Email Security 2022

    Kommunikation von Cyber-Risiken an den Vorstand

    Wie die radikale Transparenz eines CIOs gegenüber dem Vorstand - und seine Bereitschaft, als Bösewicht aufzutreten - das Vertrauen in die Cybersicherheitsstrategie und deren Finanzierung stärkt.

    by Stephanie Overby
    09BLOG_1.jpg

    Wichtige Punkte

    • Der Vorstand eines australischen Wirtschaftsprüfungsunternehmens hat sich verstärkt mit dem Thema Cybersicherheit befasst, doch ist dies nur eine von vielen Prioritäten der Unternehmensführung.
    • Eine klare, regelmäßige und ehrliche Kommunikation seitens des CIO stärkt das Vertrauen des Vorstands in die Sicherheitsstrategie und deren Unterstützung.
    • Storytelling und Kontext sind entscheidend, um Vorstandsmitgliedern mit begrenzter Cyber-Erfahrung zu helfen, Cyber-Risiken zu verstehen.

    Das Zusammentreffen mehrerer sich beschleunigender Trends, darunter die digitale Transformation und die wachsende Cyberkriminalität , hat in den letzten Jahren dazu geführt, dass die Cybersicherheit von einer Hinterzimmerfunktion zu einem Tagesordnungspunkt auf Vorstandsebene geworden ist. Der CIO der australischen Tochtergesellschaft eines multinationalen Wirtschaftsprüfungs-, Steuer- und Beratungsunternehmens hat diesen Wandel aus der ersten Reihe miterlebt. Er konnte beobachten, wie das Interesse des Vorstands an Cyber-Risiken und an der Cyber-Sicherheitsstrategie in den zehn Jahren seiner Tätigkeit deutlich gestiegen ist.

    Dennoch konkurriert die Cybersicherheitsstrategie mit einer Vielzahl von Corporate-Governance-Angelegenheiten auf dem Tisch des Vorstands um Aufmerksamkeit. "Sie treffen sich für drei Stunden und haben wahrscheinlich 20 Stunden Inhalt zu behandeln: Fusionen und Übernahmen, Veräußerungen, Finanzen und Buchhaltung, rechtliche Risiken, Strategie, Talentfragen, eine Pandemie", so der CIO. "Die verbleibende Kapazität für Cyberspace ist ziemlich gering.

    Wie in einem demnächst erscheinenden Mimecast-Forschungsbericht über Cybersecurity Board Communications festgestellt wird, steigt der Bedarf an Ressourcen, die für die Bewältigung des Cyberrisikos von zunehmend verteilten Technologieumgebungen und einer sich ausweitenden Bedrohungslandschaft erforderlich sind, weiter an. Eingehende Interviews mit 78 Führungskräften aus Wirtschaft und Sicherheit in 13 Ländern über die Wahrnehmung von Cyber-Risiken auf Vorstands- und Aufsichtsratsebene ergaben, dass Cyber- und Technologie-Führungskräfte Cyber-Risiken und die entscheidende Rolle, die die Cyber-Sicherheitsstrategie für den Schutz des Unternehmens spielt, klar kommunizieren müssen, um eine dauerhafte Unterstützung durch den Aufsichtsrat sicherzustellen. 

    Daher muss dieser CIO - wie die meisten seiner Kollegen - das Beste aus der begrenzten Zeit mit dem Vorstand machen. "Sie müssen sich wirklich auf die Informationen konzentrieren, die Ihre Stakeholder brauchen, und nicht darauf, was der Techniker ihnen sagen will", sagte er in einem Interview.

    Im Laufe der Jahre hat der CIO herausgefunden, was in der Vorstandskommunikation gut funktioniert - regelmäßige und transparente Berichterstattung, Geschichtenerzählen und Grafiken - und was nicht. "Versprechen Sie nicht zu viel", rät er anderen Technologie- und Cyber-Führungskräften, "und versuchen Sie nie, ihnen etwas überzustülpen." Seine Herangehensweise hat ihn nicht gerade zu einem beliebten Mitglied der Führungsetage gemacht, da er manchmal Löcher in ansonsten gut bewertete Geschäftsstrategien oder Transaktionen reißt. Und es gibt nach wie vor Unklarheiten in Bezug auf die Verantwortung des Vorstands für Cyberrisiken, die er gerne klären würde. Aber der Ansatz hat dem CIO das Vertrauen des Vorstands eingebracht und dazu beigetragen, die Mittel für eine effektive Cybersicherheitsstrategie aufzustocken.

    Der Wert der radikalen Transparenz

    Der Vorstand des Unternehmens besteht aus einer Mischung aus externen Mitgliedern (mit Führungserfahrung) und Partnern des Unternehmens (mit Erfahrung im Rechnungswesen). Nur wenige verfügen über umfassende Kenntnisse im Bereich der Cybersicherheit. In den Augen der Direktoren ist das die Aufgabe des CIOs. "Sie erwarten, dass die zuständigen internen Teams über alle Probleme Bescheid wissen und regelmäßig Berichte auf höchster Ebene liefern", so der CIO.

