3min. read

Die Berichtslinie vom CISO (Chief Information Security Officer) zum Vorstand wird meist als reaktive, wenn auch wichtige Verpflichtung verstanden. Schließlich muss die Unternehmensführung als oberstes Leitungsorgan im Rahmen des Corporate-Governance-Modells auf dem Laufenden gehalten werden und diese Aufgabe obliegt dem Gesamtverantwortlichen für die Informationssicherheit. CISOs melden üblicherweise Sicherheitslücken wie diethe Log4j-Schwachstelle, beantworten regulatorische Anfragen und informieren über Vorfälle aus der eigenen Branche. Doch der Kontakt zwischen CISOs und Vorstand sollte darüber hinausgehen.

Sicherheitsexperten sollten sich regelmäßig mit den Vorstandsmitgliedern austauschen, um sie auf den Stand der Dinge zu bringen und gegenseitiges Vertrauen aufzubauen. Denn letztendlich trägt die Zusammenarbeit mit der Unternehmensführung wesentlich zur Stärkung des Sicherheitsniveaus bei – und das kommt allen Beteiligten zugute.

Der Vorstand als vierte Verteidigungslinie

Mitunter wird der Vorstand lediglich als eine weitere Gruppe angesehen, denen die Sicherheitsverantwortlichen Bericht erstatten müssen. Dabei kann dieses Team von Führungskräften eine sehr viel wichtigere Rolle einnehmen

Man sollte sich den Vorstand als vierte Verteidigungslinie in der Sicherheitslandschaft eines Unternehmens vorstellen. Die erste Verteidigungslinie bilden die SecOps-Prozesse und -Funktionen, die tagtäglich von den Sicherheitsanalysten bei der Ersteinschätzung von Vorfällen genutzt werden. Die zweite besteht aus der Cybergovernance und die dritte umfasst das interne Auditing und Reporting. Damit ist die vierte Verteidigungslinie tatsächlich der Vorstand. Optimale Sicherheit erfordert, dass alle vier Instanzen effektiv miteinander kommunizieren, um Lücken zu verhindern und den Sicherheitsbetrieb kohärent zu gestalten.

Proaktiv Vertrauen bei den Vorstandsmitgliedern aufbauen

Damit der Vorstand als Sicherheitspartner und wirksame vierte Verteidigungslinie fungieren kann, müssen beide Seiten einander vertrauen. Dazu müssen Sicherheitsbeauftragte die folgenden drei Punkte, auf die Vorstandsmitglieder in der Regel besonderen Wert legen, erfolgreich umsetzen:

Markenschutz. Stellen Sie sicher, dass die Marke des Unternehmens in Bezug auf geistiges Eigentum, Geschäftsgeheimnisse und Ruf geschützt ist.

Profitabilität. Es ist Ihre Aufgabe, mit den richtigen Sicherheitskontrollen dafür zu sorgen, dass das Unternehmen profitabel arbeiten kan

Risikomanagement. Wählen Sie für Ihre Berichte an den Vorstand Themen aus, auf die Vorstandsmitglieder Wert legen und die aufzeigen, welche Folgen ein Cybersicherheitsvorfall für das Unternehmen haben könnte

Return on Security Investment (ROSI) als Kommunikationshilfe

Bei der Kommunikation mit dem Vorstand ist es wichtig, dass alle dieselbe Sprache sprechen. Vorstandsmitglieder sind nicht unbedingt Sicherheitsexperten und CISOs finden es daher nicht immer leicht, das richtige Maß an Fachjargon zu finden. Das kann so weit führen, dass sie dem Vorstand bestimmte technische Details vorenthalten, weil sie nicht wissen, wie sie diese Informationen technisch weniger versierten Personen vermitteln können.

Andere CISOs wiederum betonen die technische Seite eines Anliegens, sind aber nicht in der Lage, die damit verbundenen geschäftlichen Risiken auf eine Art und Weise zu schildern, die der Vorstand versteht. Idealerweise sollten sie es schaffen, die Aufmerksamkeit der Vorstandsmitglieder zu erregen und wirksam auf Risiken hinzuweisen, ohne ihre Zuhörer in Angst und Schrecken zu ver