Wenn Sicherheit die Effizienz ermöglicht

Die Bedeutung der CISO-Rolle für das Kerngeschäft wächst mit fortschreitender Digitalisierung und steigenden Anforderungen an Sicherheit und Datenschutz immer weiter. Zu Recht! CISOs zahlen direkt auf die digitale Effizienz und damit den Erfolg ihrer Organisation ein. Ihre Wahrnehmung und der Umgang mit ihnen sind oft noch anders. Aber: Das Image dreht und bewegt sich.

CISOs übernehmen die Verantwortung dafür, Informationen und Technologien entlang der Wertschöpfungsketten angemessen zu schützen. Sie tragen dazu bei, Risiken für den operativen Geschäftsbetrieb, Risiken der Nicht-Konformität zu Vorgaben, Gesetzen und Marktstandards und – nicht zuletzt – Risiken für das Image des Unternehmens zu minimieren.

Risikoorientierung: Hart am Geschäftsmodell

Hierfür entwickeln sie über allen Ebenen der Organisation hinweg zum Geschäftsmodell, Gefährdungsgrad und Risikoappetit passende Strategien und Maßnahmen, um ein adäquates Schutzniveau zu erreichen und zu halten. Der CISO-Aktionsradius erweitert sich aber über die traditionellen Disziplinen IT und Sicherheit hinaus. CISOs als Partner auf Augenhöhe besitzen hohe Sensibilität für die Ziele der Unternehmensführung und wägen diese gegen Anforderungen, Standards und Maßnahmen ab – und das konsequent ausgerichtet an der Geschäftspolitik.

Wenn dies gelingt, sind CISOs meist eng an die Geschäftsführung angebunden. Oft ist es üblich, die CISO-(ISO)-Funktion an die/den CIO oder die/den CFO zu binden. Nach der Logik der drei Verteidigungslinien sollte ein/e CISO direkt an die/den CEO und den Vorstand berichten – oder mindestens über eine „dottet line“ mit diesen Instanzen in Verbindung stehen.

Risikosteuerung erfordert Handlungsfähigkeit

Die CISO-Rolle ermöglicht Geschäftschancen, denn sie ist wesentlicher Teil der Antwort auf Risiken und Bedrohungen, die mit der fortschreitenden Digitalisierung einhergehen. Cyberattacken und Datenpannen haben in den letzten Jahren exponentiell zugenommen. Sie sind fast schon an der Tagesordnung. Leider haben sich das Bewusstsein für Gefährdungen und die Widerstandsfähigkeit nicht in gleicher Weise entwickelt. Es gilt hier, die passende Brücke zwischen Geschäft und Risiko zu schlagen.

Die Sicherheitsstrategie für eine angemessene Risikoposition erfordert proaktive Entwicklungsarbeit und ein integriertes Vorgehen mehrere Bereiche und Rollen im Unternehmen. Die Realität ist leider zumeist reaktives Handeln. Es mangelt an definierten Gefährdungsszenarien für einzelne Geschäftsbereiche und an einer integrierten Sicht auf die Gesamtrisikoposition. Seien es beispielsweise unklare Meldeketten und Zuständigkeiten für Ad-Hoc-Entscheidungen und Maßnahmen im „Cyber-Incident-Fall“ oder mehrfache Erfassung identischer Tatsachen als Einzelrisiken statt im „Verbund“, z.B. zu einer Lieferkette.

Die Risikoposition des Unternehmens umfasst die „digitalen Sicht“: IT, Information, Cyber Security, Datenschutz, Compliance, Governance bei agilen Projekten und mehr. Die Lageeinschätzung im Ernstfall sollte nicht von langwierigen und manuellen Auswertungen, Vergleichen und Abstimmungen abhängig gemacht werden. Cloudification kann helfen, bringt aber keine automatische Verbesserung der Prozesse und Governance. Die CISO-Funktion schafft hier Abhilfe durch einen angemessenen, ganzheitlichen Sicherheitsansatz.

Messbarkeit

Es gilt, den Wertbeitrag, den CISOs leisten, zu veranschaulichen. Ein Blick auf die Kosten reicht dazu nicht aus. Der Wert von Unternehmenssicherheit zeigt sich erst, wenn es darauf ankommt: Im Krisenfall, beim Data Breach. Der Output „Sicherheit“ besteht im Optimum darin, dass nichts passiert. Nicht in einem messbaren „Return on Investment“, sondern in der Absicherung der Wertschöpfung.

Die Erfahrungen aus großen Vorfällen zeigen: Präventive Investitionen in einen weitgehend vorfallsfreien Betrieb und Schutz des Images lohnen sich. Die Wiederherstellung von beidem kommt ein Unternehmen im Krisenfall teuer zu stehen. Was Vorfälle kosten können und wie der Wiederanlauf zu Buche schlägt, ist hinlänglich bekannt. Eine gute Notfallplanung sollte daher in der Risiko- und Cyberstrategie zum guten Ton gehören. Dies ist aber aus Kostensicht nur schwer zu vermitteln. Die Gesamtbepreisung der Risikoposition passt oft noch nicht zum traditionellen, kostenorientierten Verständnis von IT und Sicherheit. Denn der permanente, vorfallsunabhängige Beitrag zum Schutz von Unternehmenswerten bleibt faktisch unsichtbar. Vor dem Hintergrund, der Häufigkeit von Cyberangriffen und der Kosten, die eine erfolgreiche Attacke nach sich zieht, schlägt sich der CISO-Wertbeitrag jedoch allein schon in Form des unterbrechungsfreien Betriebs positiv in der Bilanz nieder.

