Die Schlüsselrolle von Geschäftsführung und Vorstand 

Robert Felber ist CISO und Head of Security Consulting beim Münchner Softwareexperten iteratec. Er beobachtet täglich, wie Unwissenheit, mangelnde Kommunikation und Transparenz, das Fehlen von Budget und Gestaltungsspielraum die IT-Abwehrfähigkeit von Unternehmen negativ beeinträchtigt.

Sein Appell: Geschäftsführung und Vorstand müssen ihre Verantwortung für die Cyber-Sicherheit ihrer Unternehmen endlich annehmen. Doch wie kann ein Führungskreis Maßnahmen entwickeln, wenn die Bedrohungslage für sie nicht transparent ist? 

Sicherheitsrisiken, die nur zwischen den Fachabteilungen herumgereicht werden und deshalb nicht beherrschbar sind; mangelnde Budgets und unklare Verantwortlichkeiten auf Fachebene; Top-Managements, die aus den Berichten ihrer IT-Abteilungen einfach nicht schlau werden  – als CISO und Head of Security Consulting bei iteratec erlebe ich täglich, wie entscheidend die Rolle der Unternehmensführung für eine effektive IT-Sicherheitsstrategie ist. Fast ebenso oft kann ich beobachten, wie Unwissenheit im Führungskreis zu einem unbewusst hohen Risikoappetit führt, der die Resilienz des ganzen Unternehmens gefährdet.  

In der heutigen digitalisierten Geschäftswelt ist Cybersicherheit zu einem kritischen Erfolgsfaktor geworden, der weit über die IT-Abteilung hinausgeht. Besonders in kleinen und mittleren Unternehmen (KMUs) beobachten wir auf Führungsebene trotzdem oft noch ein mangelndes Verständnis für die Notwendigkeit einer ganzheitlichen Sicherheitsstrategie. Die häufigste Ursache dafür: Unwissenheit über sicherheitsrelevante Vorgänge im Unternehmen. 

Dieses Problem wird durch verschiedene Faktoren noch verschärft. Zum einen herrscht ein akuter Fachkräftemangel im Bereich Cybersecurity: Viele KMUs können sich keine spezialisierten Sicherheitsexperten leisten oder finden schlichtweg keine qualifizierten Kandidaten auf dem Arbeitsmarkt. Zum anderen sehen wir häufig einen Modernisierungsstau in der IT. Dort stellen veraltete Systeme und Software häufig ein erhebliches Sicherheitsrisiko dar, doch die notwendigen Investitionen werden oft aufgeschoben, weil die damit einhergehenden Risiken unklar bleiben. 

Regulatorische Anforderungen als Chance 

Mit Blick auf die kommenden EU-Regulierungen NIS2 und DORA stehen Unternehmensführungen nun vor erheblichen Herausforderungen. NIS2 erweitert den Anwendungsbereich der Cybersicherheitsvorschriften auf weitere Sektoren und legt strengere Anforderungen an das Risikomanagement fest. DORA zielt speziell auf den Finanzsektor ab und schreibt konkrete Maßnahmen wie bedrohungsorientierte Penetrationstests (TLTP) vor. 

Für viele Unternehmen bedeutet dies eine signifikante Erhöhung der Compliance-Komplexität. Die Geschäftsführung muss nun nicht nur ein tieferes Verständnis für IT-Sicherheitsrisiken entwickeln, sondern auch robuste Governance-Strukturen implementieren und ausreichende Ressourcen bereitstellen – sonst haftet sie schlimmstenfalls persönlich. Zudem müssen Prozesse für die Meldung von Sicherheitsvorfällen etabliert und regelmäßige Risikobewertungen durchgeführt werden. 

Diese neuen Anforderungen erfordern einen proaktiven Ansatz der Unternehmensführung. Es reicht nicht mehr aus, Cybersicherheit als rein technisches Problem zu betrachten. Vielmehr muss sie als strategische Aufgabe verstanden werden, die eng mit der Geschäftsentwicklung verknüpft ist. Die neuen Regularien sollten dabei als Chance für eine Unternehmensentwicklung hin zu mehr Resilienz verstanden werden. 

Die Herausforderung der Transparenz 

Eine der größten Hürden, die wir bei iteratec in Kundenprojekten beobachten, ist der Mangel an Transparenz und Kommunikation zwischen operativer IT und Top-Management: Häufig werden kritische Sicherheitsrisiken zwar vom IT-Team erkannt, aber nicht immer auch effektiv an die Geschäftsführung kommuniziert und behandelt. Dahinter steckt auf keiner Seite böser Wille – schlicht das gegenseitige Verständnis fehlt, oft auch eine klare Rollenverteilung.  

