{"id":1899,"date":"2025-02-12T08:48:24","date_gmt":"2025-02-12T08:48:24","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=1899"},"modified":"2025-02-12T08:48:24","modified_gmt":"2025-02-12T08:48:24","slug":"jeder-funfte-ciso-vertuscht-compliance-probleme","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=1899","title":{"rendered":"Jeder f\u00fcnfte CISO vertuscht Compliance-Probleme"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Compliance-Verfehlungen unter den Teppich zu kehren, sollte sich f\u00fcr CISOs falsch anf\u00fchlen.\n

Roman Samborskyi | shutterstock.com<\/p>\n<\/div>\n

CISOs befinden sich zunehmend in der Zwickm\u00fchle, wenn es darum geht, eine gesunde Balance zwischen Loyalit\u00e4t zu ihrer Organisation und ihren rechtlichen Verantwortlichkeiten zu finden. Zumindest legt das eine aktuelle Studie des Sicherheitsanbieter Splunk<\/a> nahe, in deren Rahmen 600 CISOs weltweit befragt wurden. Demnach:<\/p>\n

geben 21 Prozent<\/strong> der befragten Sicherheitsentscheider an, schon einmal von anderen F\u00fchrungskr\u00e4ften oder Vorstandsmitgliedern unter Druck gesetzt worden zu sein, Compliance-Verst\u00f6\u00dfe nicht zu melden.<\/p>\n

w\u00fcrden 59 Prozent<\/strong> der Befragten in Erw\u00e4gung ziehen, zum Whistleblower<\/a> zu werden, falls Compliance-Erfordernisse ignoriert werden \u2013 die CISOs sind sich also der damit verbundenen Risiken bewusst.<\/p>\n

\u201cAlarmierend, aber nicht \u00fcberraschend\u201d<\/h2>\n

Diese Ergebnisse lassen bei unabh\u00e4ngigen Sicherheitsexperten die Alarmglocken schrillen. Zum Beispiel bei Sam Peters, Chief Product Officer beim Compliance-Spezialisten ISMS.online: \u201eDruck auf den CISO auszu\u00fcben, damit er Compliance-Probleme unter den Teppich kehrt, ist nicht nur unethisch \u2013 es erh\u00f6ht auch drastisch das Risiko, dass Sicherheitsentscheider pers\u00f6nlich haften m\u00fcssen, und ist der langfristigen Resilienz einer Organisation massiv abtr\u00e4glich\u201c, warnt der CPO.<\/p>\n

Matthias Held, technischer Programmmanager bei Bugcrowd und ehemaliger CISO, erkennt in den Studienergebnissen von Splunk vor allem tiefere, systemische Probleme in der Wahrnehmung von IT-Sicherheit auf F\u00fchrungsebene: \u201eDie Ergebnisse sind alarmierend, aber leider nicht \u00fcberraschend\u201c, konstatiert er und verweist auf den Fall des ehemaligen Uber-CISOs Joe Sullivan<\/a>. \u201eAuch hier wurde die rechtliche Verantwortung dem CISO zugeschustert, anstatt die Wurzel des \u00dcbels zu beheben: Business-Entscheidungen, die der Au\u00dfendarstellung Vorrang vor der Sicherheit einr\u00e4umen.\u201c<\/p>\n

Auch Bryan Marlatt, Chief Regional Officer beim Sicherheitsanbieter CyXcel, beschleicht das Gef\u00fchl, dass Vorst\u00e4nde sich oft mehr um das Reputationsmanagement als um regulatorische Vorgaben sorgen: \u201eDas f\u00fchrt dazu, dass CISOs zunehmend dazu angehalten werden, Stillschweigen zu bewahren oder Vorf\u00e4lle falsch zu klassifizieren, um Aufsichtsbeh\u00f6rden und Aktion\u00e4re nicht zu alarmieren.\u201c<\/p>\n

Seine Einsch\u00e4tzung kann Marlatt mit pers\u00f6nlichen Erfahrungswerten untermauern: \u201eIn meiner Zeit als CISO habe ich schon einmal die Anweisung erhalten, bestimmte Risiken gegen\u00fcber Auditoren<\/a> falsch darzustellen. Daraufhin habe ich mich dazu entschieden, die Organisation zu verlassen.\u201c<\/p>\n

Auch James Hughes, Enterprise CTO beim Sicherheitsanbieter Rubrik, sieht zwischen der Security-Realit\u00e4t und dem Verst\u00e4ndnis der Vorstandsebene eklatante L\u00fccken: \u201eW\u00e4hrend die Regulierungsbeh\u00f6rden immer strenger werden<\/a>, sind viele CISOs der \u00dcberzeugung, dass ihre Budgets den Compliance-Erfordernissen nicht gerecht werden. Diese Diskrepanz gef\u00e4hrdet nicht nur die Sicherheitslage der Unternehmen, sondern auch ihre F\u00e4higkeit, sich an die wandelnden, regulatorischen Anforderungen anzupassen.\u201c<\/p>\n

Eine aktuelle Studie des Sicherheitsabieters Thales<\/a> belegt, wie stark Compliance und betriebliche Widerstandsf\u00e4higkeit zusammenh\u00e4ngen: Demnach erleben 43 Prozent der Unternehmen, die in den vergangenen zw\u00f6lf Monaten ein Compliance-Audit nicht bestanden haben, mit deutlich h\u00f6herer Wahrscheinlichkeit einen Security Breach.<\/p>\n

F\u00fcr Joe Hubback, CISO bei der Technologieberatung Elixirr, ist die Zielsetzung klar: \u201eSicherheitsentscheider m\u00fcssen risikobewusstes Verhalten und Verantwortlichkeit im gesamten Unternehmen f\u00f6rdern<\/a>. Dazu sollten sie insbesondere auf eine offene Kommunikation setzen, in deren Rahmen selbstverst\u00e4ndlich auch Compliance-Bedenken gemeldet werden.\u201c (fm)<\/p>\n

Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong>Unser kostenloser Newsletter<\/strong><\/a> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Compliance-Verfehlungen unter den Teppich zu kehren, sollte sich f\u00fcr CISOs falsch anf\u00fchlen. Roman Samborskyi | shutterstock.com CISOs befinden sich zunehmend in der Zwickm\u00fchle, wenn es darum geht, eine gesunde Balance zwischen Loyalit\u00e4t zu ihrer Organisation und ihren rechtlichen Verantwortlichkeiten zu finden. Zumindest legt das eine aktuelle Studie des Sicherheitsanbieter Splunk nahe, in deren Rahmen 600 […]<\/p>\n","protected":false},"author":0,"featured_media":1900,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-1899","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1899"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1899"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1899\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/1900"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1899"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1899"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1899"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}