Security-Verantwortliche werden in Firmen oft nicht gehört

Das sind unter anderem die Ergebnisse einer von Trend Micro durchgeführten Studie. Hierfür wurden in mehreren geografischen Regionen weltweit insgesamt 2600 Security-Verantwortliche aus verschiedenen Branchen befragt, davon 100 aus Deutschland. Demnach fühlen sich rund drei Viertel (76 Prozent) der deutschen IT-Security-Verantwortlichen von der eigenen Geschäftsführung unter Druck gesetzt, die Risiken der IT-Sicherheit im Unternehmen herunterzuspielen. Weltweit liegt dieser Wert bei 79 Prozent. Knapp die Hälfe der deutschen Befragten (48 Prozent) geht davon aus, dass erst ein schwerwiegender Vorfall die Geschäftsleitung dazu bringen würde, mit mehr Entschiedenheit gegen Cyberrisiken vorzugehen.

In Sachen Selbstwahrnehmung geht es 49 Prozent der deutschen Befragten so, dass sie glauben als übermäßig negativ zu gelten. Und 32 Prozent (weltweit 43 Prozent) sagen, sie würden als sich wiederholend und nörgelnd gesehen. Rund ein Drittel der Teilnehmer berichtet, dass sie bereits von der Geschäftsleitung kurzerhand abgewiesen worden zu sein. Dies würden den Schluss erlauben, dass es den CISOs nicht gelingt, den Zusammenhang zwischen Cyberrisiken und Risiken für den Geschäftsbetrieb und das Ergebnis zu verdeutlichen. So würden nahezu alle der Befragten berichten, dass sich ihre interne Lage verbessern würde, wenn sie den geschäftlichen Nutzen ihrer Security-Strategie nachvollziehbar messen und darstellen könnten. Und zwar gaben 46 Prozent an, daraufhin mehr Budget erhalten zu haben. 42 Prozent der hiesigen Teilnehmer erklärten, in diesem Fall in die Entscheidungsfindung auf höherer Ebene einbezogen worden zu sein. Aber in über einem Drittel (34 Prozent) der deutschen Unternehmen wird Cybersicherheit als reine IT-Aufgabe betrachtet und nicht als Teil des Managements von Geschäftsrisiken. Angesichts des jüngsten Allianz Risk Barometer 2024, das ergeben hat, dass Cyberrisiken das größte Geschäftsrisiko für Unternehmen darstellen, eine nicht mehr ganz zeitgemäße Situation.

„Mehr als die Hälfte der Security-Verantwortlichen in Deutschland (62 Prozent) sagen, dass Cyberrisiken ihr größtes Geschäftsrisiko sind. Es gelingt ihnen aber oft nicht, dieses Risiko so zu kommunizieren, dass es die Geschäftsleitung versteht. Infolgedessen werden sie ignoriert, herabgesetzt und der Nörgelei bezichtigt“, so Richard Werner, Security Advisor bei Trend Micro. „Wenn sich die Kommunikation mit der Führungsebene nicht verbessert, wird die Cyberresilienz von Unternehmen leiden. Der erste Schritt zur Verbesserung sollte darin bestehen, eine ‚Single Source of Truth‘ für die gesamte Angriffsfläche zu schaffen.“

Das liege unter anderem auch an fehlenden nachvollziehbaren Kennzahlen (siehe auch Für die Geschäftsführung wichtige Security-Metriken). Nur rund die Hälfte der Befragten gehe davon aus, dass die Geschäftsführung die Cyberrisiken, denen das eigene Unternehmen ausgesetzt sei, richtig verstehe. Unternehmen mangele es oftmals an den entsprechenden Daten an zentraler Stelle, um diese dann entsprechend zu analysieren und korrelieren zu können. Viele Einzellösungen würde zu inkonsistenten Datenpunkten führen, die es den CISO schwer machen würde, klare Aussagen zu Cyberrisiken zu machen.