Thought Leadership
Cybervorfälle sind das größte Geschäftsrisiko. Daher müssen Cyberrisiken als Teil des unternehmerischen Risikomanagements betrachtet werden und fallen somit in den Verantwortungsbereich der Geschäftsleitung.
Nur die Hälfte der deutschen IT-Verantwortlichen glaubt aber, dass die Führungsebene die Cyberrisiken, denen das Unternehmen ausgesetzt ist, vollständig versteht. Viele fühlen sich außerdem nicht ernst genommen, wenn sie der Geschäftsleitung von Cyberrisiken berichten, so eine Trend Micro-Studie. 49 Prozent der Befragten glauben, dass sie als übermäßig negativ gelten und 32 Prozent sagen, sie würden als andauernde Nörgler gesehen. Offensichtlich besteht hier ein gravierendes Kommunikationsproblem zwischen CISO und CEO. Um dieses aufzulösen, gilt es verschiedene Facetten zu betrachten.
Trotz wachsender Bedrohungslage unterschätzt die deutsche Wirtschaft weiterhin das Risiko eines erfolgreichen Cyberangriffs. Eine aktuelle Bitkom-Studie zeigt, dass 2024 74 Prozent der Unternehmen gesichert oder vermutlich vom Diebstahl sensibler Daten betroffen waren. Besonders besorgniserregend ist die Zunahme von Ransomware-Attacken: 31 Prozent der Unternehmen berichteten von Erpressungsfällen, während es 2023 noch 23 Prozent waren. In Folge sehen sich inzwischen 65 Prozent der Unternehmen durch Cyberattacken in ihrer Existenz bedroht. Gerade mittelständische Unternehmen, die oft über wertvolle Daten verfügen, aber weniger stark geschützt sind als große Konzerne, stellen attraktive Ziele für Cyberkriminelle dar. Gründe hierfür sind der Mangel an Security-Fachkräften, begrenzte Ressourcen und fehlendes Know-how.
Falsches Sicherheitsgefühl
Viele mittelständische Unternehmen in Deutschland wiegen sich in trügerischer Sicherheit und überschätzen ihre Cybersecurity-Kompetenzen. Laut einer Studie des Gesamtverbands der Versicherer (GDV) halten 80 Prozent der Befragten ihre Schutzmaßnahmen für ausreichend, obwohl nur 22 Prozent grundlegende Sicherheitsanforderungen erfüllen. Die finanziellen Folgen eines Cybervorfalls werden oft massiv unterschätzt: Während IT-Sicherheitsverantwortliche laut der Studie von Trend Micro durchschnittlich davon ausgehen, dass ein Schaden von etwa 190.000 Euro nötig wäre, um die Führungsebene zu stärkerem Engagement zu bewegen, liegen die tatsächlichen Kosten laut Ponemon Institut bei durchschnittlich 4,3 Millionen Euro. Selbst die konservativere Schätzung des VDMA (Verband Deutscher Maschinen- und Anlagenbau e. V.) beläuft sich auf 265.000 Euro.
Beide Seiten sind gefragt
Auf Seite der Führungsriege ist deswegen ein neues Mindset erforderlich. Natürlich kann man von einem CEO nicht erwarten, dass er IT-Experte ist. Aber zumindest ein grundlegendes Verständnis für das Geschäftsrisiko Nummer eins (laut dem Allianz Risikobarometer) muss vorhanden sein. CEOs brauchen die Bereitschaft, sich mit dem Thema Cybersecurity auseinanderzusetzen und dem CISO mit offenen Ohren zuzuhören. Dazu gehört auch, Informationen so einzufordern, dass sie verständlich sind. Hier wiederum sind Security-Verantwortliche in der Pflicht, IT-Sprache in Business-Sprache zu übersetzen. Cybersicherheit ist abstrakt und von technologischem Denken geprägt. Um das Thema greifbar zu machen, ist es wichtig, den Zusammenhang zwischen Cyberrisiken und den daraus entstehenden Geschäftsrisiken aufzuzeigen. Die Geschäftsleitung interessiert sich nicht für technische Details und Kennzahlen, die aus ihrer Sicht irrelevant sind. Vielmehr möchte sie wissen, wie sicher das Unternehmen ist und wie es im Vergleich zu anderen Unternehmen dasteht. Außerdem erwarten CEOs Antworten auf Fragen wie: Welche Auswirkungen hat unsere jüngste Initiative zur digitalen Transformation auf das Cyberrisiko? Wie unterstützt Cybersecurity unsere Geschäftsziele und was ist der ROI unserer Investitionen in Security-Systeme?
