Mehr Budget für Pentest? Abgelehnt vom CFO. Strengere Durchsetzung des Least-Privilege-Prinzips (PoLP)? Proteste von den Kollegen aus der IT-Abteilung, die sich für Admin-Aufgaben nicht extra anmelden wollen. Positivlisten („Whitelists“) für den Internetzugang? Vom CEO gestoppt, weil die Mitarbeiter einhellig mit Arbeitsverweigerung drohten. Das sind nur einige Beispiele von vielen für die Interessenskonflikte, denen IT-Security-Abteilungen vieler Unternehmen ausgesetzt sein können. Ein Grund für uns, dieses Thema einmal näher zu beleuchten.

Cyber-Security ist Chefsache

Geht es nach dem Bundesamt für Sicherheit in der Informationstechnik (BSI), sind die Verantwortlichkeiten beim Thema IT-Sicherheit klar verteilt: Die Geschäftsführung hat die Gesamtverantwortung, legt die Security-Strategie und entsprechende Leitlinien fest und delegiert deren Koordination und Umsetzung „Informationssicherheitsbeauftragten“ (ISB) oder neudeutsch „Chief Information Security Officer“ (CISO). Der soll möglichst unabhängig agieren können und daher direkt der Geschäftsführung zugeordnet sein – und auf keinen Fall der IT-Abteilung unterstehen. Rollenkonflikte sollen so vermieden werden.

Immer mehr Unternehmen haben inzwischen solche ISBs, CISOs oder vergleichbare Rollen eingeführt, von den größeren fast alle. Die Rollenkonflikte verschwinden dadurch aber meistens nicht. Eine kluge Verteilung von Zuständigkeiten kann vielleicht rolleninterne Konflikte vermeiden, aber die kehren als Konflikte zwischen den Rollen wieder. Denn die zugrunde liegenden Interessenkonflikte bestehen objektiv, weil die verschiedenen Ziele eines Unternehmens selbst – Digitalisierung, Effizienz, Agilität, Sicherheit, operative Stabilität – nie alle gleichzeitig zu 100 Prozent umgesetzt werden können. Kompromisse sind hier unvermeidbar, und die jeweils Verantwortlichen werden naturgemäß stets versuchen, Einschränkungen für die eigenen Bereiche zu minimieren. Daraus ergibt sich viel Potenzial für Konflikte – etwa zwischen IT, Fachbereichen, Datenschutzbeauftragten, CFO oder anderen C-Rollen. Und der CISO sitzt mittendrin

CISO zwischen den Stühlen

Interessenkonflikte entstehen immer dann, wenn verschiedene Personen, Gruppen oder Abteilungen innerhalb einer Organisation gegensätzliche Interessen oder Prioritäten haben. Ein Beispiel sind Spannungen zwischen Sicherheit einerseits sowie Produktivität und Effizienz: Während der CISO strenge Richtlinien und Verfahren zur Risikominderung einführen möchte, legen andere Abteilungen, z. B. Vertrieb oder Marketing, mehr Wert auf Geschwindigkeit und Flexibilität und empfinden die Sicherheitsmaßnahmen als schwerfällig und zeitaufwendig. DevOps-Teams wollen schnell Updates und neue Funktionen bereitstellen, was mit den Security-Anforderungen an gründliche Tests und Schwachstellenanalysen kollidieren kann – vor allem unter Zeitdruck.

Da in vielen Unternehmen lange ohne besondere Cybersecurity-Vorkehrungen gearbeitet wurde und das notwendige Sicherheitsbewusstsein nicht vorhanden ist, werden jegliche Eingriffe in die etablierten Prozesse als lästig und schlimmstenfalls als Gefährdungen eines reibungslosen Betriebs wahrgenommen.

Damit in Zusammenhang stehen Interessenskonflikte in Bezug auf Sicherheit vs. Benutzerfreundlichkeit: Viele Mitarbeiter empfinden Sicherheitsmaßnahmen wie komplexe Passwörter, Multi-Faktor-Authentifizierung oder häufige Systemaktualisierungen als unbequem oder störend und suchen nach Möglichkeiten, sie zu umgehen. Hier muss der CISO nicht nur für Sicherheit werben, sondern auch nach einem guten Kompromiss zwischen Risikominimierung und Benutzerfreundlichkeit suchen.

Konflikte in der Führungsetage

Mitarbeiter wollen vor allem dann nicht kooperieren, wenn ihnen das Bewusstsein für die Notwendigkeit von Cybersecurity fehlt oder widersprüchliche Anforderungen und Prioritäten vermittelt werden. In diesem Fall kann klare Kommunikation helfen, auch wenn dies alles andere als einfach ist.

Anders bei Konflikten in der Geschäftsführung, die letztlich ja objektive Interessenkonflikte widerspiegeln. So sind etwa CIO und CISO einer Meinung, dass Cybersecurity beträchtliche Investitionen in Technologie, Infrastruktur und Personal erfordern kann, während die Finanzabteilung IT-Sicherheit nur als Kostenblock wahrnimmt und entsprechende Initiativen als zu teuer empfindet.

