CISOs und die Risiken von Cyberangriffen werden in Führungsetagen unterschätzt

In einer besonders stressigen Woche in den Anfangstagen der Pandemie suchte sich Gary Hayslip, Chief Information Security Officer bei SoftBank Vision Fund, eine Beschäftigung, um abschalten zu können: Zusammen mit seiner Frau machte er sich daran, aus mehr als 4.700 Legosteinen einen 1,10 Meter langen „imperialen Sternzerstörer“ zu bauen, wie man ihn aus den „Star-Wars“-Filmen kennt. „Das hat mich runtergebracht und es war sehr meditativ“, so Hayslip.

Und so etwas hätten viele CISOs mehr als nur nötig. 

Die vergangenen 18 Monate haben die Herausforderungen für Security-Verantwortliche von Unternehmen weiter verschärft, und viele von ihnen müssen nicht nur den Kampf gegen externe Bedrohungen bestehen, sondern auch noch an internen Fronten kämpfen. CISOs mussten von heute auf morgen den Umstieg auf Remote-Arbeit, einen drastischen Anstieg bei der Zahl der Cyberangriffe und eine höhere Arbeitsbelastung wegen des Personalnotstands beim Security-Personal bewältigen. Außerdem wurden ihnen neue Aufgaben, wie die Sicherstellung der Einhaltung von Datenschutzvorschriften, übergeholfen. Und als wäre das noch nicht genug, müssen sie sich auch noch um die von Angst und Unsicherheit geprägten Beziehungen zu den einzelnen Teilbereichen des Unternehmens kümmern. Eine neue EY-Umfrage unter CISOs in der ganzen Welt hat ergeben, dass diese Beziehungen noch nie so belastet waren wie heute.

„Angesichts der umfangreichen Veränderungen im Geschäftsbetrieb, die die Pandemie mit sich gebracht hat, und der unbarmherzigen Zunahme der Bedrohungen gibt es wohl niemanden im Unternehmen, der einen härteren Job hat als die oder der CISO“, so Manoj Bhatt, Head of Cybersecurity Advisory bei Telstra Purple, einer Technologie-Consulting-Firma, die dem größten australischen Telekommunikationsanbieter Telstra gehört. 

Verschärfend kommt hinzu, dass vielen Kollegen auf der Führungsetage das Verständnis für Sicherheitsrisiken und die Unausweichlichkeit von Cyberangriffen fehlt, meint Matthew Rosenquist, CISO beim kalifornischen Verschlüsselungstechnologie-Anbieter Eclipz und gleichzeitig jemand, der viel über die Herausforderungen für Security-Executives schreibt und redet.  

Das kann dazu führen, dass Cybersecurity-Führungskräfte keine Chance haben, den sprichwörtlichen Blumentopf zu gewinnen. „Wenn man seinen Job schlecht macht und es einem nicht gelingt, das Unternehmen vor Verlusten zu schützen, heißt es vom CEO: ‚Wofür haben wir Sie eigentlich?‘“, so Rosenquist. „Und wenn man seinen Job gut macht und es keine Verluste zu beklagen gibt, bekommt man von den anderen Führungskräften zu hören: ‚Es läuft doch alles. Wir brauchen Sie gar nicht.‘“ 

Für erfahrene CISOs und andere Security-Fachleute steht fest, dass eine bessere Kommunikation gegenüber anderen Führungskräften und Vorstandsmitgliedern sehr viel dazu beitragen kann, etwaige Spannungen in der Geschäftsführung zu beseitigen und den Druck zu mindern, der auf ihnen lastet. Sie schlagen verschiedene Strategien vor, um in diesen Kreisen Empathie und Verständnis zu erzeugen:

1. Realistische Erwartungen wecken und Führungskräfte mit Details versorgen 

Die meisten CISOs kennen die Bedrohungen, vor denen sie stehen, und wissen, was getan wird, um ihnen Einhalt zu gebieten. Es ist ihre Aufgabe, dafür zu sorgen, dass andere Führungskräfte über dieselben Kenntnisse verfügen. Wenn Führungskräfte wissen, dass Angriffe nicht vermeidbar sind, gleichzeitig aber Vertrauen in die Gegenmaßnahmen haben, ist die Gefahr geringer, dass sie sich überrumpelt fühlen.

„Überall wird ständig über Cyberangriffe geschrieben. Das macht es nötig, mit den Leuten darüber zu reden, was dieses Risiko für das eigene Unternehmen bedeutet und welche Systeme im Einsatz sind, um das Ganze in den entsprechenden Kontext zu setzen“, weiß Hayslip.  

