Fehlende Kommunikation als Risikofaktor
Eine Studie von FTI Consulting zeigt erhebliche Kommunikationslücken zwischen Chief Information Security Officer (CISO) und Top-Management auf
Sicherheit ist das gemeinsame Ziel von CISOs und Top-Management - Foto: Gerd Altmann / Pixabay
Unternehmen fokussieren sich zunehmend auf Cybersicherheit – Zugleich zeigt eine Studie von FTI Consulting erhebliche Kommunikationslücken zwischen Chief Information Security Officer (CISO) und Top-Management auf. In Führungsetagen geht mehr als jeder dritte Befragte davon aus, dass Cybersicherheits-Verantwortliche ihr Top-Management über potenzielle Schwachstellen nur zögerlich informieren.
„Keine Frage, Top-Management und CISOs sind sich der Bedeutung von Cybersicherheitsrisiken bewusst“, sagt Meredith Griffanti, Global Head of Cybersecurity & Data Privacy Communications bei FTI Consulting. „Dennoch müssen Unternehmen noch mehr tun, damit Manager und CISOs auch die gleiche Sprache sprechen.“
Im Rahmen der CISO-Studie wurden knapp 800 C-Level-Manager aus neun Ländern und sieben Industrien befragt. Der Studie zufolge wünschen sich nahezu die Hälfte (45%) der befragten deutschen Führungskräfte von ihren CISOs die Fähigkeit, Fachjargon in verständliche Sprache zu übersetzen. Die Risiko-Dimension verdeutlicht ein weiteres Ergebnis der Studie: Darin gaben nur 2% der befragten deutschen CISOs an, dass ihre Unternehmen in den vergangenen zwölf Monaten keinen Cyberangriff erlebt hatten.
„Sicherheit ist das gemeinsame Ziel von CISOs und Top-Management. Doch unsere Studie zeigt, dass sie häufig aneinander vorbei kommunizieren“, sagt Hans-Peter Fischer, Senior Managing Director und Leiter des Bereichs Cyber Security bei FTI in Deutschland. Schließlich spricht der CISO einen Fachjargon, den die Führungsebene und der Vorstand oft nicht verstehen. So entsteht leicht ein endloser Kreislauf, in dem der CISO versucht, die Dinge einfacher – oder besser – darzustellen, als sie tatsächlich sind. „Das wiederum kann dazu führen, dass zum einen CISOs ihr Management von gewissen Investitionen nicht oder nur schwer überzeugen können. Und zum anderen der Vorstand kein genaues Bild hat, wo das Unternehmen am anfälligsten ist,“ so Hans-Peter Fischer weiter.
Neben einem besseren Verständnis wünschen sich deutsche Vorstandsvertreter aber auch eine bessere Verankerung des Themas in der Unternehmenskultur, um Risiken im Bereich Informations- und Cybersicherheit zu reduzieren. So sehen 28% der Befragten in Deutschland Trainingsbedarf zur Frage, wie eine proaktive und adaptive Cybersicherheits-Kultur geschaffen werden kann.
Die befragten deutschen Unternehmen besorgt am meisten das unzureichende Verständnis von Informationssicherheits- und Cybersicherheitsrisiken der Mitarbeiter (45%). Die Schwierigkeit, die richtigen Talente im Bereich Cybersicherheit und Datenschutz zu finden (41%) rangiert auf Rang 2 der Sorgen-Skala.
Der Studie zufolge sind 94 % der befragten Top-Manager der Meinung, dass das Thema Cybersicherheit in den letzten 12 Monaten an Bedeutung gewonnen hat. Bei der Mehrheit genießt Cybersicherheit eine hohe Priorität. Das Top-Management stellt finanzielle Mittel bereit, um dieser neuen Realität Rechnung zu tragen. Durchschnittlich wollen sie Cybersicherheitsbudgets in den kommenden ein bis zwei Jahren um etwa ein Viertel (23%) und in den nächsten drei bis fünf Jahren um mehr als ein Drittel (36%) erhöhen.
Die zentralen Ergebnisse der „CISO Redefined“-Reihe bestätigen eine Kommunikationslücke zwischen Top-Management und CISOs:
- Bemerkenswerte 66% der CISOs sind der Meinung, dass die oberste Führungsebene Schwierigkeiten hat, ihre Rolle innerhalb des Unternehmens vollständig zu verstehen. 31% der C-Level-Führungskräfte wiederum haben Schwierigkeiten, den konkreten Nutzen von Cyber-Investitionen nachzuvollziehen.
- Während 82% der CISOs ein Bedürfnis verspüren, die Sachlage gegenüber dem Vorstand besser darzustellen, glauben 31% der Top-Manager, dass ihre CISOs ein positiveres Bild zeichnen, als es der Wirklichkeit entspricht. 30% denken, dass die CISOs sich nur zögerlich über Sicherheitsbedenken äußern.
- Was interne Abstimmungen betrifft, bestätigen 58% der CISOs, dass es ihnen schwer fällt, den Fachjargon für die Führungsebene verständlich zu übersetzen. 28% der Top-Führungskräfte sind der Studie zufolge zugleich der Meinung, dass es ihre CISO vor Herausforderungen stellt, technische Begriffe in betriebswirtschaftliche Begriffe zu übersetzen. 30% berichten von diesem Problem, wenn CISOs Cyber-Risiken in finanziellen und materiellen Kategorien verständlich machen sollen.
- 98% der befragten Top-Manager sprechen sich dafür aus, mehr Mittel für Kommunikations- und Präsentationstrainings für CISOs bereitzustellen, wobei fast die Hälfte diesen Bedarf als dringend bezeichnet.