Rechtliche Absicherung für Mitarbeiter in der Cybersecurity

Das Haftungsrisiko von CISOs reduzieren

Chief Information Security Officers, CISOs, Cybertsicherheit
LinkedInRedditWhatsAppPocket

Die Verantwortung der Chief Information Security Officers (CISOs) ist im vergangenen Jahr stärker ins Rampenlicht gerückt.

Eine Studie des Edge-Cloud-Anbieters Fastly zeigt, dass 91 Prozent der Unternehmen im DACH-Raum in den vorangegangenen 12 Monaten ihre unternehmensinternen Richtlinien angepasst haben, um Bedenken über die persönliche Haftung von CISOs zu adressieren. Dazu zählt, dass in 32 Prozent der Unternehmen die Beteiligung der CISOs an strategischen Entscheidungen auf Vorstandsebene verstärkt wurde.

Anzeige

Ende 2023 haben neu eingeführte Vorschriften – wie in den USA die SEC-Regeln zu Risikomanagement, Strategie, Governance und Offenlegung von Cybervorfällen bei börsennotierten Unternehmen – sowie weitere Schlagzeilen über gerichtliche Auseinandersetzungen große Aufmerksamkeit auf unternehmerische Verantwortung und persönliche Haftbarkeit von CISOs bei Datenpannen gelenkt. Um dieses Risiko zu reduzieren, gaben 37 Prozent der befragten Unternehmen in Deutschland, Österreich und der Schweiz an, die Offenlegung und Dokumentation von Sicherheitsvorfällen durch Aufsichtsbehörden verstärkt zu überprüfen, weitere 41  Prozent haben die rechtliche Unterstützung der Cybersecurity-Teams verbessert, einschließlich deren Absicherung in Haftungsfällen. Zudem flossen insgesamt deutlich mehr Ressourcen in die Sicherheit.

Obwohl diese Maßnahmen als positive Entwicklung zu werten sind, bezweifelt Marshall Erwin, CISO bei Fastly, ob diese Änderungen ausreichen, um Organisationen und Cybersecurity-Fachkräfte angemessen abzusichern.

„Auch in Zukunft werden globale Ausfälle unvermeidlich sein, die die Verantwortung der CISOs erneut in den Fokus rücken werden. Angesichts dessen ist es ermutigend zu sehen, dass die überwiegende Mehrheit der Unternehmen ihre Offenlegungspraktiken in Bezug auf Haftungsfragen anpasst. Die Investition in rechtliche Absicherung ist ein wichtiger Schritt, doch diese Maßnahmen zielen oft mehr darauf ab, Organisationen vor rechtlichen Risiken zu bewahren, als ein sinnvolles Verständnis für Verantwortlichkeiten zu fördern, das zu besseren Sicherheitspraktiken führt“, erklärt Marshall Erwin. „Eine angemessene Rechenschaftspraxis geht über Versicherungen und Erfüllen der Offenlegungspflichten hinaus. Für einen wirklichen Wandel müssen wir Verantwortung als positive Kraft begreifen, die Anreize zur Verbesserung von Sicherheitsmaßnahmen schafft. Dafür benötigen wir bessere, klarer formulierte Standards von den Regulierungs- und Durchsetzungsbehörden, die unvermeidbare Vorfälle eindeutig von jenen unterscheiden, die aufgrund gravierender Sicherheitsmängel vermeidbar gewesen wären.”

Anzeige

Geteilte Verantwortung, statt individuellem Versagen

Die Befragung ergab außerdem, dass nahezu die Hälfte (47 Prozent) der Organisationen im DACH-Raum sich nicht im Klaren darüber ist, wer letztlich die Verantwortung für Cybersecurity-Vorfälle trägt, da nur 32 Prozent der Befragten klar definierte Rollen und Verantwortlichkeiten innerhalb ihrer Teams besitzen. Die Studie weist außerdem auf eine erhebliche Lücke in der Art und Weise hin, wie Unternehmen Verantwortlichkeiten verinnerlichen und gesetzliche Vorgaben in sinnvolle Verbesserungen der Sicherheitsmaßnahmen übersetzen. 

Marshall Erwin ergänzt: „CISOs haben nicht bei jeder endgültigen Entscheidung das letzte Wort. Bei Sicherheitsrisiken sollte sich der Vorstand fragen: ‚Richten wir unser Budget so aus, dass es die Risiken abdeckt, die uns vom CISO kommuniziert wurden?’ Verantwortung muss auf Führungsebene beginnen, mit klarer Kommunikation und angemessener Ressourcenallokation.”    

Diese Verantwortung liegt nicht allein bei einer Person – sie erfordert Kommunikation auf allen Ebenen der Organisation, um Verständnis und Klarheit darüber zu schaffen, wie und mit welchen Maßnahmen Cybersecurity-Risiken minimiert werden können.

Schaffung besserer Rahmenbedingungen

Die Studie unterstreicht, dass sich die Industrie mit klar definierten Rahmenbedingungen hinsichtlich Verantwortlichkeiten auf den nächsten prominenten Vorfall vorbereiten muss. Diese Rahmenbedingungen sollten Anreize für sinnvolle Maßnahmen bieten und nicht nur für die Einhaltung von Compliance-Vorschriften sorgen. Da sich regulatorische Standards weiterentwickeln, müssen Organisationen begreifen, dass die Diskussion um die Haftung von CISOs keine Bedrohung darstellt, sondern eine Chance bietet, ihre Sicherheitsstrukturen zu festigen und langfristig Veränderungen in Unternehmen voranzutreiben.

Autor: Marshall Erwin, Chief Information Security Officer bei Fastly


Anzeige

Artikel zu diesem Thema

Der CISO im Zentrum der CSR-Strategie

Weitere Artikel

KI und 24/7-Service: Die neue Security-Strategie
NIS2: Effektives Datenmanagement als Schlüssel
Tag des Glücks im digitalen Zeitalter: Zwischen Zufall und Vorsorge
Nach Astronauten-Rückkehr: Die ISS als Cybersecurity-Vorbild
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.