitsstrategien einbauen, horcht die Geschäftsführung auf.
Warum wird die Geschäftsleitung beim Thema KI etwas nervös? Nehmen wir zum Beispiel KI-Chatbots: Zur Automatisierung des Supports sind sie großartig, aber was passiert, wenn sie zu Kanälen für Desinformation oder Datenlecks werden? In den Chefetagen möchte man sichergehen, dass bei der Einführung von KI eine angemessene Kontrolle, Erklärbarkeit und Ausfallsicherheit gegeben ist.
Die ethischen Irrgärten rund um Gesichtserkennung, Urheberrechte bei KI und die Büchse der Pandora von Deep Fakes sind nicht nur dystopische Themen für eine Streaming-Serie. Sie sind real und hochgradig aktuell. Hinzu kommt, dass Geschäftsführungen nicht nur passive Beobachter sind. Sie sind potenzielle Ziele von KI-gesteuerten Cyberbedrohungen. Wie genau schützen wir sie also davor, zu einem weiteren Angriffsvektor zu werden? In den Vorstandsetagen wird nicht nur über KI „diskutiert“, sondern es werden Fragen gestellt und man beleuchtet Themen von allen Seiten. Die Aufgabe der Cybersicherheitsteams ist es dabei, einige dringend benötigte Antworten zu liefern.
4. Sicherheit ist eine Kultur, keine Abteilung
In den Vorstandsetagen verschiebt sich die Vorstellung von Sicherheit. Diese wird zunehmend als Kultur und nicht einfach nur als Fachbereich betrachtet. Dabei wird das Prinzip „Sicherheit geht jeden etwas an“ auf eine strategische Ebene gehoben.
Früher war der Mensch bzw. menschliches Versagen die Sicherheitsschwachstelle. Doch wer umdenkt, kann den menschlichen Faktor zu einem Vorteil machen. Mitarbeiterschulungen können mehr sein als Pflichtveranstaltungen zur Einhaltung der Compliance, und zwar eine strategische Waffe.
Stellen Sie sich Folgendes vor: Ein gut geschulter Mitarbeiter vereitelt einen Phishing-Versuch, der Millionen hätte kosten können. Das ist eine Geschichte, die man gern hört, oder? Der menschliche Faktor ist kein Fehler – er ist eine Eigenschaft. Lassen Sie uns nicht weiterhin den Nutzern die Schuld geben, wenn sie versehentlich auf einen schädlichen Link klicken. Sorgen Sie stattdessen dafür, dass Ihre Mitarbeitenden in die Cybersicherheit einbezogen werden und schaffen Sie eine Kultur ohne Schuldzuweisungen in Ihrem Unternehmen. Geben Sie den Nutzern Schutzmaßnahmen an die Hand, die es ihnen ermöglichen, sicher zu arbeiten und das zu melden, was ihnen verdächtig erscheint. Und vergessen Sie nicht, die Geschäftsleitung in Ihre Sicherheitskultur einzubeziehen. Im Idealfall sickert die Sicherheitskultur von der Vorstandsetage nach unten und durchdringt das Handeln im Geschäftsalltag.
5. Das Schachbrett ist global: Warum geopolitische Risiken auch Sie betreffen
Denken Sie zurück an das Sicherheitsleck bei SolarWinds. Sicherlich, der Vorfall wurde als Cybersicherheitsereignis eingestuft – doch war er nicht im Grunde ein Kapitel in einer viel größeren geopolitischen Saga? Ihr Geschäftsleitung ist sich sehr wohl bewusst, dass das Spielfeld der Cybersicherheit weit über die Grenzen Ihres Unternehmens hinausgeht. Sie ist mittlerweile ein fester Bestandteil der globalen Landschaft.
