Miha Creative – shutterstock.com
In modernen Unternehmensumgebungen werden Investitionen in Sicherheitstechnologien nicht mehr nur anhand ihres technischen Reifegrades beurteilt. Die Finanzierung hängt vermehrt davon ab, inwieweit sich damit Umsatz generieren lässt, Risiken gemindert und Mehrwerte für Aktionäre geschaffen werden. Von CISOs wird erwartet, dass sie ihre Strategien nicht als technische Upgrades, sondern als Wegbereiter für Umsatzsteigerungen präsentieren. Die Herausforderung besteht dabei nicht nur darin, die richtigen Investitionsentscheidungen zu treffen, sondern diese auch auf Vorstandsebene zu rechtfertigen.
Am Anfang muss die Herausforderung stehen
CISOs geraten oft in Erklärungsnot, wenn sie Lösungen präsentieren, bevor die Herausforderung definiert ist. Ein solches Vorgehen schafft Distanz anstelle von Übereinstimmung. Vorstände wollen verstehen, was ihre Organisation mit einem neuen Lösungsansatz erreichen kann, welche Fallstricke vermieden werden und warum Cybersecurity-Investitionen nicht aufschiebbar sind.
Bei der Präsentation einer Cybersicherheitsstrategie wie Zero Trust sollte deshalb der Kommunikationsschwerpunkt mit dem Vorstand darauf liegen, wie das Cyberrisiko-Profil des Unternehmens zum Positiven verändert werden kann.
Technologie mit strategischen Prioritäten verknüpfen
Um in der Vorstandsetage glaubwürdig zu sein, müssen CISOs ihre geplanten Ausgaben anhand der Unternehmenszielsetzung definieren. Der Vorstand konzentriert sich auf Prioritäten wie neue Märkte zu erschließen, die Margen zu verbessern, die Widerstandsfähigkeit zu steigern und die Compliance zu gewährleisten. Ein gut durchdachter Vorschlag knüpft direkt an diese Anliegen an.
Wenn eine Sicherheitsplattform die Reaktionszeit bei Vorfällen verkürzt, ist das Ergebnis operative Stabilität und damit eine höhere Resilienz. Wenn sie Tools konsolidiert, sorgt sie für Kosteneffizienz. Wenn sie eine sichere Expansion in neue Regionen ermöglicht, ist Umsatzwachstum die Folge. Eine solche Argumentationskette schafft Glaubwürdigkeit und hilft dabei, Investitionen bewilligt zu bekommen.
Eine Sprache für Risiken und Rendite
Vorstände treffen Entscheidungen unter der Berücksichtigung von Begrifflichkeiten wie Risiko und Rendite. Dazu gehören finanzielle Risiken, operative Risiken und Reputationsrisiken für das Unternehmen. Vorstandsmitglieder bewerten Wahrscheinlichkeit, Exposition und Auswirkungen von Vorfällen in jedem dieser Bereiche. Dementsprechend besteht die Aufgabe des CISOs darin, zu verdeutlichen, wie eine vorgeschlagene Investition Schwachstellen reduziert, Auswirkungen von Vorfällen begrenzt oder die Resilienz der Infrastruktur erhöht.
Diese Gespräche sollten Kostenmodelle, Szenarien für mögliche Sicherheitsverletzungen, Zeitpläne für die Wiederherstellung nach einem Cyberangriff und den geschäftlichen Nutzen aufzeigen. Das Ziel sollte sein, Ausfallzeiten zu vermeiden und dabei die Sprache der Vorstände zu sprechen, ohne die technische Integrität zu vernachlässigen.
Shareholder Value bedenken
Der Reifegrad und auch die Denkweisen von Vorständen in Bezug auf die Cybersicherheit variieren deutlich. Einige Kontrollgremien reagieren erst nach einem größeren Cybervorfall oder einem nicht bestandenen Audit. Andere sind sehr viel proaktiver in ihrer Vorgehensweise und fordern Cybersicherheitsbewertungen als Teil ihrer Marktexpansion oder M&A-Aktivitäten. Andere beziehen Cybersicherheit in Simulationen ein und stellen zukunftsorientierte Fragen zur Widerstandsfähigkeit angesichts potenzieller Angriffsszenarien.
Das Verständnis dieses Reifegrades hilft dabei, die Kommunikationsstrategie anzupassen. Ein reaktiver Vorstand benötigt möglicherweise eine klare Erklärung der negativen Folgen. Ein informierter Vorstand erwartet eher quantifizierbare Ergebnisse und eine Roadmap. Die besten Vorstandsdiskussionen finden statt, wenn sich der CISO an das Technologieverständnis des Vorstands anpasst und gleichzeitig dessen Perspektive behutsam erweitert.
