Cybersecurity und Business in Einklang bringen: Niemand behauptet, es sei einfach

Die schlechte Nachricht ist, dass zwischen Business und Cybersecurity eine Kluft besteht. Die gute Nachricht? Diese beiden Bereiche aufeinander abzustimmen, kann den entscheidenden Unterschied ausmachen.

Wenn Sie schon länger als CISO, CSO oder anderer Cybersecurity-Verantwortlicher tätig sind, wurden Sie vermutlich schon recht häufig von einem CEO, Vorstandsmitglied oder einer anderen Führungskraft gefragt: „Wie sicher sind wir?“ Und Sie wissen auch, dass die Beantwortung dieser Frage nicht so einfach ist, wie es scheinen mag.

In einer Zeit, in der sich Unternehmensrisiken rapide verändern – durch Pandemien, Konjunkturrückgänge und Remote-Arbeit – verstärken die weltweit grassierenden Cyberangriffe und Bedrohungen nicht nur jedes Risiko, sondern haben Cybersicherheit zu einem Thema gemacht, das jetzt auch von der Unternehmensleitung unter die Lupe genommen wird. Diejenigen unter uns, die an vorderster Front stehen, haben jedoch mit einer Vielzahl von Problemen zu kämpfen, die es schwierig machen, den Geschäftsverantwortlichen ein klares Bild von der Cybersecurity-Lage in unserem Unternehmen zu vermitteln.

Mit dem Ziel, einige dieser zentralen Herausforderungen an die Oberfläche zu bringen und Sicherheitsverantwortlichen dabei zu helfen, einen sinnvollen Dialog mit ihren Kollegen in der Geschäftsleitung zu initiieren, beauftragte Tenable Forrester Consulting damit, eine Online-Umfrage unter 416 Sicherheitsverantwortlichen und 425 Wirtschaftsführern durchzuführen und aus den Ergebnissen eine Studie zu erstellen, die Cybersecurity-Strategien und -Praktiken in mittelständischen bis großen Unternehmen untersucht. Diese Studie, Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen, macht deutlich, dass zwischen den Erwartungen der Geschäftsleitung und der Realität, mit der Sicherheitsverantwortliche konfrontiert sind, eine Diskrepanz besteht. Sie zeigt aber auch die vielleicht größte Chance auf, die sich heute für digitale Unternehmen bietet – nämlich die Rolle des CISO auf die gleiche Stufe anzuheben wie andere Führungspositionen.

Die Zukunft gehört Business-orientierten Sicherheitsverantwortlichen

Die Studie zeigt vier zentrale Themen auf:

• Cybersecurity-Bedrohungen florieren in einem Klima der Ungewissheit, weshalb dieses Thema die Aufmerksamkeit der Unternehmensleitung verdient. Die überwiegende Mehrheit der Unternehmen erlitt in den vergangenen 12 Monaten mindestens einen geschäftsschädigenden¹ Cyberangriff oder Sicherheitsverstoß. Ungefähr zwei Drittel (65 %) berichteten, dass bei diesen Angriffen OT-Assets (operative Technologie) betroffen waren.

• Geschäftsverantwortliche wollen ein klares Bild von der Cybersecurity-Lage in ihren Unternehmen, doch ihre Cybersecurity-Kollegen haben Schwierigkeiten, ihnen dieses zu vermitteln. Nur 4 von 10 Sicherheitsverantwortlichen geben an, die Frage „Wie sicher bzw. gefährdet sind wir?“ mit einem hohen Maß an Zuversicht beantworten zu können.

• Es gibt eine Diskrepanz in der Art und Weise, wie Unternehmen Cyberrisiken erkennen und managen. Weniger als 50 % der Sicherheitsverantwortlichen definieren die Auswirkungen von Cybersecurity-Bedrohungen im Kontext eines spezifischen Geschäftsrisikos. Lediglich die Hälfte der Sicherheitsverantwortlichen (51 %) melden, dass ihre Sicherheitsabteilung mit geschäftlichen Interessensvertretern zusammenarbeitet, um Kosten-, Leistungs- und Risikominderungsziele mit geschäftlichen Anforderungen abzustimmen. Nur jeder vierte Sicherheitsverantwortliche (43 %) gibt an, die Leistungsmetriken der Sicherheitsabteilung regelmäßig gemeinsam mit Business-Stakeholdern zu prüfen.

