Dr. Hans-Jürgen Hillmer
FTI-Studie deckt gefährliche Defizite auf
Zwischen Top-Management und Cybersicherheitsverantwortlichen in Unternehmen klafft eine potenziell hochriskante Kommunikationslücke. In Führungsetagen geht mehr als jeder dritte Befragte davon aus, dass Cybersicherheitsverantwortliche ihr Top-Management über potenzielle Schwachstellen nur zögerlich informieren – und dies trotz breiter Einigkeit über die steigende Bedeutung von Cybersicherheit.
Praxis-Info!
Problemstellung
Angesichts einer sich rasch entwickelnden Risikolandschaft, neuer gesetzlicher Vorschriften und erhöhter öffentlicher Aufmerksamkeit investieren Top-Manager zwar vermehrt in Cybersicherheit. Zugleich sind viele aber der Meinung, dass ihre für die IT-Sicherheit Verantwortlichen (neudeutsch die sog. Chief Information Security Officer, CISOs) den wichtigen sicherheitsrelevanten Kommunikationsanforderungen nicht gerecht werden. Damit hat sich fehlende Kommunikation offenbar als ein starker Risikofaktor eingeschlichen. Dies zeigt die am 27.3.2024 von FTI Consulting veröffentlichte Studie CISO Redefined – Navigating C-Suite Perceptions & Expectations. Das Problem bringt Meredith Griffanti (Global Head of Cybersecurity & Data Privacy Communications bei FTI Consulting) wie folgt auf den Punkt: „Keine Frage, Top-Management und CISOs sind sich der Bedeutung von Cybersicherheitsrisiken bewusst – dennoch müssen Unternehmen noch mehr tun, damit Manager und CISOs auch die gleiche Sprache sprechen.“
Der Studie zufolge wünschen sich nahezu die Hälfte (45%) der befragten deutschen Führungskräfte von ihren CISOs die Fähigkeit, Fachjargon in verständliche Sprache zu übersetzen. Die hochbrisante Risiko-Dimension verdeutlicht ein weiteres Ergebnis der Studie: Darin gaben nur 2% (!) der befragten deutschen CISOs an, dass ihre Unternehmen in den vergangenen zwölf Monaten keinen Cyberangriff erlebt hatten.
Hans-Peter Fischer, Leiter des Bereichs Cyber Security bei FTI in Deutschland, stellt dazu fest: „Sicherheit ist das gemeinsame Ziel von CISOs und Top-Management. Doch unsere Studie zeigt, dass sie häufig aneinander vorbei kommunizieren.“ Insbesondere spreche der CISO einen Fachjargon, den die Führungsebene und der Vorstand oft nicht verstehen. So entstehe leicht ein endloser Kreislauf, in dem der CISO versucht, die Dinge einfacher – oder besser – darzustellen, als sie tatsächlich sind. Das wiederum könne dazu führen, dass
- zum einen CISOs ihr Management von gewissen Investitionen nicht oder nur schwer überzeugen können und
- zum anderen der Vorstand bzw. die Geschäftsleitung kein genaues Bild hat, wo das Unternehmen am anfälligsten ist.
Lösung
Was also ist zu tun in diesem Problemumfeld (vgl. im Überblick mit weiteren Einzelheiten die Tabelle), das sicher nicht auf Großunternehmen begrenzt ist, sondern schon im Kleinstbetrieb auftreten kann, wenn beispielsweise betagte Geschäftsleiter auf junge Mitarbeiter vertrauen können müssen, die in einer IT-Welt mit eigener Sprache groß geworden sind (durchaus vergleichbar mit familiären Großvater-Enkel-Beziehungen).
| Tabelle: Kommunikationslücke zwischen Top-Management und CISOs gemäß FTI-Studie |
| Rollenverständnis | Bemerkenswerte 66% der CISOs sind der Meinung, dass die oberste Führungsebene Schwierigkeiten hat, ihre Rolle innerhalb des Unternehmens vollständig zu verstehen. 31% der C-Level-Führungskräfte wiederum haben Schwierigkeiten, den konkreten Nutzen von Cyber-Investitionen nachzuvollziehen. |
| Verzerrte Wahrnehmungen | Während 82% der CISOs ein Bedürfnis verspüren, die Sachlage gegenüber dem Vorstand besser darzustellen, glauben 31% der Top-Manager, dass ihre CISOs ein positiveres Bild zeichnen, als es der Wirklichkeit entspricht. 30% denken, dass die CISOs sich nur zögerlich über Sicherheitsbedenken äußern. |
| Fachjargon | Was interne Abstimmungen betrifft, bestätigen 58% der CISOs, dass es ihnen schwerfällt, den Fachjargon für die Führungsebene verständlich zu übersetzen. 28% der Top-Führungskräfte sind der Studie zufolge zugleich der Meinung, dass es ihre CISOs vor Herausforderungen stellt, technische Begriffe in betriebswirtschaftliche Begriffe zu übersetzen. 30% berichten von diesem Problem, wenn CISOs Cyber-Risiken in finanziellen und materiellen Kategorien verständlich machen sollen.
