Aus Cost-Center mach Innovation-Hub

Die steigende Anzahl und zunehmende Raffinesse von Cyberangriffen veranlasst Unternehmen aus sämtlichen Branchen, ihre Budgets für Cybersecurity im kommenden Jahr erneut zu erhöhen. Das belegt zum Beispiel ein Blick in die Global Digital Trust Insights Survey von PwC. Laut der Umfrage

• wollen 69 Prozent der befragten Unternehmen ihre Ausgaben für Cybersicherheit im Jahr 2022 erhöhen,

• wovon 26 Prozent angeben, ihr Sicherheitsbudget um 10 Prozent oder mehr aufstocken zu wollen.

Selbst im Zeitalter von gehäuft auftretenden, aufsehenerregenden Angriffen tragen Zahlen wie diese dazu bei, das Trugbild von der Security-Kostenstelle aufrechtzuerhalten. Das wiederum kann dazu führen, dass CSOs mit ihren C-Level-Kollegen in den Clinch geraten. Frustration und Verwirrung über den tatsächlichen Nutzen der Investitionen in die Cybersecurity sind dann an der Tagesordnung, weiß Phil Zongo, CEO der Schulungsorganisation Cyber Leadership Institute. "Viele Führungskräfte wollen sich an der Umgestaltung des Cyberspace beteiligen, empfinden aber den weit verbreiteten Sicherheitsjargon und die für sie nichtssagenden Metriken als äußerst frustrierend. Es lässt sie im Unklaren über die wichtigsten Bedrohungen, die auf ihr Unternehmen abzielen, über die Stärke ihrer bestehenden Verteidigungsmaßnahmen oder über die erforderlichen Investitionen. Das führt dazu, dass sie das Gefühl haben, Geld in ein Fass ohne Boden zu werfen. Den Cybersicherheitsteams fällt es andererseits oft schwer, den Wert ihrer Initiativen in die Unternehmenssprache zu übersetzen - Geld."

Es gibt jedoch auch CSOs und CISOs, die der Vorstellung vom Security-Cost-Center erfolgreich entgegenwirken konnten - trotz steigender Sicherheitsbudgets. Das haben sie geschafft, indem sie gezeigt haben, dass Security nicht nur essenziell für den Unternehmenserfolg, sondern auch Wettbewerbsvorteil ist. Wir haben mit einigen Experten gesprochen und in diesem Rahmen fünf Strategien identifiziert, die CSOs dabei unterstützen können, Sicherheit als zentralen Wert in den Fokus ihrer Unternehmen zu rücken.

1. Wahrnehmung entscheidet

Ahmed Jamil, Leader CISO Practice bei Russell Reynolds Associates, vertritt mit Verweis auf die Maxime 'You can't manage what you don't measure' die Auffassung, dass man auch nicht optimieren kann, was man nicht kennt und versteht. "Anerkennung ist manchmal der erste Schritt. Sie müssen verstehen lernen, wie die Führungsebene und der Vorstand über Sie denken." Dieser Schritt erfordere einige Überlegungen, um festzustellen, ob der CSO als vollwertiger Partner der Geschäftsleitung, der an der Gestaltung von Richtlinien und Strategien mitwirkt, gesehen wird - oder ob Security nur ein nachgelagerter, nebensächlicher Gedanke bleibt.

"Denken Sie über Ihre Funktion nach: Ist sie reaktiv oder proaktiv? Wie sind Sie in der Organisation positioniert? Als CSO kann man sich darauf verlassen, einfach zu zeigen, was man tut, um die Organisation in der aktuellen Umgebung sicher zu halten. Eine bessere Idee wäre es, in Business-Sprache auszudrücken, welche proaktiven Maßnahmen ergriffen werden, um künftige Angriffsszenarien zu verhindern. Es geht darum, die Wahrnehmung von Security als Innovationszentrum zu schärfen", empfiehlt Jamil.

