{"id":6449,"date":"2026-01-07T04:00:00","date_gmt":"2026-01-07T04:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=6449"},"modified":"2026-01-07T04:00:00","modified_gmt":"2026-01-07T04:00:00","slug":"cybersecurity-hat-kein-budget-problem","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=6449","title":{"rendered":"Cybersecurity hat kein Budget-Problem"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Ein Tag im Leben eines Sicherheitsentscheiders\u2026\n

Dudarau Dzmitry | shutterstock.com<\/p>\n<\/div>\n

Wenn es um Security-Budgets geht, dreht sich ein Gro\u00dfteil der (Online-)Diskussionen darum, wie man das \u201cBoard\u201d f\u00fcr sich gewinnt und Investitionen rechtfertigt. Einige Ans\u00e4tze basieren auf spezifischen Finanzmodellen<\/a> und zielen darauf ab, den Return on Investment (ROI) zu rechtfertigen. Andere konzentrieren sich eher darauf, Risiken<\/a> zu quantifizieren und deren Minderung nachzuweisen. Gemein ist ihnen allen, das sie datengest\u00fctzt funktionieren und auf rationalen Argumenten fu\u00dfen.<\/p>\n

Allerdings stellt sich die Frage: Werden Entscheidungen in gro\u00dfen Organisationen wirklich auf diese Art und Weise getroffen? Tats\u00e4chlich sind diese Ans\u00e4tze Teil der Bottom-up-Argumentation, die CISOs, Security-Berater und -Anbieter in den letzten zwei Jahrzehnten entwickelt haben, um Vorst\u00e4nde f\u00fcr sich zu gewinnen<\/a>. Meiner Erfahrung nach steht das im Widerspruch zur realen Unternehmensdynamik. Und zwar in dreierlei Hinsicht.<\/p>\n

Narrativ trifft Realit\u00e4t<\/h1>\n

Zun\u00e4chst einmal: Die Entscheidungsfindung auf Unternehmensebene mag den Anschein von Rationalit\u00e4t erwecken. Tats\u00e4chlich wird sie jedoch von kognitiven Verzerrungen beeinflusst, wie Daniel Kahneman<\/a> und seine Denkschule nachgewiesen haben. Im Cybersecurity-Bereich ist das besonders offensichtlich \u2013 was mich zu meinem zweiten Punkt f\u00fchrt. Jeder, der ausreichend Zeit in der Sicherheitsbranche verbracht hat, kennt diese Situation. Zuvor verweigerte Gelder werden pl\u00f6tzlich in nicht geahnter H\u00f6he verf\u00fcgbar, weil:<\/p>\n

regulatorische \u00dcberpr\u00fcfungen anstehen,<\/p>\n

ein Audit-Report schlecht ausgefallen ist, oder<\/p>\n

ein aktueller Sicherheitsvorfall f\u00fcr Furore sorgt.<\/p>\n

In solchen Szenarien werden eher selten Bedenken bez\u00fcglich des Return on Invest (ROI) oder der Risikominderung ge\u00e4u\u00dfert. Die obersten F\u00fchrungskr\u00e4fte haben eher im Blick, nachweisen zu k\u00f6nnen, dass sie ihren Job erledigt haben, wenn es zu einem schwerwiegenden Breach kommt. Wenn die Umsetzung nicht entsprechend erfolgt, tr\u00e4gt jemand anderes daf\u00fcr die Verantwortung. Das ist nicht selten der CISO \u2013 die Bezeichnung Chief Incident Scapegoat Officer<\/a> kommt nicht von ungef\u00e4hr. Noch wichtiger: In vielen Vorstandsetagen ist inzwischen die Erkenntnis gereift, dass es weniger die Frage ist, ob ein Cyberangriff droht \u2013 sondern vielmehr wann. Nach zwei Jahrzehnten, die quasi einem fortlaufenden Breach gleichkommen, d\u00fcrfte es schwierig sein, noch ein Board-Mitglied zu finden, das sich der m\u00f6glichen Auswirkungen auf das Gesch\u00e4ft nicht bewusst ist.<\/p>\n