Vom Enforcer zum Enabler

CISOs vereinen vermeintlich gegensätzliche Welten. Sie haben eine große Leidenschaft für Technologie und den Schutz von Unternehmenswerten, sie verstehen die Relevanz von Cyber-Bedrohungen für die ICT und den Wert von Daten bzw. Informationen. Sie machen es sich zur Aufgabe, auf Störungen und Krisen vorbereitet zu sein und Unterbrechungen des Geschäftsbetriebs abzuwenden. Diese starke Risikofokussierung trübt jedoch nicht ihren Blick für übergeordnete Ziele – das Kerngeschäft. Die Herausforderungen ihrer Tätigkeit sind damit analog zu denen anderer C-Level-Führungskräfte. CISOs müssen ein Gleichgewicht zwischen den vielen Anforderungen des Geschäfts sowie der Unternehmenssicherheit schaffen – und das vor dem Hintergrund bestmöglicher Zielerreichung und Wertschöpfung.

Das Betätigungsfeld der CISOs von morgen kann zusammengefasst in vier Bereiche unterteilt werden:

1. Security Implementation & Operations,
2. Leadership,
3. Business Enablement und
4. Resource Management.

Gegenwärtig konzentriert sich die CISO-Rolle allzu oft fast ausschließlich auf das operative Geschehen. CISOs genießen dadurch oft den Ruf, lediglich durchsetzende Instanz zu sein, Enforcer mit ausgeprägten Sicherungsbedürfnissen. Im Falle eines Cyber-Notfalls sind sie schnell im Rampenlicht, im normalen Betrieb sind sie weniger präsent. Im Hintergrund treiben sie die Digitalisierung, die Cloudification und die Agilisierung des Betriebs voran. Hierdurch werden die Bereiche Security und Compliance oft in einer Gatekeeper-Rolle gesehen, die den Weg hin zu dynamischen Geschäftsmodellen, Skalierung und Kosteneffekten erschwert.

Ist die Gewichtung der vier Bereiche dagegen gleichmäßiger verteilt, wird die operative Sicherung von Unternehmenswerten zur Grundlage für die Schaffung von Mehrwert. CISOs werden Enabler, deren technische Expertise kein Selbstzweck ist, sondern die Voraussetzung für unternehmerischen Erfolg. Dazu gehört, sich als CISO von „artverwandten“ Funktionen abzugrenzen. CTO vs. CIO.

Die richtige Balance

Um zum richtigen Gleichgewicht zwischen Sicherheitsbedürfnis und Geschäftsbewusstsein zu finden, müssen CISOs sich unter anderem folgende Fragen stellen:

• Do-Nothing-Vergleich: Wie groß ist das Risiko für das Unternehmen, wenn keine Kontroll- und Sicherungsmaßnahme etabliert sind / werden?
• Business Impact: Welchen Einfluss haben solche Maßnahmen auf die betrieblichen Einnahmen und Geschäftsmodelle? Welchen Risikoappetit beschließen wir, welches Ziel-Niveau an „Sicherheit“ und Schutz passt zum Risiko aus dem Geschäftsmodell? (Das bedeutet NICHT: „Wie viel Sicherheit können wir uns leisten?“)
• Kunden-Impact: Könnten verschärfte Maßnahmen mit dem Verlust von Kunden einhergehen?
• Risiko: Was sind die Kosten der Non-Compliance oder eines Cyber Incidents? Wie hoch sind die Risiken inkl. Kosten bei Verstößen?
• Innovationen: Muss das Unternehmen Innovationen oder Technologien einschränken oder gar gänzlich ablehnen, damit Kontrollmechanismen greifen? Fördert oder verlangsamt ein hohes Sicherheitsniveau die Bereitstellung neuer Technologien oder Innovationsprozesse im Unternehmen? Und in welchem Maße?
• Akzeptanz: Könnten ungeliebte Kontrollmaßnahmen in ihrer Umsetzung gehindert werden oder Anlass für unsichere Workarounds sein?
• Optionen: Gibt es alternative Sicherheitskonzepte, die weniger Reibung verursachen, ohne Maßnahmen zur Risikominderung einzuschränken?
• Make/Buy: Was muss und soll intern bleiben? Welche Security-Leistungen beziehen wir von außen – und von wem?
• Partner: Mit welchen Partnern vernetzen wir uns bewusst im täglichen Cyber War? Welche regulatorischen Erwartungen müssen wir wo (international) erfüllen?

Wertbeitrag durch Risikoadjustierung

Imageverluste, Schadensfälle mit Ausfall der Wertschöpfungsketten und Notfälle verursachen Kosten, die durch die Arbeit von CISOs erst gar nicht entstehen. Aber der Wertbeitrag von CISOs geht noch darüber hinaus. Durch ihre Arbeit werden innovative Geschäftsmodelle überhaupt erst möglich. Und sie zeigen Wege auf, um mit knappen Ressourcen risikoorientiert zu haushalten und damit auch mittel- wie langfristig einen Beitrag zu Kosteneinsparungen zu leisten. Zusätzlich bekommt die CISO-Basisarbeit dadurch Wert, dass sie neue Geschäftsfelder aufzeigt.

Werden CISOs als Enabler und nicht als Enforcer gesehen, als Partner und Begleiter der Geschäftsentwicklung, bestätigt sich in ihrer Arbeit im Idealfall eine leicht zu übersehene Wahrheit: dass gut gemanagte Cyber-Sicherheitsprogramme die Geschäftsziele nicht beeinträchtigen, sondern auf sie einzahlen und oft die Nachhaltigkeit darin erst ermöglichen.