Wie CISOs und Vorstände erfolgreicher zusammenarbeiten

Zunehmende Cyberangriffe, komplexe Compliance-Anforderungen und strenge Regulierungen: Unternehmen müssen ihre Security-Strategie kontinuierlich anpassen. CISOs und Vorstände sollten enger zusammenarbeiten und ihre Kräfte bündeln, um ihre digitale Resilienz und ihr Geschäft langfristig zu stärken. 

Strengere Regulierungen wie NIS2 oder DORA rücken Cybersicherheit in den Fokus von Unternehmensstrategien. Laut Splunks aktuellem CISO Report 2025 stehen die Prioritäten der CISOs, die auf essenzielle Investitionen in Cybersicherheit drängen, oft im Spannungsverhältnis zu den Interessen des Vorstands, die primär auf das wirtschaftliche Ergebnis fokussiert sind. 

Den Report hat Splunk, ein Unternehmen von Cisco, in Zusammenarbeit mit Oxford Economics Ende Januar 2025 veröffentlicht. Der Ergebnisbericht der weltweiten Befragung beschreibt detailliert die jeweiligen Ziele, Prioritäten und Geschäftsstrategien von CISOs (Chief Information Security Officers) und ihren Vorständen. Trotz ihrer unterschiedlichen Perspektiven tragen beide Seiten eine gemeinsame Verantwortung: den Schutz des Unternehmens. Wenn sie enger zusammenarbeiten und über den jeweils eigenen Fachbereich hinausdenken, sind gegenwärtige Diskrepanzen nicht unüberwindbar. 

Warum Cybersecurity ein starkes Vertrauensverhältnis von CISO und Vorstand braucht

Die Compliance-Situation in Unternehmen und ihre Rolle nehmen CISOs in der Regel sehr ernst – schließlich sind sie es, die in der Verantwortung stehen. Bei Sicherheitsvorfällen haben sie gründlichere Prüfungen durch die Aufsichtsbehörden vor sich und sind teilweise auch persönlichen Haftungsrisiken und hohen Geldstrafen ausgesetzt. Zusätzlich erhöhen immer strengere Regulierungen den Druck auf CISOs. Um sie in ihrer Rolle zu stärken und ihren Handlungsspielraum zu erweitern, braucht es neue Strategien. Eine davon ist, die CISOs näher an den Vorstand heranrücken zu lassen, um gegenseitiges Verständnis und eine lösungsorientierte Herangehensweise zu fördern. 

Für CISOs und Vorstand hat es viele Vorteile, ein starkes Vertrauensverhältnis aufzubauen – auch, um für Ernstfälle gewappnet zu sein. Verschärfte Vorschriften wie die NIS2-Richtlinie und DORA (Digital Operational Resilience Act) erfordern in Europa eine schnellere Meldung von Sicherheitsvorfällen – bei erheblichen Vorfällen sogar innerhalb von 24 Stunden. Insgesamt berichtet im Report jedoch ein Fünftel der CISOs (21 %), dass sie bereits gedrängt wurden, Compliance-Probleme gar nicht zu melden. Im Zweifel kann das zur Zerreißprobe werden – bei der in den meisten Fällen am Ende die eigene Integrität siegt: 59 Prozent der CISOs würden als Whistleblower agieren, wenn ihr Unternehmen Compliance missachtet. Die Beziehung zwischen CISO und Vorstand sollte deshalb so gefestigt werden, dass Sicherheitsprobleme schnell und sachlich besprochen und behoben werden können. 

Den Mehrwert von IT-Sicherheit erkennen: Security als Business Enabler

Eine effektive Sicherheitsstrategie umfasst weit mehr als die einmalige Implementierung diverser Vorschriften. Der Ansicht sind auch die meisten CISOs: Lediglich 15 Prozent sehen Compliance als einen der wichtigsten Leistungsindikatoren an, dem gegenüber stehen 45 Prozent der Vorstände. CISOs sollten auch den ROI von Security-Investitionen nicht unterschätzen, denn über die Hälfte (54 %) der Vorstände sieht diesen als wichtigen Gradmesser für Erfolg an – aber nur 42 Prozent der CISOs.

