Sprechen wir über Cyber-Sicherheit

Der Dialog zwischen Geschäftsleitung und Sicherheitsverantwortlichen als Erfolgsfaktor für eine erfolgreiche IT-Sicherheitsstrategie

Die Sicherheitsverantwortlichen in deutschen Unternehmen haben es nicht einfach. Die Umsetzung von Sicherheitsrichtlinien hat in der Regel immer einen Einfluss auf die Abläufe in Unternehmen und somit sind neue Ansätze oft nur schwer umzusetzen, zum Beispiel weil eine andere Abteilung sich durch neue Vorgaben gegängelt fühlt. Weiterhin wird von der Seite der Geschäftsverantwortlichen der Begriff „good Security“ leider häufig mit „good enough Security“ gleichgesetzt und das hat deutliche Konsequenzen für die Höhe der Sicherheitsbudgets. Die Folge ist in der Regel eine sehr bedenkliche Cyber-Sicherheitslage in vielen Firmen – und auch ein enormer wirtschaftlicher Schaden für die deutschen Unternehmen.

Es gibt aber inzwischen Anzeichen, dass ein Prozess des Umdenkens stattfindet. Nach einer Studie der Enterprise Strategie Group (ESG) geben ca. 30 Prozent der befragten Sicherheitsverantwortlichen an, dass ihre Führungskräfte sich im Vergleich zum Vorjahr wesentlich intensiver mit dem Thema Cyber-Sicherheit auseinandersetzen; weitere 40 Prozent der Befragten beobachten ein steigendes Interesse in der Führungsetage ihres Unternehmens. Initiativen in Deutschland, wie die Allianz für Cyber-Sicherheit, tragen zusätzlich zur Aufklärung und der Weiterentwicklung des Verständnisses in den Unternehmen bei.

Die Notwendigkeit für dieses Umdenken liegt auf der Hand: Die Verantwortlichen in den Vorstandsetagen werden durch vermehrte erfolgreiche Angriffe auf ihre Unternehmen und durch die tägliche Berichterstattung in den Medien stärker mit dem Thema Cyber-Sicherheit konfrontiert. Alleine aus meinen Gesprächen mit Kunden im letzten Monat kenne ich  drei Fälle von großen Unternehmen, in denen Angreifer erfolgreich in  das Unternehmens-Netzwerk eindringen und großen Schaden anrichten konnten. In jedem dieser Fälle war der Grund derselbe: unzureichende Cyber- Abwehrfähigkeiten der betroffenen Unternehmen gegen moderne IT-Bedrohungen. Die möglichen Sicherheitsdefizite im eigenen Unternehmen treiben daher immer mehr Manager um.

Das an sich erfreuliche Umdenken des Managements führt nun allerdings auch zu einer neuen Herausforderung für die Sicherheitsverantwortlichen: Wie spreche ich mit meinem Vorstand zielführend und verständlich über IT-Sicherheitsthemen? Hier sind einige Punkte aufgeführt, die in  dem Dialog zwischen Geschäftsverantwortlichen und Sicherheitsfachleuten beachtet werden sollten:

  1. Das Thema Cyber-Sicherheit ist sehr komplex und es ist auch sehr schwierig aufgrund allgemeiner Betrachtungen die Sicherheitsanforderungen für ein einzelnes Unternehmen eindeutig zu beschreiben. Die Sicherheitsverantwortlichen müssen daher in der Lage sein, das Thema Cyber-Sicherheit „businessgerecht“ zu vermitteln und konkrete geschäftliche Vor- oder Nachteile für ihr Unternehmen aufzuzeigen. Technische Fachbegriffe helfen in der Diskussion mit dem Management in der Regel nicht weiter.
  2. Sicherlich sind IT-Risiken und IT-Sicherheit die vordergründigen Themen. Durch die komplette Digitalisierung der heutigen Geschäftswelt und Prozesse hängen allerdings alle Geschäftsrisiken in der einen oder anderen Weise letztlich von den IT-Risiken ab. Um dem Rechnung zu tragen, müssen auch die Sicherheitsverantwortlichen ein Verständnis für die Geschäftsrisiken entwickeln. In vielen Fällen ist hier zunächst Training sinnvoll, um das entsprechende Wissen in der IT-Abteilung aufzubauen. Aber auch die Einbindung der Sicherheitsverantwortlichen in neue Gremien zu Sicherheitsthemen innerhalb der Unternehmen kann hilfreich sein.
  3. Um eine gemeinsame Sprache zwischen den Geschäftsverantwortlichen und Sicherheitsverantwortlichen zu finden, sollte ein  gemeinsames Bewertungssystem für die Cyber-Sicherheit gefunden und vereinbart weden. Die Bewertungsmaßstäbe hierfür müssen dem Business-Manager genau erklärt werden – und zwar nicht in technischen Begrifflichkeiten wie Firewall oder IDS/IPS! Stattdessen muss die Diskussion auf einer konzeptionellen Ebene stattfinden, in der Gefährdungspotenziale, Kontrollmöglichkeiten und Schwachstellen allgemeinverständlich und auf das eigene Unternehmen bezogen erläutert werden.
  4. Security Dashboards müssen die Ergebnisse so darstellen, dass sie von einem Geschäftsführer sofort verstanden werden und als Grundlage für seine Entscheidungen dienen können.

Cyber-Sicherheit ein sehr komplexes und anspruchsvolles Thema, das aber dramatisch an Bedeutung für das Tagesgeschäft dazugewonnen hat. Es ist daher sehr gut und wichtig, dass Geschäftsverantwortliche sich mehr damit auseinandersetzen. In vielen Unternehmen in Deutschland wird es dabei aber zu unangenehmen Überraschungen kommen. Das wird genau dann passieren, wenn es sich herausstellt, dass die Investitionen der letzten Jahre nicht ausgereicht haben und die Sicherheits-Infrastruktur den Herausforderungen heutiger Cyber-Bedrohungen längst nicht mehr gewachsen ist. Der Dialog zwischen den Sicherheitsverantwortlichen und den Geschäftsverantwortlichen ist ein zentrales Element für jede Sicherheits-Strategie, um so eine Situation künftig zu vermeiden. Hierfür ist es allerdings notwendig dass man eine gemeinsame Sprache findet, die von beiden Seiten verstanden wird und in eigenes Handeln umgesetzt werden kann.