Rawpixel.com - stock.adobe.com
Richtig kommunizieren: Die Vermessung der IT-Sicherheit
Eine effektive Cybersecurity liefert die Grundlage für erfolgreiches Wirtschaften. Doch wie steht es um das Verständnis der Geschäftsführungen für Security-Fragen?
In der heutigen Zeit braucht es neben einer soliden Datenbasis vor allem eine nahtlose Kommunikation zwischen CISO und Chefetage – sowie das richtige Mindset.
„Warum sollte denn ausgerechnet uns jemand hacken?“ Eine Frage die viele Security-Verantwortlichen ihrer Geschäftsführung in der Vergangenheit beantworten mussten. Mit dem Fortschritt in der Digitalisierung ändert sich diese Wahrnehmung aber zunehmend auch in den Führungsetagen. Denn die meisten Geschäftsprozesse sind auf Daten und IT-Infrastrukturen angewiesen. Cyberrisiken sind zum größten Geschäftsrisiko geworden und dürfen nicht mehr ignoriert werden, weder im einzelnen Unternehmen noch im Hinblick auf die gesamte Volkswirtschaft. Die zunehmende Schärfe des Gesetzgebers in diesem Bereich – Stichwort NIS2 – zeigt das eindringlich.
Die Frage nach einem Hack bekommt daher eine ganz andere Bedeutung. Es geht nicht mehr darum, warum ein Unternehmen ein attraktives Ziel für Kriminelle wäre, sondern um eine konstante Risikobewertung. Das „Warum“ ist meist weniger wichtig, als das „Was sind die möglichen Folgen?“. Das Thema ist daher ganz klar in der Unternehmensstrategie zu verankern und muss zur Chefsache werden. Dieser Wandel bedingt eine grundlegende Änderung im Mindset, wenn es um unternehmerische Erfolge in der Zukunft geht.
Warum tun sich gerade Mittelständler so schwer mit Cybersicherheit?
In der Praxis schreitet die Modernisierung der Security-Strategie oftmals nur schleppend voran. Das hat viele Gründe: Aufgrund des anhaltenden Fachkräftemangels stellt es gerade für mittelständische Unternehmen eine Herausforderung dar, geeignete Security-Experten zu finden und den wachsenden Herausforderungen neben dem IT-Tagesgeschäft gerecht zu werden. Dabei hakt es bei vielen Unternehmen schon am Anfang. Denn sie bauen ihre Security-Systeme zwar aus, aber es fehlt an grundlegendem Verständnis, was für eine zielgerichtete Security-Strategie im eigenen Unternehmen erforderlich ist.
Immerhin hat jedes Unternehmen eine andere Ausgangslage und unterschiedliche Kompetenzen im Team. Große Investments in die umfangreichsten Technologien sind daher erstmal nur kostspielig und erzielen, da diese auch konfiguriert, kontinuierlich mit Updates versorgt und richtig angewendet werden müssen, nicht die gewünschten Resultate. Es kann vorkommen, dass essenzielle Funktionen nicht genutzt werden und die Nutzbarkeit durch Silos in den Unternehmensdaten eingeschränkt sind. Selbst bei bestmöglicher Implementierung und Konfiguration kann ein Unternehmen seine Security-Maßnahmen in diesem Fall nicht effektiv umsetzen. Die eigene Infrastruktur sowie die Geschäftsstrategie müssen daher bei der Ausrichtung der Security-Strategie mitbedacht werden.
Kommunikation ist der Schlüssel
Um diesen Herausforderungen zu begegnen, braucht es in der Führungsriege ein neues Mindset. Natürlich kann man von einem CEO nicht erwarten, dass er IT-Experte ist. Aber zumindest ein grundlegendes Verständnis für das Geschäftsrisiko Nummer eins (laut dem Allianz Risikobarometer) muss vorhanden sein. CEOs brauchen die Bereitschaft, sich mit dem Thema Cybersecurity auseinanderzusetzen und dem CISO mit offenen Ohren zuzuhören. Dazu gehört auch, Informationen so einzufordern, dass sie verständlich sind.
Hier wiederum sind Security-Verantwortliche in der Pflicht, IT-Sprache in Business-Sprache zu übersetzen. Die Geschäftsleitung interessiert sich nicht für technische Details und Statistiken, die aus ihrer Sicht irrelevant sind. Vielmehr möchte sie wissen, wie sicher das Unternehmen ist und wie es im Vergleich zu anderen Unternehmen dasteht. Außerdem erwarten CEOs Antworten auf konkrete Fragen: Wie unterstützt Cybersecurity unsere Geschäftsstrategie und was ist der konkrete Return on Investment (ROI) in bessere Sicherheitsmaßnahmen?