Hayslip trifft sich bei SoftBank regelmäßig mit anderen Abteilungsleitern und befragt sie zu deren Geschäftszielen, dazu, welche kritischen Ressourcen besonders geschützt werden müssen, und was für Probleme durch die Umsetzung von Sicherheitsmaßnahmen bei der täglichen Arbeit entstehen. Er sieht seine Rolle nicht einfach nur als technische Führungskraft, sondern als „Business-Executive für Risikomanagement“, und er fügt hinzu: „Es bringt nichts, nur in seiner Security-Blase zu sitzen und nur sein eigenes Fachgebiet zu beherrschen“. 

2. Sein Publikum kennenlernen, um effektiv kommunizieren zu können 

Als oberster Security-Executive übernimmt der CISO eine wichtige Mittlerrolle zwischen den Business-Abteilungen und den InfoSec-Teams. Für eine effektive Kommunikation muss er deren Prioritäten kennen und deren Sprache sprechen – mit dem komplizierten Cybersecurity- und IT-Fachjargon kommt er nicht weit. 

Laut einer neuen Studie von ClubCISO, einer in London ansässigen Organisation, der 500 Cybersecurity-Führungskräfte aus der ganzen Welt angehören, behauptet nur ungefähr jeder dritte CISO von sich, gute Kommunikationsfähigkeiten zu haben. Und nur eine Minderheit der CISOs gibt an, über ausreichend Business-Wissen zu verfügen – dabei ist laut der Studie Business-Wissen wesentlich wichtiger als technisches Wissen. 

Darum ist es so wichtig, das interne Publikum zu kennen. „Im Gespräch mit HR-Leuten könnte ich über die Vertraulichkeit datenschutzrelevanter Mitarbeiterdaten sprechen, während Finanzteams mehr an Fragen der Integrität ihrer Datensätze und Prozesse interessiert sind. Und Produktlinien-Executives möchten wissen, wie sich Sicherheitsmaßnahmen auf die Rentabilität und die Produktpläne auswirken“, so Rosenquist. 

3. Messen, was hilft, wahrgenommen zu werden 

Der wichtigste Kollege des CISO in der Führungsetage (nach dem CEO) ist der CFO, also die Person, die für die Geldverteilung zuständig ist. Eine positive Beziehung zum CFO kann dabei helfen, an zusätzliche Ressourcen zu gelangen, um die Arbeitsbelastung zu reduzieren, und andere Security-Initiativen auf den Weg zu bringen. 

Bei der Arbeit mit Finanzverantwortlichen (wie auch mit anderen Business-Chefs) zählen vor allem Daten. Laut Khalid Kark, CIO Programm Research Leader bei Deloitte, unterfüttern einige CISOs ihre Wünsche mit Daten, die zeigen, wie viele Bedrohungen in den letzten 12 oder 18 Monaten abgewendet wurden, welche Verteidigungsmaßnahmen ergriffen wurden und worauf es die Angreifer abgesehen hatten.

Kark berichtet von einem CISO aus dem Bereich Finanzdienstleistungen, der für jeden seiner Geschäftsführungskollegen und andere Business-Manager ein individuell zugeschnittenes Cyberrisiko-Dashboard erstellt hat, mit denen diese Personen regelmäßig verschiedene Security-Metriken im Blick behalten können.

„Für die Cybersecurity gilt: Was gemessen wird, wird wahrgenommen“, so Kark. „Wer definierte Metriken vorlegen kann, hat schon halb gewonnen.“

Silberstreifen am Horizont

Die ClubCISO-Studie gibt für CISOs einen relativ positiven Ausblick auf das Jahr 2022: 86 % der CISOs gaben an, dass ihre Unternehmen Security-Fragen jetzt als so wichtig einschätzen wie sie selbst. Vor der Pandemie lag der Wert noch bei 65 %. Und fast 70 % der Teilnehmer attestierten ihrem Unternehmen eine positive Security-Kultur; 2020 waren es nur 45 %.

Mittlerweile beschreiten einzelne CISOs eigene Wege im Kampf gegen den Stress. Rosenquist findet Entspannung bei Motorradtouren am Fuß der Sierra Nevada in der Nähe seines Hauses im Umland von Sacramento. „Das ist etwas komplett Vorhersehbares, über das ich die volle Kontrolle habe, und damit etwas gänzlich anderes als die Cybersecurity“, so Rosenquist.   

Hayslip hat sich mit seiner Frau eine Hawaii-Kreuzfahrt gegönnt, ihr erster Flugurlaub seit Jahren. Er sagt: „Wer in diesem Bereich arbeitet, braucht etwas, wo er abschalten kann.“