Das bringt mich zu meinem dritten Punkt: Ich habe viele Gespr\u00e4che gef\u00fchrt, insbesondere mit CIOs. Die geben oft ganz offen zu, dass sie in ihre Cybersecurity-Budgets einplanen k\u00f6nnen, was sie m\u00f6chten. Ihr Hauptproblem besteht vor allem darin, bei Security-Projekten auch Ergebnisse zu liefern. Woher kommt diese Diskrepanz zwischen CISOs und Anbietern, die mit Ressourcen k\u00e4mpfen auf der einen Seite und Top-F\u00fchrungskr\u00e4ften auf der anderen, die zunehmend verstehen, dass es wichtig ist, in den Schutz des Unternehmens zu investieren?<\/p>\n

Der Mythos von der unterfinanzierten Cybersecurity<\/h1>\n

Nat\u00fcrlich sind Cybersecurity-Projekte oft komplex. Schlie\u00dflich m\u00fcssen sie Unternehmenssilos und geografische Grenzen hinter sich lassen, um einen wirksamen Schutz f\u00fcr das Unternehmen zu gew\u00e4hrleisten. In gro\u00dfen Unternehmen, die naturgem\u00e4\u00df territorial und politisch gepr\u00e4gt sind, ist das nicht selbstverst\u00e4ndlich. Dar\u00fcber hinaus spielt auch das Profil der CISOs<\/a> eine wichtige Rolle: Die meisten haben einen technologischen Hintergrund und haben das letzte Jahrzehnt damit verbracht, Vorf\u00e4lle zu bek\u00e4mpfen \u2013 ohne jemals in die Lage zu kommen, eine langfristige Strategie zu entwickeln oder umzusetzen. <\/p>\n

Sie haben deshalb in vielen F\u00e4llen auch nicht die Management-Erfahrung, die politische Finesse oder das Charisma entwickelt, das n\u00f6tig ist, um wirklich erfolgreich zu sein \u2013 jetzt, wo sie im Fokus der Unternehmensleitung stehen. Viele glauben wirklich, dass chronisches Underinvestment in Cybersicherheit die Hauptursache f\u00fcr unzureichende Reifegrade ist. In Wirklichkeit sind es meist chronische Ausf\u00fchrungsfehler in Verbindung mit einer endemischen, kurzfristigen Gesch\u00e4ftsausrichtung, die das Kernproblem darstellen:<\/p>\n

Projekte werden zur\u00fcckgestellt, sobald \u201cQuick Wins\u201d erzielt oder Compliance-Berichte abgehakt sind;<\/p>\n

Es kommt zu Richtungswechseln, sobald ein neuer Gesch\u00e4ftsf\u00fchrer eintritt \u2013 oder ausscheidet;<\/p>\n

Initiativen werden bei den ersten Anzeichen von Marktturbulenzen auf Eis gelegt.<\/p>\n

Solche Dinge deuten darauf hin, dass kulturelle und Governance-Aspekte das eigentliche Problem sind \u2013 und die Ursache f\u00fcr stagnierende Cybersecurity-Reifegrade<\/a>. Unter den CISOs, die diese kulturellen Aspekte nicht integriert haben und regelm\u00e4\u00dfig von diesen Entscheidungen ausgeschlossen bleiben, f\u00fchrt das zu Frust. Und dieser f\u00fchrt wiederum zu kurzen Amtszeiten (f\u00fcr viele nur etwa zwei bis drei Jahre). Dieser stete Wechsel versch\u00e4rft dann das Missverh\u00e4ltnis zwischen Management und F\u00fchrung weiter. Denn in gro\u00dfen Unternehmen sind wirklich transformativen Ver\u00e4nderungen in solchen Zeitr\u00e4umen nicht zu bewirken.<\/p>\n

Auch f\u00fcr das Top-Management ist ein CISO-Personalkarussell<\/a> frustrierend: Sie haben schon allzu oft erlebt, dass neue CISOs mit gro\u00dfartigen Pl\u00e4nen und Millionenforderungen antraten \u2013 um dann nach wenigen Jahren alles halbfertig zur\u00fcckzulassen.<\/p>\n