2. Verbündete kultivieren

Zongo plädiert dafür, dass sich CSOs unermüdlich auf die Einbindung von Interessengruppen konzentrieren: "Kein größeres Transformationsprogramm ist ohne den Support durch die Führungskräfte erfolgreich - das ist auch im Bereich Cybersecurity nicht anders. Binden Sie die Stakeholder aus den wichtigsten Abteilungen frühzeitig ein und lassen Sie ihre Perspektiven in die Strategie einfließen. Wenn sich die wichtigsten Führungskräfte von Anfang an einbezogen fühlen, werden sie wahrscheinlich voll und ganz hinter dem Programm zur Umgestaltung der Security stehen."

Um dieses Ziel zu erreichen, müssten CSOs laut dem Experten funktionsübergreifende Cyberrisiko-Komitees einrichten, die Interessenvertreter aus den Bereichen

• Risikomanagement,

• Recht,

• Technologie,

• Produktentwicklung,

• Beschaffung und

• Finanzwesen zusammenbringt.

"Das Cyberrisiko-Komitee gibt an der Spitze den richtigen Ton an, ratifiziert die Cybersicherheitsstrategie und stellt sicher, dass die Funktion vollständig finanziert und gut unterstützt wird", fügt er hinzu.

Dennoch werden einige CSOs Schwierigkeiten damit haben, das gesamte Unternehmen voll einzubeziehen. Viele CSOs orientieren sich etwa nach wie vor an den Zielen des CIOs und der IT-Roadmap. Diese müssen (oder sollten zumindest) auf die Gesamtstrategie des Unternehmens abgestimmt sein. Dennoch: Diese Berichtsstruktur entzieht dem Sicherheitsbereich den direkten Zugang zum Unternehmen - und damit auch zu den Führungskräften der Geschäftsbereiche. Die 2021 Global Chief Information Security Officer Survey der Personalberatung Heidrick & Struggles kommt zu dem Ergenis, dass 38 Prozent der CISOs an den CIO berichten, während nur 11 Prozent direkt an den CEO reporten.

Pam Nigro, Vice President IT und Security Officer der Home Access Health Corporation, ist davon überzeugt, dass CSOs eine direkte Verbindung zu den Zielen des Unternehmens herstellen sollten: "Wenn das US-Unternehmen eines CSOs beispielsweise in die europäischen Märkte expandieren möchte, muss der CSO verstehen und darlegen, wie die Sicherheitsfunktion die Geschäftsziele durch die Einhaltung der europäischen Datenschutz- und Sicherheitsanforderungen unterstützen wird."

3. Positives hervorheben

Die Reihe aufsehenerregender und folgenschwerer Cybervorfälle in den letzten Jahren hat dazu geführt, dass das Thema Security auf der Vorstandstagesordnung regelmäßig ganz oben steht. Dabei spielen auch zunehmende Regulierungen und die Erwartungen der Kunden beziehungsweise Verbraucher eine Rolle. Der JWC Partners 2021 Corporate Board Survey (PDF) zufolge, belegt das Thema Security bei den wichtigsten Problemthemen für Board-Mitglieder den dritten Platz - direkt hinter der Unternehmensstrategie und der Nachfolgeplanung von CEOs und anderen C-Level-Führungskräften.

Gleichzeitig sind viele Vorstandsmitglieder allerdings nicht besonders zuversichtlich, wenn es um ihr Verständnis vom Thema Cybersicherheit geht. Im Rahmen der 2021 Annual Corporate Directors Survey von PwC gaben lediglich 33 Prozent der befragten Vorstände an, die Security-Schwachstellen ihres Unternehmens "sehr gut" zu verstehen. "Etwas" Verständnis können 53 Prozent vorweisen, während 13 Prozent ihr Knowhow als "nicht sehr gut" einstuften. Lediglich ein Prozent gab zu, überhaupt keine Ahnung zu haben. Das gesteigerte Interesse für Cybersecurity auf Vorstandsebene sollten CSOs für sich als Chance begreifen, meint Zongo: "Viele CSOs kennen es, dass ihre Botschaften auf taube Ohren stoßen, ihre Budgets stark unterfinanziert sind oder sie zu glorifizierten Systemadministratoren abgestempelt werden. Nun fangen die Vorstände und Verantwortlichen an, Cyberrisiken ernstzunehmen."

