Wenn es um Security-Budgets geht, dreht sich ein Großteil der (Online-)Diskussionen darum, wie man das “Board” für sich gewinnt und Investitionen rechtfertigt. Einige Ansätze basieren auf spezifischen Finanzmodellen und zielen darauf ab, den Return on Investment (ROI) zu rechtfertigen. Andere konzentrieren sich eher darauf, Risiken zu quantifizieren und deren Minderung nachzuweisen. Gemein ist ihnen allen, das sie datengestützt funktionieren und auf rationalen Argumenten fußen.

Allerdings stellt sich die Frage: Werden Entscheidungen in großen Organisationen wirklich auf diese Art und Weise getroffen? Tatsächlich sind diese Ansätze Teil der Bottom-up-Argumentation, die CISOs, Security-Berater und -Anbieter in den letzten zwei Jahrzehnten entwickelt haben, um Vorstände für sich zu gewinnen. Meiner Erfahrung nach steht das im Widerspruch zur realen Unternehmensdynamik. Und zwar in dreierlei Hinsicht.

Narrativ trifft Realität

Zunächst einmal: Die Entscheidungsfindung auf Unternehmensebene mag den Anschein von Rationalität erwecken. Tatsächlich wird sie jedoch von kognitiven Verzerrungen beeinflusst, wie Daniel Kahneman und seine Denkschule nachgewiesen haben. Im Cybersecurity-Bereich ist das besonders offensichtlich – was mich zu meinem zweiten Punkt führt. Jeder, der ausreichend Zeit in der Sicherheitsbranche verbracht hat, kennt diese Situation. Zuvor verweigerte Gelder werden plötzlich in nicht geahnter Höhe verfügbar, weil:

regulatorische Überprüfungen anstehen,

ein Audit-Report schlecht ausgefallen ist, oder

ein aktueller Sicherheitsvorfall für Furore sorgt.

In solchen Szenarien werden eher selten Bedenken bezüglich des Return on Invest (ROI) oder der Risikominderung geäußert. Die obersten Führungskräfte haben eher im Blick, nachweisen zu können, dass sie ihren Job erledigt haben, wenn es zu einem schwerwiegenden Breach kommt. Wenn die Umsetzung nicht entsprechend erfolgt, trägt jemand anderes dafür die Verantwortung. Das ist nicht selten der CISO – die Bezeichnung Chief Incident Scapegoat Officer kommt nicht von ungefähr. Noch wichtiger: In vielen Vorstandsetagen ist inzwischen die Erkenntnis gereift, dass es weniger die Frage ist, ob ein Cyberangriff droht – sondern vielmehr wann. Nach zwei Jahrzehnten, die quasi einem fortlaufenden Breach gleichkommen, dürfte es schwierig sein, noch ein Board-Mitglied zu finden, das sich der möglichen Auswirkungen auf das Geschäft nicht bewusst ist.

Das bringt mich zu meinem dritten Punkt: Ich habe viele Gespräche geführt, insbesondere mit CIOs. Die geben oft ganz offen zu, dass sie in ihre Cybersecurity-Budgets einplanen können, was sie möchten. Ihr Hauptproblem besteht vor allem darin, bei Security-Projekten auch Ergebnisse zu liefern. Woher kommt diese Diskrepanz zwischen CISOs und Anbietern, die mit Ressourcen kämpfen auf der einen Seite und Top-Führungskräften auf der anderen, die zunehmend verstehen, dass es wichtig ist, in den Schutz des Unternehmens zu investieren?

Der Mythos von der unterfinanzierten Cybersecurity

Natürlich sind Cybersecurity-Projekte oft komplex. Schließlich müssen sie Unternehmenssilos und geografische Grenzen hinter sich lassen, um einen wirksamen Schutz für das Unternehmen zu gewährleisten. In großen Unternehmen, die naturgemäß territorial und politisch geprägt sind, ist das nicht selbstverständlich. Darüber hinaus spielt auch das Profil der CISOs eine wichtige Rolle: Die meisten haben einen technologischen Hintergrund und haben das letzte Jahrzehnt damit verbracht, Vorfälle zu bekämpfen – ohne jemals in die Lage zu kommen, eine langfristige Strategie zu entwickeln oder umzusetzen.

Sie haben deshalb in vielen Fällen auch nicht die Management-Erfahrung, die politische Finesse oder das Charisma entwickelt, das nötig ist, um wirklich erfolgreich zu sein – jetzt, wo sie im Fokus der Unternehmensleitung stehen. Viele glauben wirklich, dass chronisches Underinvestment in Cybersicherheit die Hauptursache für unzureichende Reifegrade ist. In Wirklichkeit sind es meist chronische Ausführungsfehler in Verbindung mit einer endemischen, kurzfristigen Geschäftsausrichtung, die das Kernproblem darstellen:

Projekte werden zurückgestellt, sobald “Quick Wins” erzielt oder Compliance-Berichte abgehakt sind;

Es kommt zu Richtungswechseln, sobald ein neuer Geschäftsführer eintritt – oder ausscheidet;

Initiativen werden bei den ersten Anzeichen von Marktturbulenzen auf Eis gelegt.

