Eine aktuelle internationale Studie des Cybersicherheitsspezialisten Barracuda Networks zeigt, dass es für Führungskräfte oft eine Herausforderung darstellt, Cyberrisiken zu verstehen. Etwas mehr als ein Drittel (35 Prozent) der kleineren Unternehmen, die für Studie (Link) befragt wurden, gibt an, dass Führungskräfte Cyberangriffe nicht als signifikantes Risiko ansehen – und ein Viertel der befragten Unternehmen ist der Meinung, dass Führungskräfte nicht adäquat über die Cyberbedrohungen, denen das Unternehmen ausgesetzt ist, auf dem Laufenden gehalten werden.
„Für Führungskräfte kann es schwierig sein, die Cyberrisiken, mit denen ihr Unternehmen konfrontiert ist, umfassend zu verstehen“, sagt Riaz Lakhani, CISO bei Barracuda Networks. „Dies ist kein Versagen auf Seite der Führungskräfte – es ist oftmals schlicht schwierig, sich für etwas zu interessieren oder sich um etwas zu kümmern, das man nicht versteht. Das bedeutet, dass es zur Aufgabe der CISOs wird, die entsprechenden Informationen verständlich und ansprechend zu präsentieren. CISOs müssen in der Lage sein, Stakeholder auf allen Ebenen innerhalb des Unternehmens abzuholen und sie dabei zu unterstützen, Sicherheitsrichtlinien, Incident Responses und viele weitere sicherheitsrelevante Aspekte zu verstehen und sich mit ihnen auseinanderzusetzen. Zeit, die man damit verbringt, seinen wichtigsten Stakeholdern zuzuhören und mehr über ihre Sicht der Dinge zu erfahren, ist sinnvoll investierte Zeit.“
Riaz Lakhani hat deshalb in einem neuen Leitfaden – CISO script: How to talk to business leaders about security risk – in englischer Sprache die drei wichtigsten Konversationen, die jeder CISO in diesem Kontext führen muss, zusammengefasst:
- Das Gespräch mit technischen Spezialisten wie Ingenieuren, Entwicklern und Sicherheitsexperten: Dies sind die Kollegen, die ein CISO möglicherweise irgendwann um zwei Uhr morgens mit einer dringenden Anfrage anrufen muss. Daher ist es wichtig, starke Beziehungen zu ihnen aufzubauen und zu verstehen, wie die Sicherheitslage des Unternehmens aus ihrer Sicht aussieht.
- Das Gespräch mit den Führungskräften: CISOs sollten regelmäßige Meetings mit den wichtigsten Stakeholdern in kritischen Risikobereichen wie Entwicklung, Finanzen und der Rechtsabteilung festlegen. Inhalt dieser Meetings sollte die Entwicklung der Bedrohungs- und Sicherheitslage im Unternehmen sein und was diese Entwicklung für die Geschäftsstrategie, das allgemeine Unternehmensrisiko, die Compliance innerhalb des Unternehmens und andere unternehmensrelevante Aspekte bedeutet.
- Das Gespräch mit dem Aufsichtsrat: Der Schlüssel, um die Aufmerksamkeit und das Interesse des Aufsichtsrats an Sicherheitsthemen zu gewinnen, ist je nach Unternehmen anders. Ziel für jeden CISO sollte es daher sein, vor dem Gespräch so viel über die einzelnen Aufsichtsratsmitglieder zu lernen wie möglich und seine Präsentation so zu gestalten, dass Sprache und Konzepte für diese verständlich sind.
„Für Führungskräfte und Aufsichtsratsmitglieder ist eine große Frage relevant: Wie können wir uns in einer Welt, in der Cyberbedrohungen zunehmend häufig, unvorhersehbar und potenziell hochgefährlich sind, schützen“, fragt Fachautorin Keri Pearlson ("A Tool to Help Boards Measure Cyber Resilience") und Board Member bei Barracuda Networks. „Wenn ein CISO mit diesen Stakeholdern spricht, muss sich das Gespräch um die vorrangigen Risiken drehen, denen das Unternehmen ausgesetzt ist, zum Beispiel hinsichtlich der Lieferkette, und was passieren kann, wenn ein Cyberangriff erfolgreich ist. Ein Aufsichtsrat möchte sehen, dass ein CISO nicht nur eine Lösung dafür hat, wie sich bösartige Akteure vom Unternehmen fernhalten lassen, sondern auch dafür, wie das Unternehmen auf Cybervorfälle reagiert und ihre Folgen minimiert, um die Geschäftskontinuität sicherzustellen und das Unternehmen nicht zu verlieren.“