Warum werden Chief Information Security Officer (CISO) schlicht nicht gehört? 46 Prozent der Befragten in Österreich (weltweit 42 Prozent) glauben, dass sie als übermäßig negativ gelten.34 Prozent (weltweit 43 Prozent), sagen, sie würden als sich wiederholend und nörgelnd gesehen. Fast als ein Drittel von ihnen (32 Prozent, weltweit 33 Prozent) berichtet, bereits von der Geschäftsleitung kurzerhand abgewiesen worden zu sein.
Diese Ergebnisse deuten auf ein gravierendes Kommunikationsproblem hin: Offensichtlich schaffen es die Security-Verantwortlichen nicht, der Geschäftsleitung den Zusammenhang zwischen Cyberrisiken und daraus entstehenden Geschäftsrisiken aufzuzeigen.
Umgekehrt berichten fast alle (97 Prozent), dass sich ihre interne Lage verbesserte, sobald es ihnen gelang, den geschäftlichen Nutzen ihrer Cybersicherheitsstrategie zu messen:
- 42 Prozent (weltweit 45 Prozent) erhielten mehr Verantwortung.
- 38 Prozent (weltweit 44 Prozent) haben den Eindruck, dass ihre Rolle im Unternehmen als wertvoller angesehen wird.
- 35 Prozent (weltweit 43 Prozent) erhielten daraufhin mehr Budget.
- 34 Prozent (weltweit 41 Prozent) werden in die Entscheidungsfindung auf höherer Ebene einbezogen.
- 31 Prozent (weltweit 46 Prozent) fühlen sich als glaubwürdiger wahrgenommen.
Kommunikationsprobleme mit der Führungsebene
Doch es gibt noch viel zu tun: In knapp einem Drittel der österreichischen Unternehmen (28 Prozent, weltweit 34 Prozent) wird Cybersicherheit nach wie vor lediglich als reine IT-Aufgabe und nicht als Teil des Managements von Geschäftsrisiken behandelt.
Nur gut die Hälfte (53 Prozent, weltweit 54 Prozent) der Befragten sind zuversichtlich, dass ihre Führungsebene die Cyberrisiken, denen das Unternehmen ausgesetzt ist, vollständig versteht.
Da sich diese Zahl seit 2021 kaum verändert hat, stellt sich die Frage: Berichten CISOs die richtigen Kennzahlen? Sprechen sie die richtige Sprache, um Cyberrisiken effektiv in geschäftlichen Begriffen zu kommunizieren? Eine große Herausforderung ist dabei die heterogene Security-Landschaft. Viele isolierte Einzellösungen erzeugen inkonsistente Datenpunkte, die es den Security-Verantwortlichen erschweren, klare Aussagen zu Cyberrisiken zu machen.
„Fast die Hälfte der Security-Verantwortlichen in Österreich (45 Prozent) sagen, dass Cyberrisiken ihr größtes Geschäftsrisiko sind. Es gelingt ihnen aber oft nicht, dieses Risiko so zu kommunizieren, dass es die Geschäftsleitung versteht. Infolgedessen werden sie ignoriert, herabgesetzt und der Nörgelei bezichtigt“, unterstreicht Richard Werner, Security Advisor bei Trend Micro.
Taugliche Risikoeinblicke für das Management
Fast die Hälfte der Befragten (46 Prozent, weltweit 58 Prozent) glauben, dass sie stärker in ihre Kommunikationsfähigkeiten investieren müssen. Eine ganzheitliche Plattform zum Management der Angriffsoberfläche (Attack Surface Risk Management, ASRM) kann dabei zur Lösung dieses Kommunikationsproblems beitragen, indem sie konsistente und für das Management taugliche Risikoeinblicke liefert.
ASRM sammelt interne und externe Security-Daten in einem zentralen Data Lake, analysiert und korreliert sie KI-gestützt. Im Executive Dashboard erhalten CISOs alle Informationen zur Risikoexposition, die sie für ein überzeugendes Reporting bei der Geschäftsleitung brauchen.
„Wenn sich die Kommunikation mit der Führungsebene nicht verbessert, wird die Cyber-Resilienz von Unternehmen leiden. Der erste Schritt zur Verbesserung sollte darin bestehen, eine ‚Single Source of Truth‘ für die gesamte Angriffsfläche zu schaffen“, ergänzt Richard Werner abschließend.