Lesetipp: 10 Kennzahlen, die CISOs weiterbringen
Operative Exzellenz als Ergebnis positionieren
Eines der wirksamsten Argumente in den Gesprächen mit dem Vorstand zum Thema Cybersicherheit ist operative Exzellenz. Wenn Unternehmen in unterschiedlichen Regionen und Branchen tätig sind, müssen sie agil, abgesichert und kontrolliert arbeiten. Eine IT-Architektur sollte
globale Anforderungen adressieren und
dabei Mitarbeitende unterstützen, die von überall aus arbeiten,
Drittparteien integrieren,
eine Reihe von regulatorischen Anforderungen erfüllen und
geistiges Eigentum schützen.
Ein derart umfangreiches Anforderungsprofil kann sehr schnell zu einer komplexen Umsetzung und dadurch zu Ineffizienzen führen. CISOs setzen mit einer starken Technologiestrategie auf eine vereinfachte Infrastruktur, ermöglichen sichere globale Datenflüsse und verkürzen Markteintrittszeiten. Eine solche Positionierung hebt die Diskussion von der Systemauswahl auf eine strategische Ebene.
Zukünftige Risiken im Fokus
Von einem Vorstand wird erwartet, dass er sich nicht nur auf aktuelle Risiken konzentriert, sondern auch auf zukünftige Szenarien. Dazu gehören beispielsweise die Regulierung der ethischen Nutzung von KI, das Verständnis der Auswirkungen von Datenmissbrauch und die Vorbereitung auf die Auswirkungen des Quantencomputings. Der Vorstand wird für den sicheren und regulierten Umgang mit Daten verantwortlich und sogar haftbar gemacht. Dies sind keine abstrakten Themen mehr. Deshalb sollten sie bereits jetzt als künftige technologische Herausforderungen auf der CISO-Agenda stehen.
Die Nutzung von KI hat in Unternehmen zugenommen und Vorstände haben für die Verwendung von Daten geradezustehen. Quantencomputing ist zwar noch im Anfangsstadium, aber das Risiko der zukünftigen Technologie für heutige Verschlüsselungen macht es schon jetzt zu einem notwendigen Bestandteil jeder langfristigen Planung. Viele CISOs nutzen die Chance bereits, das Thema beim Vorstand zu positionieren und zu erklären, welche Maßnahmen in absehbarer Zukunft zum Schutz der Daten erforderlich sind.
Die Macht der Zahlen
Die finanzielle Ausgestaltung ist genauso wichtig wie die strategische Vorgehensweise. Da immer mehr Unternehmen von hardwareintensiven Architekturen zu Cloud-nativen SaaS- Modellen übergehen, verändert sich die Wirtschaftlichkeit der Sicherheit. Die Kosten verlagern sich von Kapitalausgaben zu Betriebsausgaben. Dies kann zwar zunächst zu einer Verringerung des EBITDA (betriebswirtschaftliche Kennzahl/Earnings Before Interest,Taxes, Depreciation and Amortization) führen, eliminiert jedoch auch Hardware-Erneuerungszyklen, verbessert die Prognosegenauigkeit und senkt die langfristigen Gesamtbetriebskosten.
Abrechnungsmodelle pro User für Cloud-Services sorgen für Vorhersehbarkeit und höhere Flexibilität als Reaktion auf Veränderungen. Weiteres Einsparpotenzial besteht in der Konsolidierung von Tools auf wenige Plattformanbieter. Zusätzlich kann die Automatisierung von Prozessen den Service Desk entlasten und die Produktivität verbessern.
Letztlich sollten CISOs aufzeigen, wie potenzielle Investitionen in neue Technologien den Cashflow verbessern, Margen sichern und mit dem Unternehmenswachstum skalieren. CFOs und Prüfungsausschüsse möchten wissen, wie sich jeder Vorschlag auf die Finanzergebnisse auswirkt. Sie möchten auch verstehen, was kapitalisiert werden kann, welche Ausgleichseffekte zu erwarten sind und wie sich die Investitionen mit der Nachfrage entwickeln werden.
Fazit
Letztendlich geht es bei der Rechtfertigung von Security-Investitionen nicht um Überzeugungsarbeit, sondern um Einflussnahme. Es geht darum, die Geschäftsprioritäten mit sicheren, skalierbaren und kostengünstigen Lösungen in Einklang zu bringen.
Dementsprechend müssen CISOs eine Strategie präsentieren, die Risiken reduziert, die Agilität verbessert und das Unternehmen für langfristigen Erfolg positioniert. Wenn die IT-Führungsriege die Sprache des Mehrwerts von Lösungsansätzen spricht, klingen ihre Vorschläge nicht mehr wie technische Anforderungen, sondern wie geschäftliche Notwendigkeiten. (jm)
No Responses