Priorisierung der Beziehung zwischen CISOs und dem Vorstand

"Hören ist nicht dasselbe wie Zuhören", heißt es im Global Security Outlook 2023 des Weltwirtschaftsforums (WEF). "Die Bedeutung von Cyber-Risiken ist in den Führungsetagen und Vorstandsetagen durchaus angekommen. Ob Cyber-Leader und Wirtschaftsführer einander gut genug verstehen, um diese Herausforderung zu meistern, ist hingegen eine offene Frage."[1] Diese Eröffnungssalve fasst den heutigen Stand der Dinge in den CISO-Vorständen zusammen.

Auch die Mimecast-Umfrage Behind the Screens: The Board's Evolving Perceptions of Cyber Risk stellt fest, dass die Beziehungen zwischen CISO und Vorstand in den letzten Jahren zwar erheblich, aber nicht vollständig verbessert wurden. Die inzwischen weit verbreitete Ansicht, dass Cyberrisiken ein vorrangiges Geschäftsrisiko darstellen, führt zu einem verstärkten und besseren Dialog zwischen den Verantwortlichen für Cybersicherheit und den Führungskräften der Wirtschaft.

Viele Faktoren führen dazu, dass sich CISOs und Vorstände näher kommen. Die kostspieligen Cyberangriffe gehen weiter. Die damit verbundenen regulatorischen Risiken, ein Bereich, dem Vorstandsmitglieder in der Regel Priorität einräumen, nehmen weltweit zu. Dies gilt auch für die USA, wo die Börsenaufsichtsbehörde Securities and Exchange Commission (SEC) in Kürze routinemäßige Berichte über die Rolle des Vorstands bei der Überwachung der Cybersicherheit verlangen wird.[2] Die National Association of Corporate Directors (NACD) hat in diesem Jahr die Vorstände dazu aufgerufen, "die Berücksichtigung von Cyber-Risiken bei wichtigen operativen und strategischen Entscheidungen fest zu verankern".[3]

Mit Blick auf die Zukunft heißt es im WEF-Bericht: "Die Stärkung der Cyber-Resilienz beginnt mit der Verbesserung der Kommunikation zwischen Cyber- und Unternehmensführern." In dieser Hinsicht ist die von Mimecast durchgeführte Umfrage unter den beiden Gruppen aufschlussreich. In Interviews mit 78 Führungskräften in 12 Ländern geben die Befragten in anonymer Form eine ehrliche Einschätzung darüber ab, wie sie sich in Richtung einer gegenseitig unterstützenden Beziehung zwischen CISO und Vorstand entwickeln.

Die Integration von Cyber- und Unternehmensrisikomanagement

Sowohl CISOs als auch Unternehmensleiter sehen eine bessere Integration von Cyber- und Geschäftsstrategie. Der CIO eines Finanzdienstleistungsunternehmens in Singapur spiegelt die Meinung vieler Teilnehmer der Mimecast-Umfrage wider: "Beide Gruppen von Führungskräften koordinieren sich und arbeiten auf das Erreichen nachhaltiger Geschäftsziele hin." Wie ein CISO im niederländischen Finanzdienstleistungssektor es ausdrückt: "In der Vergangenheit haben unsere technischen und geschäftlichen Führungskräfte nicht gut miteinander kommuniziert, und wir hatten ein mangelndes Verständnis. Jetzt sind wir, Gott sei Dank, in einer viel besseren Verfassung.

In der Praxis ist eine solche Integration in vielen Unternehmen jedoch noch in Arbeit. Führungskräfte aus dem Cyberspace und der Wirtschaft sind bestrebt, diese Entwicklung weiter voranzutreiben, wie die folgenden Kommentare aus der Mimecast-Umfrage zeigen:

• "Vorstandsmitglieder sollten Cybersicherheit und -resilienz in die Entwicklung der Geschäftsstrategie des Unternehmens einbeziehen", empfiehlt der CTO eines südafrikanischen Unterhaltungsunternehmens.
• Der COO eines saudischen Gesundheitsunternehmens beklagt, dass es zu viel Zeit und Mühe kostet, auf Vorstandsebene Genehmigungen für Investitionen in Cybersicherheitsprojekte einzuholen, weil der Vorstand nur ein begrenztes Verständnis hat und dem Thema Cybersecurity nicht genügend strategisches Gewicht beimisst.
• Der CTO eines deutschen Unterhaltungsunternehmens spricht von Spannungen zwischen der Priorität der Sicherheit und der Steigerung des Gewinns und beschreibt einen schwierigen Kampf: "Auch wenn der Vorstand die Ernsthaftigkeit versteht, ist er manchmal nicht in der Lage, Schritte zugunsten der Cyber-Abteilung zu unternehmen."
• Ein CISO aus der Gesundheitsbranche in Singapur betont die Notwendigkeit fundierterer Diskussionen: "Wann immer eine Diskussion im Vorstand über Cybersicherheit stattfindet, sollten die Direktoren über die Quantifizierung der finanziellen Gefährdung durch Cyberrisiken sprechen, um Entscheidungen darüber zu treffen, welche Bedrohungen zuerst angegangen werden müssen und wie hoch die erforderlichen Investitionen sind."
• Und der CFO eines südafrikanischen Finanzdienstleistungsunternehmens beklagt sich über den Verbesserungsbedarf bei den CISOs: "Manchmal heben sie nur die erledigten Aufgaben hervor und verbergen die Probleme."

