Die Sprache des Vorstands zu sprechen, schafft Cyber-Unterstützung

Als der CIO einer internationalen Anwaltskanzlei mit Sitz in Sydney, Australien, vor fast sechs Jahren seine Stelle antrat, war der Vorstand mit der Cybersicherheit als Teilbereich der allgemeinen IT-Strategie der Kanzlei einverstanden. "Sie wollten sicherstellen, dass das Thema auf der Agenda von my steht, aber es war kein Bereich, in den sie sehr tief eindringen wollten", erklärte der CIO. 

Spulen wir bis heute vor: Die Cybersicherheit hat eine eigene Strategie, die dem CIO unterstellt ist, und eine eigene Berichtsfunktion im Unterausschuss für Geschäftsrisiken des Vorstands. Darüber hinaus möchte der Vorstand "bei jeder einzelnen Sitzung etwas über Cybersicherheit hören", so der CIO. Im vergangenen Jahr wurde der CIO zum ständigen Mitglied des Risikoausschusses ernannt, um seine Sicht der Geschäftsrisiken einzubringen.

Dieser Wandel, so der CIO, ist nicht nur auf den Druck des Marktes und die unablässigen Meldungen über Sicherheitsverletzungen zurückzuführen, sondern auch auf die kontinuierliche Schulung der Vorstandsmitglieder in Sachen Cybersicherheit. 

Der Vorstand der Anwaltskanzlei hat nun verstanden, dass Cyberrisiken ein kritischer Aspekt des Geschäftsrisikos sind, dessen Minderung er federführend beaufsichtigen muss - ein Trend, der in einer bevorstehenden Mimecast-Umfrage unter Unternehmens- und Sicherheitsleitern über die Wahrnehmung von Cyberrisiken auf Vorstands- und Aufsichtsratsebene unterstrichen wird. Die Untersuchung ergab, dass die Vorstände zunehmend erkennen, dass jede Schwachstelle in der Sicherheitsarchitektur ein Unternehmen in Gefahr bringen kann. Außerdem beginnen die Vorstände, grundlegende Geschäftsentscheidungen im Zusammenhang mit dem Cyber-Risikomanagement zu betrachten.

Ihr Publikum kennen

Das natürliche Talent des CIO der Anwaltskanzlei liegt in der Softwareentwicklung, aber im Laufe der Jahre entwickelte er eine starke Begabung für Kommunikation und ein Verständnis dafür, wie wichtig es ist, sein Publikum zu kennen. Das ist besonders wertvoll, wenn man mit Vorstandsmitgliedern mit unterschiedlichen Erfahrungen im Bereich der Cybersicherheit zusammenarbeitet, von denen die meisten Partner in der Firma sind. 

"Wir haben viel Zeit in die Kommunikation investiert und gelernt, Cybersecurity-Informationen in die Geschäftssprache des Vorstands zu übersetzen", so der CIO. "Es gibt viele Begriffe aus dem Bereich der Cybersicherheit, für die sie sich einfach nicht interessieren - und auch nicht interessieren sollten. Was sie interessiert, sind Geschäftsabläufe und Geschäftsrisiken. "Ich sage nicht einfach: 'Hier ist eine neue technische Lösung, die wir brauchen, weil sie dieses technische Risiko verringert'", so der CIO. "Die Sprache des Vorstands zu sprechen, war absolut entscheidend.

Wenn große Sicherheitsverletzungen in den Schlagzeilen sind, geht der CIO proaktiv gegen sie vor. "Ich schätze ein, ob unsere Führungskräfte oder der Vorstand davon wissen wollen. Dann erkläre ich, was wir bereits tun, um das jeweilige Risiko in unserem Umfeld zu mindern. Das schafft Vertrauen und zeigt, dass wir proaktiv sind.

Um sich zu vergewissern, dass er kommunikationstechnisch auf dem richtigen Weg war, besuchte der CIO verschiedene Vorstandsmitglieder, um festzustellen, wie seine Aktualisierungen ankamen. "Ich frage sie: 'Wie ist das gelandet?' oder 'Kam das gut an?' oder 'Soll ich irgendetwas anders machen?', um sicherzugehen, dass ich ihnen das gebe, was sie brauchen, und nicht das, was ich glaube, dass sie brauchen."