Laut Cisco Cybersecurity Readiness Index 2024 nehmen teure Cybervorfälle zu: Im Vergleich zu 2023 ist bei zehn Prozent mehr Unternehmen ein Schaden über 100.000 US-Dollar durch Cyberangriffe entstanden (2024: 78% / 2023: 68%). Effektive Sicherheitsmaßnahmen schützen bei Cyberangriffen nicht nur wichtige Daten und Unternehmenswerte, sondern helfen auch, Umsatzeinbußen durch Betriebsunterbrechungen zu vermeiden. Mit kluger Vorbereitung minimieren Incident-Response-Pläne den Schaden bei Angriffen, im Regelbetrieb können Prüfungen und Audits besser vorbereitet und zügig durchgeführt werden. Zudem kann der sichere Umgang mit sensiblen Daten Vertrauen auf dem Markt schaffen: Wer frühzeitig neue Compliance-Vorschriften etabliert, positioniert sich als zuverlässiger und sicherer Geschäftspartner – und verschafft sich einen Vorsprung vor der Konkurrenz. 

Unternehmen sollten Cybersicherheit und Compliance also nicht nur als weitere Kostenstelle ansehen, sondern als wertvollen Wachstumstreiber und Wettbewerbsvorteil begreifen. CISOs sollten die Vorteile einer durchdachten Sicherheitsstrategie gegenüber dem Vorstand mit Fakten und Zahlen belegen: Indem sie Security-Maßnahmen als langfristige Einsparung präsentieren – durch weniger Vorfälle, geringere Versicherungskosten und bessere Reputation – können sie den Mehrwert ihrer Aufgabenfelder deutlich machen. 

Sicherheit als Kostenfaktor: Welchen Einfluss hat das Budget?

Nur 29 Prozent der CISOs halten ihr Budget für ausreichend, während 41 Prozent der Vorstände dies als angemessen ansehen. Das beunruhigt CISOs spürbar: 64 Prozent befürchten, dass ein zu niedriges Budget ihre Sicherheitsstrategie stark beeinträchtigt. Mit verschiedenen Maßnahmen versuchen sie, dem Budgetmangel zu begegnen: Bei der Hälfte der Unternehmen führt das zu verzögerten Sicherheitsupdates (52 %) sowie weniger Security-Lösungen und -Tools (50 %). Solche Einsparungen können jedoch Datenpannen begünstigen und den Schaden durch Cyberangriffe erhöhen.

Doch wie können CISOs den Vorstand von höheren Budgets überzeugen? Viele Vorstände setzen ihren Fokus stärker auf das Unternehmenswachstum (44 %) als auf die Erweiterung des Cybersicherheitsprogramms (24 %). Das bedeutet, dass sie vor allem Sicherheitsinitiativen unterstützen, die einen direkten Nutzen für das Unternehmen und die Aktionäre haben. Daher ist es entscheidend, Cybersicherheit als Business Enabler zu etablieren – 64 Prozent der Vorstände sehen dies als das überzeugendste Argument. Allerdings setzen nur 43 Prozent der CISOs auf diese Strategie.

Am empfänglichsten sind Vorstände für Budgetanträge, wenn CISOs ihnen konkrete Berechnungen zu den direkten und indirekten Kosten von Ausfallzeiten präsentieren. Letztendlich dreht sich alles um eine kluge Investition der Mittel. Richtig eingesetzt, kann Cybersicherheit nicht nur teure Sicherheitsvorfälle und Compliance-Verstöße verhindern, sondern auch das Image des Unternehmens schützen und langfristige Einsparungen ermöglichen.

Fazit: Eine starke CISO-Vorstand-Beziehung ist nützlich für alle

Unternehmen mit starken Beziehungen zwischen CISO und Vorstand profitieren unter anderem von besseren Budgets, schnelleren Investitionen in neue Security-Technologien und einem höheren Vertrauen in die Sicherheitsstrategie. Doch in Europa ist nur rund die Hälfte (49 %) der befragten CISOs zufrieden mit der Zusammenarbeit mit dem Vorstand – da ist also noch deutlich Luft nach oben. 

CISOs sollten lernen, die Sprache des Vorstands zu sprechen und Geschäftsziele effektiv mit Sicherheitsmaßnahmen zu verknüpfen. Für sie wird es immer wichtiger, ihr Security-Narrativ möglichst nachvollziehbar, anschaulich und lösungsorientiert zu erzählen, um den Vorstand für ihre Vorhaben zu gewinnen. Eine erfolgreiche Kommunikationsstrategie besteht darin, klar aufzuzeigen, wie Security den ROI steigert, das Wachstum fördert und zur Stabilisierung des Aktienkurses beiträgt – schlüssige Argumente, die garantiert die Aufmerksamkeit des Vorstands wecken.

Autor: Philipp Behre, Field CTO & Strategic Advisor bei Splunk