In 100 Tagen an den \u201cStrategietisch\u201d<\/h1>\n

Ein Gro\u00dfteil dieser Diskrepanz entsteht in den ersten hundert Tagen des CISOs. Viele Sicherheitsentscheider treten ihre neue Stelle mit vorgefassten Meinungen an, die manchmal schon beim Vorstellungsgespr\u00e4ch entstanden sind. Dinge, die woanders funktioniert haben, Leib-und-Magen-Themen, -Anbieter oder -Berater. Viele haben au\u00dferdem den Drang, sich in den ersten hundert Tagen als Spezialisten zu beweisen. Das ist ein Fehler. Kompetenz wird in den ersten hundert Tagen vorausgesetzt (schlie\u00dflich wurden Sie ja gerade erst eingestellt<\/a>). Die Herausforderungen liegen woanders: Es geht darum, Ihre F\u00e4higkeit unter Beweis zu stellen, sich in die Organisationsstruktur des Unternehmens einzuf\u00fcgen und als F\u00fchrungskraft zu agieren.<\/p>\n

Meiner Meinung nach beginnt das damit, zuzuh\u00f6ren. Zum Beispiel den Stakeholdern und Sponsoren, um deren Erwartungen und Pain Points zu verstehen. Oder das, was beim Vorg\u00e4nger funktioniert hat und was nicht. Dieser Prozess sollte den Beginn markieren f\u00fcr die gemeinschaftliche Entwicklung einer Cybersicherheitsstrategie. Wenn Ziele mit den Stakeholdern und Sponsoren geteilt werden, reduziert das auch Reibungsverluste. Daraus k\u00f6nnen mit der Zeit Business Champions entstehen, die die Cybersicherheitsstrategie vorleben und weitergeben. Und zwar nicht, weil es die des CISO ist, sondern ihre eigene.<\/p>\n

CISOs sollten in den ersten hundert Tagen au\u00dferdem in die Governance- und F\u00fchrungsdynamik des Unternehmens eingebunden werden. Nur Sicherheitsentscheider, die die kulturellen Str\u00f6mungen im gesamten Unternehmen identifizieren und verfolgen, erlangen Zugang zu den informellen Vertrauensnetzwerken, in denen die tats\u00e4chlichen Entscheidungen getroffen werden. Budget-Diskussionen sind ab diesem Punkt deutlich weniger konfrontativ \u2013 sie entwickeln sich mehr zu einem gegenseitigen Austausch zwischen vertrauensw\u00fcrdigen Partnern. Umgekehrt laufen CISOs, die ihre ersten hundert Tage damit verbringen, sich technisch zu beweisen, Gefahr, in einem Teufelskreis aus operativen Feuerwehreins\u00e4tzen gefangen zu bleiben. Und aus dieser Situation gibt es oft kein Entkommen mehr. Am Ende m\u00f6gen Sie zwar als zuverl\u00e4ssige Kraft angesehen werden, aber es ist unwahrscheinlich, dass Sie so einen Platz am \u201cStrategietisch\u201d erhalten.<\/p>\n

Letztendlich wird die Zukunft denjenigen CISOs geh\u00f6ren, die erkennen, dass der Aufbau von Einfluss und Vertrauen Vorrang vor Ma\u00dfnahmen und Investitionen haben muss. Vorst\u00e4nde m\u00fcssen nicht mehr davon \u00fcberzeugt werden, dass Cyberrisiken<\/a> wichtig sind \u2013 sie brauchen selbstbewusste, kulturell versierte F\u00fchrungskr\u00e4fte, die sich in komplexen Unternehmensdynamiken zurechtfinden, Vertrauen zu allen Stakeholdern aufbauen und die Umsetzung \u00fcber Silos hinweg koordinieren k\u00f6nnen. (fm)<\/p>\n

Dieser Beitrag wurde im Rahmen des <\/strong>englischsprachigen Experten-Netzwerks<\/strong><\/a> von Foundry ver\u00f6ffentlicht.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Ein Tag im Leben eines Sicherheitsentscheiders\u2026 Dudarau Dzmitry | shutterstock.com Wenn es um Security-Budgets geht, dreht sich ein Gro\u00dfteil der (Online-)Diskussionen darum, wie man das \u201cBoard\u201d f\u00fcr sich gewinnt und Investitionen rechtfertigt. Einige Ans\u00e4tze basieren auf spezifischen Finanzmodellen und zielen darauf ab, den Return on Investment (ROI) zu rechtfertigen. Andere konzentrieren sich eher darauf, Risiken […]<\/p>\n","protected":false},"author":0,"featured_media":6450,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-6449","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/6449"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=6449"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/6449\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/6450"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=6449"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=6449"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=6449"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}