In vielen Fällen ist vieles von dem, was die Cybersicherheitsfunktion tut, für den Rest des Unternehmens unsichtbar. Es gibt jedoch Situationen, in denen die Bewältigung eines aufkommenden Cyber-Risikos bedeutet, den Status quo auf den Kopf zu stellen. In diesen Fällen, die häufiger vorkommen, erläutert der CIO dem Vorstand seine Beweggründe. "Es gibt eine ganze Reihe von Dingen, die wir jetzt tun, die möglicherweise zu Reibungsverlusten führen oder eine Änderung der Prozesse erfordern", so der CIO. "Wir müssen also sicherstellen, dass wir den Vorstand mit einbeziehen und ihm helfen, zu verstehen, wie das Risiko reduziert wird.

Der CIO leitet eine neue Data-Governance-Initiative, von der er erwartet, dass sie sich auf den laufenden Betrieb auswirken wird. "Die Position des Unternehmens war es, alle Daten zu behalten, die wir bekommen konnten", erklärt der CIO. Doch je mehr Daten das Unternehmen anhäuft, desto mehr Daten können gegen das Unternehmen verwendet werden. Das Ziel des CIO ist es, Daten, die nicht mehr aktiv genutzt werden, loszuwerden. "Es wird weiterhin Fälle geben, in denen Partner oder Kunden wünschen, dass wir auf Fälle von vor 20 Jahren zurückgreifen. Wir führen also diese Gespräche über die damit verbundenen Kompromisse.

Vertrauen schaffen, aber dem Vorstand die Möglichkeit geben, zu überprüfen

Die Berichte des CIO an den Vorstand waren von entscheidender Bedeutung, um die Unterstützung für die Cybersicherheitsstrategie und -investitionen sicherzustellen. Das Gleiche gilt für die Einladungen des CIO an die Vorstandsmitglieder, sich mit ihren Anliegen an ihn zu wenden. "Alles dreht sich um die Frage, wie ich das Vertrauen des Vorstands gewinnen und ihm gleichzeitig genügend Daten zur Verfügung stellen kann, um zu überprüfen, ob er mir vertrauen kann", so der CIO. "Ich möchte ihnen alles zeigen, was sie wissen müssen. Sie können mich alles fragen."

Das öffnet die Tür zu einem ständigen Dialog darüber, worüber die Vorstandsmitglieder nachdenken und wie das CIO-Team diese Fragen angeht. "Wir bauen dieses Vertrauen auf, aber wir zeigen ihnen auch, dass wir diese Kontrollen eingeführt haben und warum ich sie für gut halte. Das bringt sie dazu, darüber nachzudenken, welche anderen Themen sie vielleicht auch unter dem Aspekt der Cybersicherheit verstehen wollen." 

Letztes Jahr sorgte ein Vorfall von Insider-Betrug in den Nachrichten dafür, dass sich einige Vorstandsmitglieder Gedanken über böswillige Bedrohungen durch Insider auf Daten machten. "Sie wollten diese spezielle Art von Risiko genauer unter die Lupe nehmen und wirklich verstehen, wie es zustande kommt und was wir tun, um dieses Risiko zu verwalten", erklärte der CIO. Der CIO arbeitete mit der Personal- und Finanzabteilung zusammen, um die verschiedenen Kontrollmechanismen zu erläutern, die das Unternehmen einsetzt, um Insider-Bedrohungen zu bewältigen und verdächtige Aktivitäten zu erkennen. "Es gab ein aktives Gespräch mit dem Vorstand, als wir die verschiedenen Wege untersuchten, die ein böswilliger Insider beschreiten könnte, sei es mit dem Ziel eines Diebstahls oder eines technischen Angriffs. Wir konnten ihnen die Gewissheit geben, dass wir nicht zum ersten Mal über diese Risiken nachgedacht haben und dass wir bereits über ein ausgereiftes Risikoprogramm verfügen, um mit diesen Bedrohungen umzugehen."

Management von Drittparteirisiken

Cyber-Risiken, denen das Unternehmen durch Lieferanten ausgesetzt ist, sind ein weiteres wichtiges Thema auf Vorstandsebene. In der Ära des Cloud Computing "können die Leute einfach einen Dienst von der Stange kaufen und diesen Anbietern alle Daten geben, die sie wollen", so der CIO.

