Zwischen Top-Management und Cybersicherheits-Verantwortlichen in Unternehmen klafft eine potentiell riskante Kommunikationslücke - trotz breiter Einigkeit über die steigende Bedeutung von Cybersicherheit. Das zeigt die heute von Fti Consulting veröffentlichte Studie CISO Redefined – Navigating C-Suite Perceptions & Expectations.
Ein wichtiger Risikofaktor soll dabei fehlende Kommunikation sein. In Führungsetagen geht mehr als jeder dritte Befragte davon aus, dass Cybersicherheits-Verantwortliche, die Chief Information Security Officer (CISO), ihr Top-Management über potenzielle Schwachstellen nur zögerlich informieren.
CISOs werden den Anforderungen nicht gerecht?
Angesichts einer sich rasch entwickelnden Risikolandschaft, neuer gesetzlicher Vorschriften und erhöhter öffentlicher Aufmerksamkeit investieren Top-Manager vermehrt in Cybersicherheit. Zugleich sind viele aber der Meinung, dass ihre CISOs wichtigen, sicherheitsrelevanten Kommunikationsanforderungen nicht gerecht werden.
„Keine Frage, Top-Management und CISOs sind sich der Bedeutung von Cybersicherheitsrisiken bewusst“, sagt Meredith Griffanti, Global Head of Cybersecurity & Data Privacy Communications bei Fti Consulting. „Dennoch müssen Unternehmen noch mehr tun, damit Manager und CISOs auch die gleiche Sprache sprechen.“
Im Rahmen der CISO-Studie wurden knapp 800 C-Level-Manager aus neun Ländern und sieben Industrien befragt. Der Studie zufolge wünschen sich nahezu die Hälfte (45 Prozent) der befragten deutschen Führungskräfte von ihren CISOs die Fähigkeit, Fachjargon in verständliche Sprache zu übersetzen. Die Risiko-Dimension verdeutlicht ein weiteres Ergebnis der Studie: Darin gaben nur 2 Prozent der befragten deutschen CISOs an, dass ihre Unternehmen in den vergangenen zwölf Monaten keinen Cyberangriff erlebt hatten.
Den Kreislauf durchbrechen
„Sicherheit ist das gemeinsame Ziel von CISOs und Top-Management. Doch unsere Studie zeigt, dass sie häufig aneinander vorbei kommunizieren“, sagt Hans-Peter Fischer, Senior Managing Director und Leiter des Bereichs Cyber Security bei Fti in Deutschland. Schließlich spricht der CISO einen Fachjargon, den die Führungsebene und der Vorstand oft nicht verstehen.
So entsteht leicht ein endloser Kreislauf, in dem der CISO versucht, die Dinge einfacher - oder besser - darzustellen, als sie tatsächlich sind. „Das wiederum kann dazu führen, dass zum einen CISOs ihr Management von gewissen Investitionen nicht oder nur schwer überzeugen können. Und zum anderen der Vorstand kein genaues Bild hat, wo das Unternehmen am anfälligsten ist,“ so Hans-Peter Fischer weiter.
Die Schulung der Präsentations- und Kommunikationsfähigkeiten von CISOs ist somit von entscheidender Bedeutung für ein gemeinsames Verständnis und die richtige Priorisierung von Cybersicherheitsthemen im Unternehmen.
Cyber-Security in die Unternehmenskultur einbinden
Neben einem besseren Verständnis wünschen sich deutsche Vorstandsvertreter aber auch eine bessere Verankerung des Themas in der Unternehmenskultur, um Risiken im Bereich Informations- und Cybersicherheit zu reduzieren. So sehen 28 Prozent der Befragten in Deutschland Trainingsbedarf zur Frage, wie eine proaktive und adaptive Cybersicherheits-Kultur geschaffen werden kann.
Die befragten deutschen Unternehmen besorgt am meisten das unzureichende Verständnis von Informationssicherheits- und Cybersicherheitsrisiken der Mitarbeiter (45 Prozent). Die Schwierigkeit, die richtigen Talente im Bereich Cybersicherheit und Datenschutz zu finden (41 Prozent) rangiert auf Rang 2 der Sorgen-Skala.
Der Studie zufolge sind 94 prozent der befragten Top-Manager der Meinung, dass das Thema Cybersicherheit in den letzten 12 Monaten an Bedeutung gewonnen hat. Bei der Mehrheit genießt Cybersicherheit eine hohe Priorität. Das Top-Management stellt finanzielle Mittel bereit, um dieser neuen Realität Rechnung zu tragen. Durchschnittlich wollen sie Cybersicherheitsbudgets in den kommenden ein bis zwei Jahren um etwa ein Viertel (23 Prozent) und in den nächsten drei bis fünf Jahren um mehr als ein Drittel (36 Prozent) erhöhen.
Die zentralen Ergebnisse der „CISO Redefined“-Reihe:
Bemerkenswerte 66 Prozent der CISOs sind der Meinung, dass die oberste Führungsebene Schwierigkeiten hat, ihre Rolle innerhalb des Unternehmens vollständig zu verstehen. 31 Prozent der C-Level-Führungskräfte wiederum haben Schwierigkeiten, den konkreten Nutzen von Cyber-Investitionen nachzuvollziehen.
Während 82Prozent der CISOs ein Bedürfnis verspüren, die Sachlage gegenüber dem Vorstand besser darzustellen, glauben 31 Prozent der Top-Manager, dass ihre CISOs ein positiveres Bild zeichnen, als es der Wirklichkeit entspricht. 30 Prozent denken, dass die CISOs sich nur zögerlich über Sicherheitsbedenken äußern.
Was interne Abstimmungen betrifft, bestätigen 58 Prozent der CISOs, dass es ihnen schwer fällt, den Fachjargon für die Führungsebene verständlich zu übersetzen. 28 Prozent der Top-Führungskräfte sind der Studie zufolge zugleich der Meinung, dass es ihre CISO vor Herausforderungen stellt, technische Begriffe in betriebswirtschaftliche Begriffe zu übersetzen. 30 Prozent berichten von diesem Problem, wenn CISOs Cyber-Risiken in finanziellen und materiellen Kategorien verständlich machen sollen.
98 Prozent der befragten Top-Manager sprechen sich dafür aus, mehr Mittel für Kommunikations- und Präsentationstrainings für CISOs bereitzustellen, wobei fast die Hälfte diesen Bedarf als dringend bezeichnet.
Kommunikation: Eine Notwendigkeit zum Schutz
„Klare, offene Kommunikation im Führungskreis ist ein Muss für jedes Unternehmen, um die gestiegenen Risiken im Bereich der Cybersicherheit angemessen zu bewerten und sich dagegen zu schützen,“ sagt Oliver Müller, Senior Managing Director und Leiter des Bereichs Krisen-, Litigation- und Cybersicherheitskommunikation bei Fti Deutschland.
„Wenn Führungskräfte keinen Einblick in die Bedrohungen haben, mit denen sie konfrontiert sind, verpassen Unternehmen die Möglichkeit, die richtigen Ressourcen einzusetzen, um ihre Widerstandsfähigkeit und Abwehrbereitschaft zu maximieren.“