CISO-Vorstandslücken schließen

Der WEF-Bericht beziffert die zunehmende Häufigkeit strukturierter Interaktionen zwischen Cyber- und Unternehmensführern: 56 % der Sicherheitsverantwortlichen treffen sich jetzt monatlich oder öfter mit ihrem Vorstand. "Dies führt zu einer raschen Verringerung der Wahrnehmungslücke im Bereich der Cybersicherheit", heißt es in dem Bericht. Die WEF-, NACD- und Mimecast-Berichte bieten zusammengenommen einige gezielte Schritte, um die Beziehung zwischen CISO und Vorstand zu stärken:

• Verwaltungsräte sollten Cyberrisiken zu einem wiederkehrenden Tagesordnungspunkt auf ihren Sitzungen machen und Cyberrisiken in die operative und strategische Entscheidungsfindung einbeziehen.
• CISOs sollten Cyber-Risiken messen, bewerten und dem Vorstand in der Sprache der Wirtschaft berichten . "Wir haben viel Zeit in die Kommunikation investiert und gelernt, Cybersecurity-Informationen in die Geschäftssprache des Vorstands zu übersetzen", sagt , der CIO einer globalen Anwaltskanzlei. "Es gibt viele Begriffe aus dem Bereich der Cybersicherheit, für die sie sich einfach nicht interessieren - und auch nicht interessieren sollten. Der CIO kommuniziert also über das Thema Cyber in Begriffen, die für den Vorstand von Bedeutung sind: Geschäftsbetrieb und Geschäftsrisiko.
• Cyber- und Unternehmensleiter sollten die Cyber-Bedrohungen kennen, die erhebliche geschäftliche, betriebliche und finanzielle Schäden verursachen können, um effektive Strategien zur Risikominderung zu entwickeln. 
• Vorstände und Management sollten sich auf die Risikobereitschaft ihres Unternehmens einigen.
• Aufsichtsräte sollten von der Unternehmensleitung erwarten, dass sie Cyberrisiken in das Risikomanagementprogramm des Unternehmens einbezieht.
• Neue Vorstandsmitglieder sollten einen Cyber-Onboarding-Prozess durchlaufen, der mit einem Treffen mit dem CISO des Unternehmens beginnt und sie auch sonst mit dem Thema Cybersicherheit vertraut macht.
• Cyber- und Unternehmensleiter sollten sich regelmäßig treffen, um Cybersicherheitssysteme und -kontrollen zu überprüfen. Der CISO eines Finanzdienstleistungsunternehmenshat beispielsweise eine Roadmap entwickelt, die die Cyber-Prioritäten des Unternehmens in drei Kategorien unterteilt: gesetzliche Vorschriften, Kundenbelange und interne Sicherheitsbewertungen. Gemeinsam bewerten der CISO und der CIO die Leistung des Unternehmens in jedem Bereich und präsentieren dem Vorstand die Ergebnisse in Form eines Diagramms.

"Die besten Führungskräfte verfügen über umfassende Informationen und hören allen Beteiligten zu, verstehen ihre Rolle und ihren Einfluss und verfügen über ein gutes Urteilsvermögen, um optimale Ergebnisse zu erzielen", fasst der WEF-Bericht zusammen. "Diese Eigenschaften sind im Bereich der Cybersicherheit nicht weniger notwendig als in jedem anderen Bereich".

Die Quintessenz

Die Vorstände der Unternehmen schenken der Cybersicherheit endlich Aufmerksamkeit, aber sie haben noch viele andere wichtige Prioritäten, wie z. B. wirtschaftliche Anspannungen, Klimawandel und geopolitische Unsicherheit. Ihr verstärktes Engagement führt also nicht automatisch zu mehr Geld oder Nutzen für die Cyberabwehr. Sicherheitsverantwortliche müssen die Risikoprofile ihrer Unternehmen verstehen, sie gut kommunizieren und - vor allem - Cyberrisiken als Geschäftsrisiken erklären. Lesen Sie mehr über die Cybersicherheitsagenda von Aufsichtsräten im Mimecast-Bericht: Behind the Screens: Die sich entwickelnde Wahrnehmung von Cyberrisiken durch den Vorstand.

[1] "Global Security Outlook 2023," Weltwirtschaftsforum

[2] "SEC Proposes Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies," U.S. Securities and Exchange Commission

[3] "2023 Director's Handbook on Cyber-Risk Oversight," National Association of Corporate Directors