Elementare Fragen, die es hier zu beantworten gilt, sind: 

• Welche verantwortlichen Rollen im Unternehmen sollten Sicherheitsrisiken bewerten, behandeln oder akzeptieren können? 
• Sind verantwortliche Stellen ausreichend geschult im aktiven Umgang mit Cybersicherheitsrisiken? 
• Herrscht eine angemessene Transparenz über offene und akzeptierte Risken, über verschiedene Hierarchie-Stufen hinweg? 
• Besteht eine wirksame Fehlerkultur, die einen transparenten Umgang mit Risiken fördert oder wird diese behindert? 

Um transparentere Prozesse zu schaffen, kann es zudem helfen, strukturierte Reporting- und Governance-Systeme zu implementieren, die sicherstellen, dass Sicherheitsrisiken in einer für das Management verständlichen Form aufbereitet und zur bewussteren Entscheidungsfindung kommuniziert werden. In Summe kann ein systematischer Ansatz helfen, das aktive Risikomanagement für Cybersicherheit dem Risikoappetit des Top -Managements anzugleichen. 

Strukturelle Schwachstellen erkennen und beheben 

In den wenigsten Unternehmen ist es ausreichend, moderne Systeme und neueste Sicherheitsvorschriften zu implementieren. Ebenso wichtig ist die Anpassung der internen Strukturen und der Unternehmenskultur an die gestiegene Bedeutung von IT-Sicherheit. In unserer Beratungspraxis erleben wir häufig 

• unklare Verantwortlichkeiten und Kommunikationswege 
• mangelnde Positionierung des Chief Information Security Officer (CISO) 
• unzureichendes Budget für Sicherheitsmaßnahmen. 

Die Folge sind strukturelle Barrieren, die die Umsetzung eines erfolgreichen IT-Sicherheitskonzeptes behindern. Oftmals führt es bereits zu einer signifikanten Verbesserung der Entscheidungsprozesse in Sicherheitsfragen, wenn die Rolle des CISO neu definiert und direkt dem Management unterstellt wird. 

Handlungsempfehlungen für die Unternehmensführung 

Um die IT-Abwehrfähigkeit eines Unternehmens zu bewerten und schrittweise zu verbessern, können in Umfang und Aufwand ganz verschiedene Maßnahmen ergriffen werden, von denen jede für sich die Cyberresilienz im Betrieb steigert. 

1. Etablierung einer Sicherheitskultur: Mit “Security Awareness”-Trainings für alle Mitarbeiterebenen, einschließlich der Geschäftsführung, wird dem Fehlerfaktor Mensch effektiv vorgebeugt. 
2. Regelmäßige Risikobewertungen: Ein agiles Risikomanagement-Framework ermöglicht schnelle Anpassungen an neue Bedrohungen. 
3. Investition in Schulungen: Mitarbeitende zu Experten in ihren eigenen Teams auszubilden, erhöht die Cyberresilienz auf allen Ebenen. 
4. Stärkung der CISO-Position: Wir empfehlen und unterstützen die direkte Anbindung des CISO an die Geschäftsführung oder gar als aktiver Teil der Geschäftsführung. 
5. Implementierung von DevSecOps-Praktiken: Sicherheitsaspekte von Anfang an in den Entwicklungsprozess zu integrieren, minimiert in der Folge das Risiko technischer Schulden. 
6. Transparente Kommunikation: Sicherheitsmetriken – sinnvoll aufbereitet und regelmäßig dem gesamten Management zur Verfügung gestellt – sorgen für klare Informationsweitergabe zwischen IT-Abteilung und Geschäftsführung. 
7. Angemessene Ressourcenallokation: Effektive Planung und aktive Gestaltung von Sicherheitsbudgets befähigt die Experten im Unternehmen, angemessene Vorsorge zu betreiben. 

Fazit 

Die Erfahrungen bei iteratec zeigen: Wenn Geschäftsführung und Vorstand aktiv Verantwortung für IT-Sicherheit übernehmen, wird diese zum integralen Bestandteil der Unternehmensstrategie. Dies schafft nicht nur ein sichereres Unternehmen, sondern positioniert es auch als vertrauenswürdigen und zukunftsfähigen Partner in der digitalen Wirtschaft.