Die geopolitische Dynamik hat sich offiziell in die Debatte rund um Cybersicherheit eingeschaltet und bringt komplizierte neue Aspekte mit sich: Bedrohungen durch Nationalstaaten, Hacktivisten, Datensouveränität, Datenschutz und internationale Compliance-Probleme. Denken Sie daran: Mit diesen Fragen müssen sich nicht nur andere herumschlagen, sondern auch Sie. Das gilt besonders, wenn Sie in einer Branche arbeiten, die als „kritische Infrastruktur“ gilt.
Was verrät Ihnen das über den Umfang Ihres Verantwortungsbereichs? Es sagt Ihnen, dass Sie auf der gleichen Wellenlänge wie die Geschäftsleitung sind. Bringen Sie beim nächsten Meeting mit dem Vorstand einige Erkenntnisse darüber ein, wie sich die Veränderungen in der geopolitischen Landschaft auf Ihre Cybersicherheitsstrategie auswirken könnten. Sie können sich darauf verlassen, dass man Ihnen zuhören wird.
6. Ihr Team ist eine Geschäftseinheit, keine Kostenstelle
Traditionell als Kostenstelle betrachtet, hat sich die Cybersicherheit zu einer Geschäftseinheit entwickelt, die zur strategischen Entscheidungsfindung beiträgt. Dieser Wandel in der Wahrnehmung stellt den bedeutendsten Paradigmenwechsel für Sicherheitsteams der letzten Jahre dar. Ihre Geschäftsleitung weiß das und möchte, dass auch Sie das erkennen.
Was bedeutet das nun für Ihren Dialog mit der Unternehmensführung? Es geht nicht nur darum, die neuesten Statistiken zur Erkennung von Eindringlingen oder zur Wirksamkeit von Firewalls zu präsentieren. Zeichnen Sie stattdessen ein Bild, in dem Cybersicherheit der Kiel ist, der für die Stabilität des Unternehmensschiffs sorgt und es in die Lage versetzt, stärkeren Winden und unruhiger See zu trotzen. Mit anderen Worten: Zeigen Sie auf, wie sich Marktchancen ergreifen und Innovationen umsetzen lassen, ohne dabei unterzugehen.
Was hält Sie davon ab, der strategische Guru zu werden, der Sicherheitsüberlegungen nahtlos in die DNA Ihres Geschäftsmodells einfließen lässt? Nichts, außer vielleicht alte Gewohnheiten und überholte Vorstellungen. Betrachten Sie dies als Ihren Weckruf. Die nächste Vorstandssitzung sollte nicht nur Gelegenheit für ein Update sein, sondern für eine Offenbarung. Die Weichen sind gestellt, damit Sie sich von einem Wächter zu einem Führer, von einem Pförtner zu einem Wegbereiter werden können. Machen Sie sich bereit für einen Rollenwechsel.
Eine neue Ära des Dialogs in der Vorstandsetage
Sind wir bereit? Sind wir bereit, von der „Abteilung der ewigen Nein-Sager“ zum Katalysator zu werden, der dem Unternehmen hilft, ein strategisches „Ja“ zu verkünden?
Um William Gibson zu zitieren: „Die Zukunft ist bereits da – sie ist nur nicht gleichmäßig verteilt.“ Es ist an der Zeit, dass wir unser Wissen über Cybersicherheit innerhalb des Unternehmens breiter streuen, angefangen bei der höchsten Führungsebene. Wenn Sie also das nächste Mal das Wort „Vorstand“ hören, betrachten Sie sich selbst in diesem Kontext nicht als Beobachter, sondern sehen sie es als Chance, die Zukunft des Unternehmens strategisch mitzugestalten.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Autor
John Engates — @jengates
Technology Officer, Cloudflare
Wichtigste Eckpunkte
Folgende Informationen werden in diesem Artikel vermittelt:
Der Paradigmenwechsel von Sicherheit als Zuständigkeitsbereich zu einer unternehmensweiten Kultur
Wie man in der Vorstandsetage dem Thema Sicherheit mehr Aufmerksamkeit verschafft
Wirkung zu erzielen ist wichtiger als nackte Zahlen