    Das Cyber-Risiko ist eine Komponente des umfassenden Technologierisiko-Programms des Unternehmens, das sich von dem Programm für Unternehmensführungsrisiken und Compliance unterscheidet. Der CIO legt dem Vorstand monatlich einen Bericht über die Cyberrisiken vor. In der Vergangenheit lieferte er ein 20-seitiges Deck, das im Laufe der Zeit zu einem One-Pager geworden ist. Das Ziel sei es, zu destillieren, nicht zu überwältigen, sagte er.

    "Im Laufe der Jahre hat der Vorstand mehr Transparenz bei der Präsentation gefordert", so der CIO. "In der Vergangenheit hat kaum jemand eine Frage gestellt. Jetzt ist es nur noch bang, bang, bang." Das ist auch gut so, denn der eigentliche Wissensaustausch findet während der Q&A statt.

    Der CIO hat gelernt, wie wichtig es ist, dem Vorstand bei der Bewertung von Cyber-Risiken zu helfen. Ein Mitglied fragte zum Beispiel, ob die Firma angegriffen worden sei. Die Antwort ist natürlich, dass jedes Unternehmen ständig angegriffen wird . Ohne einige Hintergrundinformationen würde diese Information jedoch Ängste schüren. Stattdessen entwickelte der CIO ein Diagramm - eine grafische Darstellung der Angriffsversuche, der vorhandenen Abwehrmaßnahmen und der erfolgreichen Angriffe -, das er jeden Monat vorlegt. Anstatt dem Vorstand zu sagen, dass es 30.000 Phishing-Angriffe gab (was die Mitglieder dazu veranlasste, ihren Kaffee auszuspucken), veranschaulicht das Diagramm die Effektivität der Cybersicherheits-Tools, Schulungen und Prozesse, die der Vorstand finanziert hat. "Sie wissen es zu schätzen, dass wir die Informationen in eine überschaubare Menge an Daten destillieren", so der CIO.

    Quantifizierung von Cyberrisiken

    Dennoch ist es schwierig, den Wert von Cyber-Investitionen zu beziffern. "Eine Herausforderung besteht darin, die Macht des Nichts zu erklären - den Aufwand, der nötig ist, um nicht verletzt zu werden", erklärten die CIOs. "Es ist sehr schwer, das Cyber-Risiko zu quantifizieren , ohne dass es zu einem signifikanten Verstoß gekommen ist, und wenn es einen solchen gibt, dreht sich alles um einen Cent."

    Der CIO verdeutlichte seine Argumente anhand von drei aufsehenerregenden Sicherheitsverletzungen, die sich im Jahr 2022 innerhalb von drei Monaten bei anderen australischen Unternehmen ereigneten. Der größte Krankenversicherer des Landes wurde Opfer eines Ransomware-Angriffs, bei dem private medizinische Daten von Personen offengelegt wurden. Ein großer Telekommunikationsanbieter musste seine 10-Millionen-Kunden-Datenbank neu aufbauen, um festzustellen, welche Kundendaten offengelegt worden waren. Ein Online-Einzelhändler, der zu einem großen Lebensmittelhändler gehört, berichtete, dass kompromittierte Benutzeranmeldeinformationen verwendet wurden, um Daten von Millionen von Kunden zu sammeln.

    Die drei Verstöße machten den Vorstand nervös. "Alle waren nervös", sagte er. Die Nachricht führte aber auch zu mehr Diskussionen über Cyberrisiken und den Wert von technischen Kontrollen und Schulungen zum Thema Cybersicherheit. So war die Sicherheitsverletzung bei der Telekom das Ergebnis einer ungesicherten API , die im Internet veröffentlicht wurde. Der CIO des Unternehmens hatte lange Zeit in einen ethischen Hack der Unternehmensserver investiert, wenn das Unternehmen etwas ins Internet stellte, und das war nicht billig. Nach dem Anschlag auf die Telekommunikation konnte er den Wert dieser Investition klar veranschaulichen. "Es gab uns die Möglichkeit zu zeigen, was wir haben, was der Vorstand vielleicht noch nicht verstanden hat", sagte er. 

    Cyber-Sorgfalt: Die Vorteile, der Bösewicht zu sein

    Obwohl das Thema Cybersicherheit in der Führungsetage und unter den Vorstandsmitgliedern zunehmend an Bedeutung gewinnt, ist die Rolle des CIO bei der Minderung von Cyberrisiken kaum ein Popularitätswettbewerb. "Es besteht der Eindruck, dass ich auf der konservativen Seite stehe, was Vertrauen unter den Vorstandsmitgliedern schafft", so der CIO. "Aber es macht mich auch unbeliebt. Das ist eine wirklich seltsame Gratwanderung.