Nicht selten kollidieren Sicherheitsanforderungen auch direkt mit Geschäftszielen, insbesondere in Branchen, in denen Innovation und schnelle Markteinführung entscheidend sind. Geschäftsbereiche und Führungskräfte drängen möglicherweise auf eine schnelle Einführung neuer Technologien, Produkte oder Dienste, ohne bei deren Entwicklung Sicherheitsaspekte angemessen zu berücksichtigen (Security by Design). Sicherheitstests oder gar nachträgliche Design-Änderungen aufgrund von Schwachstellen sind dann nicht mehr nur lästig, sondern erscheinen schlicht inakzeptabel. Weder der CISO noch andere Führungskräfte können für sich allein das Risikomanagement des Unternehmens mit den Wachstums- und Wettbewerbszielen in Einklang bringen, sie können nur gemeinsam die optimale Balance dafür aushandeln.

CISOs im Stress

Leider haben CISOs dafür häufig nicht das notwendige Standing im Unternehmen und dessen Führung. Sie haben nicht genügend Ressourcen für die Fülle ihrer Aufgaben zur Verfügung, erhalten wenig Unterstützung von der Unternehmensführung oder werden womöglich für die Folgen von Cyberangriffen verantwortlich gemacht, auch wenn sie keine Möglichkeit hatten, diese zu verhindern. Angesichts dieser Misere mag man tatsächlich „CISO“ mit „Chief Intrusion Scapegoat Officer“ übersetzen wollen.

In der Praxis erleben viele CISOs daher Belastungen, die nicht in ihrer Jobbeschreibung standen. Das wird sehr deutlich illustriert durch die Ergebnisse des CISO Stress Reports 2020: Fast 90 Prozent der dort befragten CISOs (aus den USA und Großbritannien) gaben an, dass sie während ihrer Arbeit unter mittelschwerem oder hohem Stress stehen; dies wirkt sich negativ auf ihre psychische Gesundheit (48 %), ihre körperliche Gesundheit (35 %) und ihr Familien- und Sozialleben (40 %) aus. So gut wie alle (95 %) arbeiten mehr als die vertraglich vereinbarten Stunden. Auf der anderen Seite meinten 97 Prozent der befragten C-Manager, dass ihr Sicherheitsteam für das ihm zur Verfügung gestellte Budget mehr Nutzwert liefern könnte; fast ebenso viele (94 %) sagten, der CISO könne seinen Wert besser demonstrieren. In Deutschland ist das nicht anders: Über die Hälfte der deutschen CISOs sehen sich mit unangemessenen Erwartungen seitens des Vorstands konfrontiert (55 %) und sind besorgt über persönliche Haftungsrisiken (52 %); 54 Prozent haben in den letzten 12 Monaten einen Burnout erlebt (Quelle: Voice of the CISO Report 2023).

Was brauchen CISOs, um erfolgreich zu arbeiten?

Diese Situation ist gefährlich: Die Sicherheit eines Unternehmens hängt wesentlich davon ab, dass die dafür Verantwortlichen gute Arbeit leisten können. Was können Organisationen dafür tun?

Es ist klar, dass die CISO-Rolle in die Lage versetzt werden muss, die erwarteten Ergebnisse zu liefern. Das setzt zum einen realistische Erwartungen voraus: 100 Prozent Sicherheit gibt es nicht und nicht jeder Angriff kann verhindert werden. Eine langfristige Sicherheitsstrategie, in deren Ausarbeitung der CISO involviert ist, die aber von der Geschäftsführung beschlossen werden muss, hilft konkrete Ziele zu definieren und zu priorisieren, für deren Umsetzung der CISO sorgt. Dafür müssen ihm natürlich genügend Ressourcen (Personal, Budget) zur Verfügung stehen.

Zudem muss er unabhängig agieren können. Diesbezüglich wird viel und kontrovers diskutiert, ob der CISO jetzt besser an den CIO, den CFO oder den CEO berichten solle. Eine Empfehlung unabhängig von konkreten Gegebenheiten vor Ort ist kaum möglich; jede dieser Möglichkeiten hat ihre Vor- und Nachteile. Wer Informationssicherheit nicht auf digitale Informationen beschränken will, wird eher nicht den CIO favorisieren. Der CFO wiederum ist oft ohnehin für das Risikomanagement im Unternehmen verantwortlich und daher eine naheliegende Wahl – zumal es ja bei Security-Projekten immer auch um Budgets geht.

CISOs auf Augenhöhe

Aber eines sollte ebenfalls bedacht werden: Der CISO benötigt mehr als alles andere die Autorität, im Unternehmen auch unbeliebte Vorgaben durchzusetzen. Gute Kommunikationsfähigkeiten allein reichen hier nicht aus, wenn die Geschäftsführung aus Sicht der Belegschaft nicht an einem Strang zieht.

Deshalb liegen die Ursachen der geschilderten Probleme zu großen Teilen auch in bestehenden objektiven Interessenkonflikten zwischen Sicherheit und anderen Business-Zielen. Um diese erfolgreich immer wieder zu vermitteln, sollte der CISO mit den anderen Mitgliedern der Geschäftsführung auf Augenhöhe reden können. Es spricht daher auch einiges dafür, dem CISO ein ständiges Mitspracherecht auf Vorstandsebene einzuräumen und also direkt an den CEO berichten zu lassen. Das wird der heutigen Bedeutung von Cybersecurity gerecht und fördert ihre Wahrnehmung als Business Enabler, die Innovation und Digitalisierung nicht behindert, sondern ermöglicht.

Gerne unterstützen und beraten wir, wie man die aktuellen Herausforderungen mit effizienteren Workflows und Managed Services begegnen kann.