Kürzlich wurde bei einem der Zulieferer des Unternehmens eine Sicherheitslücke festgestellt. "Wir haben gespürt, wie sich das auf uns und unsere Kunden auswirken kann. Das hat den Blick dafür geschärft, was wir dort noch tun können." Die Vorstandsmitglieder wollten vom CIO die Gewissheit haben, dass das Unternehmen über ausreichende Sicherheitsvorkehrungen verfügt, um das Risiko von Drittanbietern zu mindern, und der CIO suchte die Unterstützung des Vorstands, um diese Sicherheitsvorkehrungen durch neue Arbeitsabläufe für die Aufnahme von Lieferanten zu verbessern. "Es geht darum, zu verstehen, welche Arten von Daten unsere Drittanbieter haben und wie sie diese schützen, um sicherzustellen, dass wir damit zufrieden sind, wie sie diese Daten im Namen von uns ꟷ und unseren Kunden ꟷ verwalten und sichern", so der CIO. 

Da das Risiko einer Datenschutzverletzung jedoch immer gegeben ist, überprüft der CIO auch die unternehmenseigenen Reaktionsmöglichkeiten auf Vorfälle. "Unter der Annahme, dass eine Sicherheitsverletzung auftritt, führen wir Simulationen durch, was dies bedeutet und wie wir darauf reagieren", so der CIO. "Die Prozesse, die Technologie und das Personal, das uns dabei helfen soll, waren Teil unserer jüngsten Gespräche mit dem Vorstand.

Cybersicherheit als Aufgabe für alle

Technologie- und Sicherheitsverantwortliche kennen die Grenzen von Sicherheitstools beim Schutz ihrer Unternehmen vor Cyber-Bedrohungen genau. Die überwiegende Mehrheit der Datenschutzverletzungen geht auf menschliches Versagen zurück. Dennoch gibt es in der Anwaltskanzlei, wie in den meisten Unternehmen, "immer noch den Unterton 'Kann die Sicherheit das nicht einfach für mich erledigen'", so der CIO. "Das ist verständlich, denn es gibt viele Kontrollen, die nur wir durchführen können.

Der Vorstand des Unternehmens erkennt jedoch den Einfluss, den eine einzelne Person auf die Sicherheitslage des Unternehmens haben kann, und unterstützt die Bemühungen des CIOs um Sicherheitsbewusstsein und Schulungen. Der CIO verschickt monatlich einen Newsletter an das gesamte Unternehmen, in dem er auf neue oder besonders raffinierte Cyber-Methoden hinweist, die sein Team beobachtet. "Ich habe gute Rückmeldungen erhalten, dass es den Leuten hilft, die Arten von Angriffen und die möglichen Auswirkungen zu verstehen", sagte der CIO. 

Der Newsletter ergänzt die regelmäßigen obligatorischen Schulungsmodule, Phishing-Simulationstests und technische Konsequenzen für diejenigen, die nicht teilnehmen. "Wir haben einen weiten Weg zurückgelegt, seit wir vor fünf Jahren einmal im Jahr eine Cybersicherheitsschulung gemacht haben, die alle gehasst haben. Jetzt führen wir jeden Monat Cyber-Schulungen in der Firma durch, manchmal sogar mehrmals im Monat. Wir machen weiter Druck und sagen, dass wir noch mehr tun können. Und der Vorstand stimmt dem zu, so dass wir unser Bildungsprogramm ständig weiterentwickeln.

Die Quintessenz

Der Aufbau einer konstruktiven Beziehung zum Vorstand braucht Zeit. Regelmäßige Aktualisierungen auf der Grundlage von Geschäftsabläufen und Risikomanagement sowie ein ständiger Dialog mit Vorstandsmitgliedern über die neuesten Bedrohungsvektoren und Sicherheitsstrategien helfen ihnen, Cyberrisiken besser zu verstehen. Mit der Zeit fördern diese Bemühungen das Vertrauen der Vorstandsmitglieder, dass das Cybersicherheitsteam die richtigen Maßnahmen ergreift, und geben dem Vorstand die Möglichkeit zu überprüfen, ob die richtigen Schutzmaßnahmen getroffen wurden.