Er und andere raten CSOs jedoch davon ab, sich nur darauf zu konzentrieren, was schiefgehen kann. Das verstärke die alte Vorstellung, dass Sicherheit reiner Kostenfaktor ist, der mit einer Versicherung vergleichbar ist: "CSOs sollten sich von der antiquierten Taktik der Angstmacherei verabschieden und stattdessen eine optimistische und aufmunternde Botschaft über die Auswirkungen vermitteln, die Cybersicherheit auf das Unternehmen und im weiteren Sinne auf die Kunden und kritischen Interessengruppen des Unternehmens haben kann", meint Chris Hughes, Mitbegründer und CISO des Softwareunternehmens Aquia.

"Sicherheitsvorfälle können negative Auswirkungen haben, die von finanziellen und regulatorischen Schäden bis hin zu Rufschädigung reichen", fügt Hughes hinzu. "Es ist zwar wichtig, sich das vor Augen zu halten und auch seine Geschäftspartner daran zu erinnern - hat aber auch einen negativen Beigeschmack. Konzentrieren Sie sich stattdessen darauf, den Wert für Kunden und Stakeholder zu maximieren, ihr Vertrauen und ihre Loyalität zu sichern und eine starke Cybersicherheitsposition zu nutzen, um sich von anderen Unternehmen auf dem Markt abzuheben. Zeigen Sie auf, wie die Vermeidung von Cybersicherheitsvorfällen zum Unternehmenswachstum beitragen kann."

4. Wert quantifizieren

Sicherheitsverantwortliche, die ihre Abteilung vom Ruf der Kostenstelle befreit haben, zeigen den Wert auf, den sie dem Unternehmen bringen. Das weiß auch Fred Rica, Principal und National Cyber Risk and Threat Intelligence Leader bei KPMG: "CSOs, die sich einen Platz in der Führungsetage verdienen, sprechen über Business Enablement, sie sprechen darüber, was sie ermöglichen werden."

Rica sieht Security als das Bremssystem des Unternehmens: Es versetze Organisationen in die Lage, schnell und sicher zu fahren und fungiere nicht als Not-Aus-Knopf, der alles verlangsamt oder gar zum Stillstand bringt. Seiner Meinung nach sollten CSOs deshalb betonen, wie Security den Kunden ermöglicht, schnell und nahtlos mit dem Unternehmen zu interagieren - mit der Sicherheit des Bremssystems im Hintergrund. "Indem sie das tun, unterstützen CISOs das Unternehmen", sagt Rica.

Nigro, die auch stellvertretende Vorstandsvorsitzende von ISACA ist, räumt ein, dass es für CSOs eine Herausforderung ist, den Wert der Sicherheit in harter Währung zu berechnen. Dennoch besteht sie darauf, dass dies möglich ist - und auch getan werden sollte: "Quantifizieren Sie, was vor sich geht - und nicht nur, was es Sie kostet." Um die für diese Aufgabe erforderlichen Skills zu entwickeln, rät Nigro CISOs dazu, sich mit Kollegen aus der Finanzabteilung zusammenzutun.

5. Security wird USP

CSOs, die all diese Strategien zusammenführen, seien in der Lage, die Sicherheit ihrer Organisation als Differenzierungsmerkmal gegenüber ihren Wettbewerbern herauszustellen. Das stütze nicht nur die Agilität des Unternehmens, sondern stärke auch dessen Fähigkeit schnell zu reagieren, meint James Stanger, Chief Technology Evangelist bei CompTIA: "Jetzt ist der CSO derjenige, der die Grundlage für den Unternehmenserfolg schafft. Die traditionelle Vorstellung war, dass er das Unternehmen davor bewahrt, gehackt zu werden. Inzwischen ist der CSO ein Wegbereiter für die Unternehmensexpansion."

CISOs müssen heute positiv beeinflussen, wie sie und das Sicherheitsteam von anderen innerhalb des Unternehmens wahrgenommen werden. Sie müssen mit dem Business zusammenarbeiten und darüber hinaus in der Lage sein, Risiken zu bewerten, zu artikulieren und diese zu nutzen, um den Wertbeitrag der Sicherheit zu verdeutlichen. "Die CSOs, die ich treffe, sind gut darin, Sicherheit als Grundlage für den Unternehmensbetrieb zu vermitteln. So wird Security von der Kostenstelle zum Opportunity Center", sagt Stanger. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.