Cybersicherheit messbar zu machen, macht sie kommunizierbar
Regelmäßige, datengetriebene Kommunikation zwischen CEO und CISO ist dabei entscheidend, um das Verständnis der Geschäftsleitung für Cyberrisiken zu verbessern und die Sicherheitsaufstellung des Unternehmens zielgerichtet zu optimieren. Eine einheitliche Plattform, die alle wichtigen Datenquellen miteinander verbindet und übersichtlich aufbereitet, leistet dabei wertvolle Unterstützung. Auf diese Weise können die relevanten Kennzahlen fokussiert und prägnant kommuniziert werden. Das Unternehmen wird befähigt, auf die sich verändernde Risikolandschaft angemessen zu reagieren. Somit lässt sich die Cybersecurity besser auf die Geschäftsstrategie abstimmen.
„Spätestens mit der NIS2-Direktive ist Cybersicherheit als zentraler Bestandteil bei der Unternehmensstrategie zu betrachten. Um das erfolgreich umzusetzen, braucht es in Unternehmen eine nahtlose Kommunikation zwischen CISO und Chefetage sowie ein ausgeprägtes Sicherheitsbewusstsein.“
Hannes Steiner, Trend Micro
Wichtig für die Sicherheitsverantwortlichen ist, sich auf klare Risiken zu konzentrieren, relevante Daten und Metriken zu verwenden und eine einfache Sprache ohne Fachjargon zu sprechen. Security-Verantwortliche, denen es gelingt, den Business-Nutzen ihrer Tätigkeit messbar zu machen, sind laut einer aktuellen Trend-Micro-Studie eindeutig im Vorteil. 46 Prozent erhielten mehr Budget und 45 Prozent haben den Eindruck, dass sie in ihrer Rolle im Unternehmen als wertvoller angesehen werden. 42 Prozent werden in die Entscheidungsfindung auf höherer Ebene einbezogen.
Welchen Geschäftswert hat Cybersicherheit?
Cybersicherheit messbar zu machen, erleichtert die Kommunikation und erlaubt es, die Sicherheitsstrategie auf die Geschäftsstrategie auszurichten. Das ist auch dringend notwendig: Immerhin ist Cybersecurity eine grundlegende Voraussetzung für die Modernisierung von Geschäftsabläufen. Sie schützt nicht nur vor Bedrohungen, sondern ermöglicht auch die sichere und effiziente Einführung neuer Technologien und beschleunigt die Digitalisierung. New-Work-Modelle, Prozessautomatisierung, IoT oder Cloud-Services: All das schafft neue Angriffspunkte und erfordert daher eine strategische Absicherung. Wer die Security von Anfang an bei Projekten mitdenkt, kommt schneller voran und spart Kosten. Cybersicherheit erst im Nachgang zu implementieren ist dagegen meist teurer und komplizierter. Ganz zu schweigen von den Schäden, die entstehen können, wenn es zu einem Cyberangriff kommt.
Neben der schnelleren Digitalisierung trägt nach Ansicht der Mehrheit der deutschen Unternehmen Cybersicherheit vor allem im Bereich Data Insights am stärksten zum Geschäftswert bei. Der Grund dafür ist klar: Damit man die richtigen Erkenntnisse aus Daten ziehen kann, muss deren Qualität und Integrität sichergestellt sein. Cybersecurity schützt die Daten vor Kompromittierung und gewährleistet, dass sie jederzeit verfügbar sind. Auch beim Einsatz von künstlicher Intelligenz spielt die Datensicherheit eine wichtige Rolle: Wenn es Cyberkriminellen gelingt, die Datenbasis zu kompromittieren, könnten sie die Entscheidungen der KI manipulieren.
Fazit: Cybersicherheit muss Chefsache sein
Wer seine IT-Sicherheit strategisch aufbaut und investiert, schafft eine Umgebung im Unternehmen, die für reibungslose Prozesse, Datenschutz und Vertrauenswürdigkeit sorgt. Wer Cybersicherheit nicht als Teil der Unternehmensstrategie etabliert, muss bei erfolgreichem Cyberangriff neben dem technischen Schaden auch mit nachhaltigem Reputationsverlust rechnen. Außerdem wird eine grundlegende Security-Aufstellung zur Voraussetzung für Geschäftsbeziehungen – besonders im B2B-Bereich. Risiken entlang digitaler Lieferketten rücken zunehmend ins Bewusstsein.
Spätestens mit der NIS2-Direktive ist Cybersicherheit als zentraler Bestandteil bei der Unternehmensstrategie zu betrachten. Um das erfolgreich umzusetzen, braucht es in Unternehmen eine nahtlose Kommunikation zwischen CISO und Chefetage sowie ein ausgeprägtes Sicherheitsbewusstsein. Wer Cybersecurity effizient kommunizieren will, muss sie dabei erst einmal messbar machen, was nur mit einer einheitlichen Cybersecurity-Plattform und dem Aufbrechen von Datensilos gelingt. So lassen sich aktuelle Risiken der Bedrohungslandschaft richtig vermitteln und optimale Cybersecurity-Maßnahmen für die Business-Strategie festlegen.
Über den Autor:
Hannes Steiner ist Vice President DACH bei Trend Micro.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