|
| Lösungsansatz | 98% der befragten Top-Manager sprechen sich dafür aus, mehr Mittel für Kommunikations- und Präsentationstrainings für CISOs bereitzustellen, wobei fast die Hälfte diesen Bedarf als dringend bezeichnet. |
Die FTI-Experten halten insbesondere die Schulung der Präsentations- und Kommunikationsfähigkeiten von CISOs für entscheidend, um ein gemeinsames Verständnis und die richtige Priorisierung von Cybersicherheitsthemen im Unternehmen entwickeln zu können (vgl. Tabelle). Neben einem besseren Verständnis wünschen sich deutsche Geschäftsleiter der Studie zufolge aber auch eine bessere Verankerung des Themas in der Unternehmenskultur, um Risiken im Bereich Informations- und Cybersicherheit zu reduzieren. So sehen 28% der Befragten in Deutschland Trainingsbedarf zur Frage, wie eine proaktive und adaptive (anpassungsfähige) Cybersicherheitskultur geschaffen werden kann.
Die befragten deutschen Unternehmen besorgt am meisten das unzureichende Verständnis von Informationssicherheits- und Cybersicherheitsrisiken der Mitarbeiter (45%). Die Schwierigkeit, die richtigen Talente im Bereich Cybersicherheit und Datenschutz zu finden (41%), rangiert auf Rang 2 der Sorgen-Skala.
Praxishinweise: - Der Studie zufolge genießt Cybersicherheit eine hohe Priorität. Das Top-Management stellt offenbar auch finanzielle Mittel bereit, um dieser neuen Realität Rechnung zu tragen. Durchschnittlich wollen sie Cybersicherheitsbudgets in den kommenden ein bis zwei Jahren um etwa ein Viertel (23%) und in den nächsten drei bis fünf Jahren um mehr als ein Drittel (36%) erhöhen. Die vollständige Untersuchung können Sie hier herunterladen: https://fticommunications.com/ciso-redefined-navigating-c-suite-perceptions-and-expectations/.
- Im Ergebnis ist eine klare, offene Kommunikation im Führungskreis ein Muss für jedes Unternehmen, um die gestiegenen Risiken im Bereich der Cybersicherheit angemessen zu bewerten und sich dagegen zu schützen, so sagt es Oliver Müller, Senior Managing Director und Leiter des Bereichs Krisen-, Litigations- und Cybersicherheitskommunikation bei FTI Deutschland. Sofern Führungskräfte keinen oder einen nur unzureichenden Einblick in die Bedrohungen haben, mit denen sie konfrontiert sind, verpassen Unternehmen – so seine Warnung – die Möglichkeit, die richtigen Ressourcen einzusetzen, um ihre Widerstandsfähigkeit und Abwehrbereitschaft zu maximieren.
- Das beschriebene Problem ist umso gravierender, als Deutschland an der Schwelle zu einer KI-Revolution (KI = Künstliche Intelligenz) steht. So wurde im BC-Newsletter vom 7.3.2024 über einen internationalen Report vom 7.3.2024 berichtet, der erkennen lässt, dass die KI-Nutzung das Wirtschaftsgeschehen auch in Deutschland rasant verändern wird. Gesehen wird aber auch die zumindest heute noch bestehende Kluft zwischen ehrgeizigen Zielen und realen Gegebenheiten. Dazu dürften die oben beschriebenen „Sprachbarrieren“ ihren Teil beitragen. Eine entsprechende Talentförderung ist auch für KMU unerlässlich (siehe dazu die ausgewertete Mercer-Studie, zum Download verfügbar unter https://www.mercer.com/insights/people-strategy/future-of-work/global-talent-trends/).
|
Dr. Hans-Jürgen Hillmer, BuS-Netzwerk Betriebswirtschaft und Steuern, Coesfeld
BC 5/2024
BC20240505