Solche Dinge deuten darauf hin, dass kulturelle und Governance-Aspekte das eigentliche Problem sind – und die Ursache für stagnierende Cybersecurity-Reifegrade. Unter den CISOs, die diese kulturellen Aspekte nicht integriert haben und regelmäßig von diesen Entscheidungen ausgeschlossen bleiben, führt das zu Frust. Und dieser führt wiederum zu kurzen Amtszeiten (für viele nur etwa zwei bis drei Jahre). Dieser stete Wechsel verschärft dann das Missverhältnis zwischen Management und Führung weiter. Denn in großen Unternehmen sind wirklich transformativen Veränderungen in solchen Zeiträumen nicht zu bewirken.

Auch für das Top-Management ist ein CISO-Personalkarussell frustrierend: Sie haben schon allzu oft erlebt, dass neue CISOs mit großartigen Plänen und Millionenforderungen antraten – um dann nach wenigen Jahren alles halbfertig zurückzulassen.

In 100 Tagen an den “Strategietisch”

Ein Großteil dieser Diskrepanz entsteht in den ersten hundert Tagen des CISOs. Viele Sicherheitsentscheider treten ihre neue Stelle mit vorgefassten Meinungen an, die manchmal schon beim Vorstellungsgespräch entstanden sind. Dinge, die woanders funktioniert haben, Leib-und-Magen-Themen, -Anbieter oder -Berater. Viele haben außerdem den Drang, sich in den ersten hundert Tagen als Spezialisten zu beweisen. Das ist ein Fehler. Kompetenz wird in den ersten hundert Tagen vorausgesetzt (schließlich wurden Sie ja gerade erst eingestellt). Die Herausforderungen liegen woanders: Es geht darum, Ihre Fähigkeit unter Beweis zu stellen, sich in die Organisationsstruktur des Unternehmens einzufügen und als Führungskraft zu agieren.

Meiner Meinung nach beginnt das damit, zuzuhören. Zum Beispiel den Stakeholdern und Sponsoren, um deren Erwartungen und Pain Points zu verstehen. Oder das, was beim Vorgänger funktioniert hat und was nicht. Dieser Prozess sollte den Beginn markieren für die gemeinschaftliche Entwicklung einer Cybersicherheitsstrategie. Wenn Ziele mit den Stakeholdern und Sponsoren geteilt werden, reduziert das auch Reibungsverluste. Daraus können mit der Zeit Business Champions entstehen, die die Cybersicherheitsstrategie vorleben und weitergeben. Und zwar nicht, weil es die des CISO ist, sondern ihre eigene.

CISOs sollten in den ersten hundert Tagen außerdem in die Governance- und Führungsdynamik des Unternehmens eingebunden werden. Nur Sicherheitsentscheider, die die kulturellen Strömungen im gesamten Unternehmen identifizieren und verfolgen, erlangen Zugang zu den informellen Vertrauensnetzwerken, in denen die tatsächlichen Entscheidungen getroffen werden. Budget-Diskussionen sind ab diesem Punkt deutlich weniger konfrontativ – sie entwickeln sich mehr zu einem gegenseitigen Austausch zwischen vertrauenswürdigen Partnern. Umgekehrt laufen CISOs, die ihre ersten hundert Tage damit verbringen, sich technisch zu beweisen, Gefahr, in einem Teufelskreis aus operativen Feuerwehreinsätzen gefangen zu bleiben. Und aus dieser Situation gibt es oft kein Entkommen mehr. Am Ende mögen Sie zwar als zuverlässige Kraft angesehen werden, aber es ist unwahrscheinlich, dass Sie so einen Platz am “Strategietisch” erhalten.

Letztendlich wird die Zukunft denjenigen CISOs gehören, die erkennen, dass der Aufbau von Einfluss und Vertrauen Vorrang vor Maßnahmen und Investitionen haben muss. Vorstände müssen nicht mehr davon überzeugt werden, dass Cyberrisiken wichtig sind – sie brauchen selbstbewusste, kulturell versierte Führungskräfte, die sich in komplexen Unternehmensdynamiken zurechtfinden, Vertrauen zu allen Stakeholdern aufbauen und die Umsetzung über Silos hinweg koordinieren können. (fm)

Dieser Beitrag wurde im Rahmen des englischsprachigen Experten-Netzwerks von Foundry veröffentlicht.