• Cybersecurity muss zu einer Strategie für die Reduzierung des Geschäftsrisikos heranreifen. Das ist jedoch erst dann möglich, wenn Sicherheitsverantwortliche mehr Einblick in ihre Angriffsoberfläche haben. Knapp über die Hälfte der Sicherheitsverantwortlichen geben an, dass ihre Sicherheitsabteilung die gesamte Angriffsoberfläche des Unternehmens umfassend im Blick hat und bewerten kann, und unter 50 % setzen kontextbezogene Bedrohungsmetriken ein, um das Cyberrisiko des Unternehmens zu messen. Das heißt, ihre Fähigkeit, Cyberrisiken zu analysieren und Behebungsmaßnahmen nach geschäftlicher Kritikalität und Bedrohungskontext zu priorisieren und durchzuführen, ist begrenzt.

Die Studie zeigt, dass Security- und Business-Leader signifikante, nachweisbare Ergebnisse liefern, wenn sie sich an gemeinsam vereinbarten Daten zum Unternehmensrisiko orientieren. Bei Business-orientierten Sicherheitsverantwortlichen ist es achtmal wahrscheinlicher, dass sie das Sicherheits- bzw. Risikoniveau des Unternehmens quantifizieren können, als bei Fachkollegen, die eher isoliert arbeiten. Im heutigen Wirtschaftsklima ist dies noch bemerkenswerter, da ein weltweiter Wirtschaftsabschwung Unternehmen dazu veranlasst, ihre Ausgaben zu überdenken: 85 % der Business-orientierten Sicherheitsverantwortlichen verfügen über Metriken, um den Cybersecurity-ROI und die Auswirkungen auf die Geschäftsentwicklung zu verfolgen, im Vergleich zu nur 25 % ihrer eher reaktiv und isoliert handelnden Fachkollegen.

Dan Bowden, CISO bei Sentara Healthcare, äußerste sich bereits letztes Jahr in einem Interview mit Tenable dazu: „Heutzutage wird in der Gesellschaft sehr darauf geachtet, wie gut Unternehmen Risiken managen – Führungsteams und Vorstände in jedem Unternehmen wollen Teil der Lösung sein, wenn es darum geht, das Problem zu beseitigen. Wenn Sie ihnen verlässliche Daten über die Gefährdung geben können sowie dazu, was wirklich unbedingt getan werden muss, können sie mit den Daten etwas anfangen. Sie möchten ihren Teil beitragen sein und Sie dabei unterstützen, Risiken besser im Griff zu haben.“

Um die erforderliche Abstimmung von Sicherheit und Business zu erreichen, benötigen CISOs und andere Sicherheitsverantwortliche die richtige Kombination von Technologien, Daten, Prozessen und Mitarbeitern. Beispielsweise verfügt die überwiegende Mehrheit von Unternehmen (80 %), in denen Sicherheit und Business eng kooperieren, über einen Business Information Security Officer (BISO) oder eine ähnliche Rolle, verglichen mit nur 35 % der in dieser Hinsicht weniger koordinierten Unternehmen. Die Studie ergab außerdem, dass Business-orientierte Sicherheitsverantwortliche bei der Automatisierung wichtiger Vulnerability Assessment-Prozesse um +49 bis +66 Prozentpunkte besser abschneiden als ihre eher reaktiv und isoliert agierenden Fachkollegen.

¹„Geschäftsschädigend“ bezieht sich auf einen Cyberangriff oder Sicherheitsverstoß, der zu folgendem geführt hat: Verlust von Kunden-, Mitarbeiter- oder anderen vertraulichen Daten, Unterbrechung des normalen Geschäftsbetriebs, Auszahlung von Lösegeld, finanzieller Verlust/Diebstahl und/oder Diebstahl von geistigem Eigentum.

Lesen Sie die Blog-Reihe: Die Entwicklung zum Business-orientierten Cybersecurity-Verantwortlichen

In den Blog-Beiträgen dieser Serie wurden die Herausforderungen bei der Abstimmung von Cybersecurity und Business behandelt sowie Gründe dafür, warum es Cybersecurity-Verantwortlichen schwer fällt, die Frage „Wie sicher bzw. gefährdet sind wir?“ zu beantworten. Außerdem untersuchten wir, was COVID-19-Reaktionsstrategien über die Kluft zwischen Business und Cybersecurity aussagen, erörterten die Frage, warum bestehende Cybersecurity-Metriken zu kurz greifen, erkundeten fünf Schritte für eine bessere Abstimmung mit dem Busines und boten einen Einblick in den beruflichen Alltag eines Business-orientierten Cybersecurity-Verantwortlichen.

Mehr erfahren

• Weitere wichtige Erkenntnisse aus der Studie finden Sie hier
• Weitere Informationen erhalten Sie auf unserer Website hier
• Laden Sie die komplette Studie „Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen“ hier herunter
• Mehr über die Bemühungen von Sentara Healthcare, konstruktivere Gespräche mit C-Level-Führungskräften und dem Vorstand zu führen, können Sie hier nachlesen.