Rawpixel.com - stock.adobe.com

IT-Security: So optimieren CEOs und CIOs die Zusammenarbeit

Während CEOs Cybersicherheit oft nur als reinen Kostenfaktor sehen, verpassen es CIOs, den übergeordneten Geschäftsnutzen neuer Security-Investitionen zu kommunizieren.

Obwohl eine gute Kommunikation zwischen CEO und CIO die Leistungsfähigkeit von Unternehmen verbessern und dadurch ihre Wettbewerbsposition stärken kann, verläuft die Zusammenarbeit zwischen Geschäftsführung und IT-Abteilung in der Realität oft nicht reibungslos.

Denn bei der Arbeit der IT-Verantwortlichen in Sachen Sicherheit geht es längst nicht mehr nur darum, Malware-Risiken zu minimieren und die Datensicherheit zu erhöhen, sondern darum, eine Cybersicherheitsstrategie für eine effektive Geschäftsstrategie zu entwickeln.

IT-Sicherheit aus der Sicht des CEOs: Der Kostenfaktor

CEOs sind selbst meist kein Mitglied des IT-Teams und deshalb eher selten IT-Security-Experten, weshalb ihr Blick auf die unternehmensweite IT-Sicherheit ein anderer ist als der des IT-Fachmanns. Viele von ihnen konzentrieren sich vor allem auf den Kostenfaktor, der mit der sich stetig verschärfenden Bedrohungslandschaft natürlich immer größer wird.

Der Nutzen eingesetzter Sicherheitsmaßnahmen erschließt sich ihnen jedoch nicht immer automatisch, was auch daran liegt, dass sich Cybersicherheit nicht immer eindeutig mit Zahlen belegen lässt. Der Großteil der eingesetzten Schutztechnologien sind Präventionsmaßnahmen, deren Aufgabe es ist, das Risiko von Malware-Infektionen und Datenschutzvorfällen zu senken.

Ob sie dann im konkreten Fall tatsächlich vonnöten sind, das heißt, ob ein bestimmter Cybervorfall eintritt, lässt sich im Vorfeld selbstverständlich nicht fix voraussagen. Ebenso ist es unmöglich, zu berechnen, ob der abgewendete Schaden die Kosten der eingesetzten Technologien überhaupt übersteigen würde. Hinzu kommt, dass auch den CEOs klar ist, dass Security-Maßnahmen niemals absolute Sicherheit garantieren können, was ihre Skepsis gegenüber hohen Ausgaben ein weiteres Mal bestätigen dürfte.

So unsichtbar der Security-Nutzen in Hinblick auf die Abwehr von Angriffen auch sein mag, so sichtbar sind hingegen die Auswirkungen auf das tägliche Arbeiten. Tatsache ist, dass IT-Sicherheit in manchen Fällen schnelles Handeln unmöglich macht – etwa, wenn die Implementierung neuer Technologien oder die Einführung strengerer Sicherheitsrichtlinien Beeinträchtigungen der Arbeitsabläufe nach sich ziehen. Dann gerät die IT-Abteilung gerne in die Kritik, wenn in der Regel auch ungerechtfertigt.

Die Schwachstelle der CIOs: Fehlende Sichtbarkeit ihrer Erfolge

So sehr CEOs in der Welt der Geschäftszahlen leben und die Cyberbedrohungslandschaft dabei gerne außen vor lassen, so sehr vernachlässigen CIOs in ihren Überlegungen oft die allgemeinen Unternehmensziele. Wie der aktuelle CISO Success Report zeigt, fällt es mehr als der Hälfte der Sicherheitsentscheidern immer noch schwer, ihre Sicherheitsinitiativen an den Gesamtzielen des Unternehmens auszurichten und positive Zusammenhänge zwischen getroffenen oder geplanten IT-Maßnahmen und den Geschäftsstrategien sichtbar zu machen.

Das liegt unter anderem daran, dass rund zwei Fünftel der Befragten die Geschäftsziele letztlich gar nicht kennen beziehungsweise verstehen. Womit wir wieder beim Thema Fehlkommunikation wären.

Dieser Mangel an Sichtbarkeit wirkt sich dann wiederum auf die Finanzierung weiterer Sicherheitsprojekte aus und sorgt dafür, dass der CIO in Budgetverhandlungen eine schlechte Position innehat. Denn je mehr konkrete Zahlen er vorlegen kann, die positive Auswirkungen auf Mitarbeiterproduktivität, Roll-Out-Zeiten oder das Einhalten von Compliance-Richtlinien belegen, desto eher wird er den CEO von neuen Investitionen überzeugen.