    Er wies zum Beispiel darauf hin, dass eine neue Anwendung, die andere Unternehmen eingeführt hatten, nicht sicher genug war. "Wir haben die Implementierung nicht durchgeführt, aber das war eine wirklich unpopuläre Entscheidung, weil alle das Produkt für großartig hielten", so der CIO. Als diese großen Sicherheitsverletzungen jedoch Schlagzeilen machten, erklärte der CIO dem Vorstand, dass die Zusammenarbeit mit diesem Anbieter das Unternehmen möglicherweise für eine erhebliche Schwachstelle anfällig gemacht hätte. "Sie waren in der Lage, die Zusammenhänge zu erkennen und zu verstehen, warum", sagte er.

    Ein anderes Mal stellte sein Team fest, dass eine Sicherheitslücke vorlag, und untersuchte, wie die Angreifer eindringen konnten, um den Angriff zu stoppen, bevor größerer Schaden entstand. Doch die Untersuchung hat einige Gemüter erhitzt. "Einige Teile der Unternehmenskultur sind nicht hilfreich, wenn es darum geht, einen Angriff zu entschärfen", sagte er. "Aber Cyberkriminalität hat keine Zeit für Image.

    Der CIO ist natürlich derjenige, der einem Anbieter die schwierigen Fragen stellen muss (er hat eine "Cloud-Checkliste" eingeführt, um sicherzustellen, dass die Anbieter die Industriestandards für Cybersicherheit übernommen haben) oder ein Cyber-Risikoproblem anspricht, das sich auf eine Übernahme oder Fusion auswirken könnte. Das hat ihm den Ruf eines Pessimisten eingebracht, aber einer muss es ja tun. In einigen Unternehmen, so der in Kürze erscheinende Bericht von Mimecast, werden "grundlegende Geschäftsentscheidungen - wie Fusionen und Übernahmen, Verträge mit Drittanbietern und Partnerschaften in der Lieferkette - jetzt unter Berücksichtigung des Cyberrisikos getroffen". Der CIO ist zwar nicht an frühen Diskussionen über größere Strategien oder Transaktionen beteiligt, führt aber immer eine Due-Diligence-Prüfung von M&A durch, sobald er von den Plänen erfahren hat. "Es gibt einige wirklich clevere Dinge, die man tun kann, um den Verhandlungsprozess aufzuwerten - aber es ist auch eine wirklich gute Idee, einfach zu wissen, worauf man sich einlässt", betonte er.

    Board Trust erhöht das Budget für Cybersicherheit

    Letzten Endes ist es dem Vorstand egal, ob den Leuten die Einschätzungen des CIOs gefallen. Es interessiert sie, ob er Recht hat. Und im Laufe der Zeit hat er den Wert seiner Entscheidungen unter Beweis gestellt. "Für den Vorstand geht es nur um Governance", so der CIO. "Sie können eine Entscheidung zur Cybersicherheit nicht aufheben, weil sie nicht populär ist.

    Im Gegenteil: Der Vorstand hat großes Vertrauen in den CIO entwickelt. Er hat sein Team um das Vierfache vergrößert und eine jährliche Budgeterhöhung von 15 % erreicht - das Dreifache des von Gartner genannten weltweiten Durchschnitts -, was zur Finanzierung einer stärkeren Automatisierung der Cybersicherheit beigetragen hat. "Der Vorstand erkennt an, dass dies wichtig ist. Ich denke, wir werden sehen, dass diese Investitionen zunehmen werden", sagte er. Er führt dies zum Teil auf die Glaubwürdigkeit zurück, die sich aus der Offenheit und Vertrauenswürdigkeit ergibt, und zum Teil auf Verstöße in den Nachrichten und neue Vorschriften, die höhere Geldstrafen vorsehen. 

    Dennoch gibt es immer mehr zu tun. Der CIO würde es vorziehen, wenn der Vorstand das Thema Sicherheit weniger als Reaktion auf die Gesetzgebung betrachten würde, sondern vielmehr aus der Erkenntnis heraus, wie sich die Cybersicherheitslage des Unternehmens auf seine Wettbewerbsposition auswirkt. Aber im Moment, so der CIO, ist es ein gutes Ergebnis, die Unterstützung des Vorstands zu haben.

    Die Quintessenz

    Transparenz, Kontext und Storytelling tragen dazu bei, die Cybersicherheitsstrategie für Vorstandsmitglieder mit begrenzter Erfahrung im Bereich Cybersicherheit zu entmystifizieren. Regelmäßige Berichte und offene Diskussionen, bei denen auch Zeit für Fragen und Antworten bleibt, tragen dazu bei, Vertrauen zum Vorstand aufzubauen und eine angemessene Finanzierung der Cybersicherheitsstrategie sicherzustellen.

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang