print logo

Der schwere Stand der CISOs

Wie eine neue Studie zeigt, haben CISOs Schwierigkeiten, ihre Erfolge zu messen und sichtbar zu machen
Markus Kahmen | 16.10.2019
CISOs haben Schwierigkeiten, ihre Erfolge zu messen und sichtbar zu machen © Pixabay
 
Obwohl fast 90 Prozent der IT-Sicherheitsexperten eine Reihe von Key Performance Indicators (KPIs) verfolgen, fällt es mehr als der Hälfte von ihnen nach wie vor schwer, ihre Sicherheitsinitiativen an den Gesamtzielen des Unternehmens auszurichten. Das liegt unter anderem daran, dass rund zwei Fünftel der Befragten die Geschäftsziele nicht kennen bzw. nicht gänzlich verstehen.

Wie die Befragung von mehr als 500 Sicherheitsentscheidern weltweit zeigt, ist die beliebteste Leistungskennzahl der IT-Departments die Anzahl der Sicherheitsverletzungen und Angriffe (49%) gefolgt von der Anzahl aller gemeldeten Vorfälle (46%) und der Ausfallzeiten nach einem Ereignis. Dabei ist es jedoch fraglich, inwiefern diese Kennzahlen geeignet sind, die Leistungen der Sicherheitsteams und die Erfolge neuer Sicherheitsmaßnahmen umfassend widerzuspiegeln. Immerhin geben zwei von fünf der Befragten (45%) selbst an, dass sie keine Möglichkeit haben, zu messen, welche Auswirkungen die bisherigen Sicherheitsinitiativen auf das Unternehmen haben. 40 Prozent sind zudem gar nicht in der Lage, den Erfolg von Sicherheitsinitiativen nach deren Einführung zu messen bzw. für 39 Prozent hat dies überhaupt keine Priorität.

Fehlende Nachweise über bisherige Erfolge erschweren die Budgetverhandlungen

Dies ist umso erstaunlicher, als sich diese Unwissenheit und Unklarheiten nachweislich negativ auf die Finanzierung weiterer Sicherheitsprojekte auswirken. Denn bei der Rechtfertigung neuer Sicherheitsausgaben spielt vor allem der ROI früherer Maßnahmen eine Rolle, wie rund die Hälfte der Befragten bestätigt. Weitere wichtige Faktoren bei Budgetverhandlungen sind Daten und Zahlen, die positive Auswirkungen auf Mitarbeiterproduktivität und Roll-Out-Zeiten belegen (44%), Hinweise auf Compliance-Anforderungen und entsprechende Bußgelder (40%) sowie Empfehlungen, die Wettbewerbungsfähigkeit durch gezieltes Engagement für den Datenschutz zu erhöhen.

Fehlender Austausch mit anderen Abteilungen sorgt dafür, dass IT-Pros ihre Erwartungen nicht erfüllen

Erschwerend kommt hinzu, dass viele Sicherheitsteams in ihrem Arbeitsalltag so sehr mit der Abwehr von unmittelbaren Bedrohungen und der Reaktion auf Cyberangriffe und Sicherheitsvorfälle beschäftigt sind, dass sie von Herausforderungen anderer Abteilungen nur wenig mitbekommen und dementsprechend auch kein förderlicher Austausch stattfinden kann. So muss fast die Hälfte der Befragten gestehen, keine klare Vorstellung zu haben, wie andere Abteilungen ihre Erfolge messen, und 43 Prozent beklagen, dass Unternehmensziele nicht an sie kommuniziert werden. Diese mangelnde Kommunikation hat auch Auswirkungen auf die Rolle der IT-Teams im Unternehmen und die Erwartungen an sie. Wie der Thycotic-Report offenbart, glauben nur 21 Prozent der Security-Manager, die an sie gestellten Erwartungen konsequent zu erfüllen. 14 Prozent sind der Meinung, regelmäßig hinter den Erwartungen zurückzubleiben.

Die Vorteile einer unternehmensweiten Cybersicherheitskultur

Die Arbeit von IT-Sicherheitsexperten ist oft von reaktiver Natur: Um ihre Leistung zu demonstrieren, suchen sie ständig nach vergangenen Erfolgen. Mit der aktuellen Situation des Unternehmens und dem Gewährleisten eines reibungslosen Arbeitsalltags steht dies aber in keinem Zusammenhang und wird der tatsächlichen Rolle des Security-Teams deshalb auch nicht gerecht. Vielmehr stehen die Teams ständig unter Druck, einen positiven Eindruck bei Geschäftsführung, Vorstand und Kollegen zu hinterlassen. Eine gute Möglichkeit, dieser negativen Entwicklung entgegenzuwirken, ist die Einführung einer unternehmensweiten Cybersicherheitskultur. Jedes Unternehmen sollte dazu einen Cyber-Botschafter ernennen, der sowohl technisch versiert als auch kommunikativ ist und eine abteilungsübergreifende Zusammenarbeit unterstützt, die darauf abzielt, alle Abteilungen frühzeitig vor potenziell schädlichen Aktivitäten zu warnen. Dies fördert eine proaktivere Auseinandersetzung mit dem Thema IT-Security und hilft Unternehmen, Sicherheitsprobleme nachhaltig zu reduzieren.