Wie Security-Experten den Draht zum Vorstand finden

In der heutigen Wirtschaftswelt werden bestehende Geschäftsprozesse digitalisiert, neue digitale Geschäftsmodelle entstehen und Systeme werden zunehmend vernetzt. Dadurch entsteht mehr Nutzen, doch auch das Risiko für die Unternehmen steigt, etwa in Form von Hacker-Angriffen oder Ausfällen von kritischer Infrastruktur. Die Rolle des Chief Information Security Officers (CISO) gewinnt daher zunehmend an Bedeutung – zugleich finden die Sicherheitsverantwortlichen aber mit ihren Inhalten oft nur schwer Gehör beim Vorstand und Aufsichtsrat.

„Das Problem ist, dass Techniker oft in Fachjargon verfallen und sich in Details verlieren“, sagt Michael Schuch, Vorstand von SWARCO, einem der weltweit führenden Hersteller von Verkehrssicherheits- und intelligenten Verkehrsmanagementlösungen. Er wird über das Thema unter dem Motto „Reporting IT-Security to the C-Suite“ auf der IKT-Sicherheitskonferenz 2018 referieren. Die CEOs, CFOs, COOs und andere Top-Führungskräfte – kurz: die C-Suite – haben im Gegensatz zu des CISOs ein sehr vielschichtiges Aufgabengebiet und müssen einen Überblick über das gesamte Unternehmen haben, der Einblick in Details zu aktuellen technischen Entwicklungen fehlt ihnen daher.

In der Welt des Managers denken

Es ist laut Schuch daher Aufgabe des CISOs, die Verbindung zwischen den Geschäftszielen des Unternehmens und den Security-Anforderungen herzustellen und dies für die C-Suite verständlich zu vermitteln. „Zwar ist die Sensibilität der Top-Manager für das Thema IT-Security wichtig“, sagt Schuch: „Aber der CISO muss die Sprache der Manager lernen, nicht umgekehrt.“

Dazu ist es notwendig, dass der CISO nicht allein in der IT-Welt denkt, sondern auch das Geschäftsinteresse des Unternehmens versteht und eine Verbindung zur Security herstellen kann. Dann ist es seine Aufgabe, die positiven und negativen Aspekte von Maßnahmen und Bedrohungen zu schildern: Als negative Konsequenzen gelten etwa überbordende Kosten (in Verbindung mit fehlender Kosten/Nutzen Darstellung), Schaden beim Kunden und Reputationsverlust – positiv wirkt sich Security aber zum Beispiel auch aus, indem die Marketingabteilung Ausfallsicherheit als Verkaufsargument anführen kann. Wenn CISOs in einem Unternehmen die erforderlichen kommunikativen Kompetenzen nicht mitbringen, dann ist es eventuell hilfreich, sie dementsprechend zu schulen.

Bei der Einordnung des CISO im Organigramm des Unternehmens beobachtet Schuch zudem ein Umdenken: War Security früher noch meist eine Unterabteilung der IT, so wird das Thema heute oft auch außerhalb der IT angesiedelt. „Eine eindeutige und klare Organisationsempfehlung gibt es nicht. Es gibt aber einen Trend, dass das Reporting des CISO direkt an den CIO oder gar an den CEO gehen sollte“, sagt Schuch: „Wichtig ist, dass das Ressort einem Unterstützer zugeordnet ist und das gesamte Unternehmen umfasst.“

Dieser Artikel ist im Rahmen einer bezahlten Kooperation zwischen futurezone und dem Kuratorium Sicheres Österreich (KSÖ) entstanden.