Wie Technologie bei der Kommunikation unterstützt
Diese Fragen zu beantworten ist nicht leicht. 59 Prozent der in der Trend Micro-Studie befragten Security-Verantwortlichen glauben daher, dass sie stärker in ihre Kommunikationsfähigkeiten investieren müssen. Doch das löst nicht das zugrunde liegende Problem. Zunächst brauchen CISOs selbst einen Überblick über die Risikoexposition des Unternehmens und eine verlässliche, konsistente Datengrundlage. Eine große Herausforderung ist dabei die oftmals über Jahre gewachsene, komplexe Security-Umgebung, die aus vielen verschiedenen Insellösungen besteht. Jede von ihnen verarbeitet Daten in einer anderen Form und stellt sie anders dar. Das macht es schwer, klare Aussagen zu Cyberrisiken zu treffen. Hier kann eine ganzheitliche Plattform zum Management der Angriffsoberfläche (Attack Surface Risk Management, ASRM) helfen, indem sie Daten in einer Single Source of Truth zusammenführt. Eine solche Plattform ermittelt kontinuierlich, welchen Risiken das Unternehmen ausgesetzt ist und wo die größten Gefahren liegen. Die Ergebnisse werden leicht verständlich in einem grafischen Risiko-Score und in relevante Sicherheitskennzahlen aufbereitet. Über ein Executive Dashboard können CISOs jederzeit managementtauglich an die Geschäftsleitung berichten.
Oft berichten – aber auf das Wesentliche fokussieren
Regelmäßige Kommunikation zwischen CEO und CISO ist entscheidend, um das Verständnis für Cyberrisiken in der Geschäftsleitung zu verbessern und die Sicherheitsaufstellung des Unternehmens zielgerichtet zu optimieren. Eine Cyberrisikomanagement-Plattform leistet dabei wertvolle Unterstützung. Grundsätzlich empfiehlt es sich, lieber öfter zu berichten, aber kürzer und auf die wesentlichen Kennzahlen fokussiert – vor allem dann, wenn sich die Risikolandschaft ändert. Wichtig ist, sich auf klare Risiken zu konzentrieren, relevante Daten und Metriken zu verwenden und eine einfache Sprache ohne Akronyme und Fachjargon zu sprechen. Security-Verantwortliche, denen es gelingt, ihre Cybersicherheitsstrategie mit der Unternehmensstrategie in Einklang zu bringen, sind eindeutig im Vorteil, so die Trend Micro-Studie. 46 Prozent erhielten mehr Budget und 45 Prozent haben den Eindruck, dass sie in ihrer Rolle im Unternehmen als wertvoller angesehen werden. 42 Prozent werden in die Entscheidungsfindung auf höherer Ebene einbezogen.
Fazit
Um die wachsenden Cyberrisiken effektiv zu bewältigen, ist eine enge Zusammenarbeit und klare Kommunikation zwischen Geschäftsführung und IT-Security essenziell. Die Sicherheitsverantwortlichen müssen technische Risiken in geschäftsrelevante Zusammenhänge übersetzen, während die CEOs die Bereitschaft zeigen müssen, Cybersecurity als strategisches Geschäftsthema zu verstehen. Technologien wie Attack Surface Risk Management können helfen, eine gemeinsame Basis zu schaffen und die komplexen Risiken anschaulich aufzubereiten. Regelmäßige, fokussierte Berichte fördern nicht nur das Verständnis für Cyberrisiken, sondern ermöglichen auch gezielte Maßnahmen. Unternehmen, die es schaffen, Cybersicherheit in ihre Geschäftsstrategie zu integrieren, profitieren langfristig durch gesteigerte Sicherheit, verbesserte Entscheidungsgrundlagen und Wettbewerbsvorteile.