Glaubt man den Antworten der befragten Security-Entscheider, spielt bei der Rechtfertigung neuer Sicherheitsausgaben vor allem der ROI früherer Maßnahmen eine wichtige Rolle. Kennt man diesen nicht, hat man also schlechte Karten.

Auf einem Auge blind: Was beide CEO und CIO übersehen

Was beide Seiten, das heißt Geschäftsführung und IT-Abteilung, dabei meist ignorieren, ist der Einfluss, den eine fortschrittliche und sicheren Unternehmens-IT auf die Wirtschaftlichkeit eines Unternehmens hat. Kurz gesagt: Wer in Cybersicherheit investiert, fördert gleichzeitig das Unternehmenswachstum, etwa durch eine Optimierung der Arbeitsprozesse.

Hier müssen beide Seiten verstehen, dass eine fortschrittliche Sicherheitsstrategie, die auf innovativen Technologien beruht, nicht nur die Unternehmenssicherheit optimiert, sondern auch Arbeitsprozesse – sei es durch mehr Automation und Transparenz, eine vereinfachte Verwaltung sensibler Daten oder nutzerfreundliches Passwortmanagement. Tatsächlich wirkt sich dies positiv auf alle Abteilungen aus (und eben nicht nur auf das IT-Team), entlastet die Mitarbeiter nachhaltig und steigert deren Produktivität.

James Legg, Thycotic

„Wer in Cybersicherheit investiert, fördert gleichzeitig das Unternehmenswachstum, etwa durch eine Optimierung der Arbeitsprozesse.“

James Legg, Thycotic

---

Warum CIOs einen Business-First-Ansatz verfolgen sollten

Wenn CIOs und IT-Leiter ihren Themen auf Geschäftsführungsebene ausreichend Gehör verschaffen wollen, müssen sie in der Lage sein, die Anliegen und Bedürfnisse ihrer Abteilung so zu kommunizieren, dass sie vom CEO auch verstanden und vor allem als geschäftsrelevant anerkannt werden. Wenn sie die gedankliche Trennung zwischen „Technologie“ und „Business“ abschaffen wollen, müssen sie daher einen Business-First-Ansatz verfolgen und bei all ihren Ausführungen stets den wirtschaftlichen Nutzen und den Wettbewerbsvorteil, den eine effektive Cybersicherheit mit sich bringt, in den Vordergrund stellen.

Dachte man lange Zeit, dass eine erfolgreiche Kommunikation zwischen CEO und CIO vor allem darauf basiert, der Geschäftsführung technische Details zur Bedrohungsabwehr möglichst ohne Cyberfachbegriffe und unter der Annahme eines geringen Vorwissens nahe zu bringen, steht heute fest, dass es längst nicht mehr darum geht, „sicherheitstechnische‘“ Vorteile zu kommunizieren.

Was die Unternehmensführung wirklich interessiert, ist der Geschäftsnutzen neuer Sicherheitsinvestitionen und wie Security-Lösungen das Unternehmenswachstum fördern. Für jeden CIO sollte der erste Schritt vor jeder neuen Budgetverhandlung sein, sich Zeit zu nehmen, in Erfahrung zu bringen, welche Prioritäten die Geschäftsführung verfolgt und welcher Erfolgsmaßstab gilt und dann herauszuarbeiten, wie die von ihnen geplanten Maßnahmen und Technologien effektiv dazu beitragen können, diese Ziele zu unterstützen.

CIOs und IT-Verantwortliche sind nicht mehr die „Obertechniker“ ihres Unternehmens, sondern besetzen vielmehr eine strategische Position, die hilft, wichtige Weichenstellungen für den Erfolg des Unternehmens zu setzen. Dass sie hierfür die nötige Anerkennung bekommen, hängt nicht zuletzt auch davon ab, wie sie ihre eigene strategische Bedeutung vor der Geschäftsführung kommunizieren.

Über den Autor:
James Legg ist President und CEO von Thycotic.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Nächste Schritte

Die Rolle des CISO im Überblick

Das sollte ein guter Sicherheitsbericht enthalten

Best Practices: Wie Sicherheitsberichte verfasst werden sollten

Erfahren Sie mehr über IT-Sicherheits-Management