Eine Stärkere Einbindung von CISOs in strategische Vorstandsentscheidungen und verbesserte rechtliche Absicherung für Mitarbeiter im Bereich Cybersecurity: Beinahe alle Unternehmen im DACH-Raum haben ihre Richtlinien angepasst, um CISOs besser abzusichern. Doch reichen diese Maßnahmen aus? [...]
Die Verantwortung der Chief Information Security Officers (CISOs) ist im vergangenen Jahr stärker ins Rampenlicht gerückt. Eine Studie des Edge-Cloud-Anbieters Fastly zeigt, dass 91 Prozent der Unternehmen im DACH-Raum in den vorangegangenen 12 Monaten ihre unternehmensinternen Richtlinien angepasst haben, um Bedenken über die persönliche Haftung von CISOs zu adressieren. Dazu zählt, dass in 32 Prozent der Unternehmen die Beteiligung der CISOs an strategischen Entscheidungen auf Vorstandsebene verstärkt wurde.
Ende 2023 haben neu eingeführte Vorschriften – wie in den USA die SEC-Regeln zu Risikomanagement, Strategie, Governance und Offenlegung von Cybervorfällen bei börsennotierten Unternehmen – sowie weitere Schlagzeilen über gerichtliche Auseinandersetzungen große Aufmerksamkeit auf unternehmerische Verantwortung und persönliche Haftbarkeit von CISOs bei Datenpannen gelenkt. Um dieses Risiko zu reduzieren, gaben 37 Prozent der befragten Unternehmen in Deutschland, Österreich und der Schweiz an, die Offenlegung und Dokumentation von Sicherheitsvorfällen durch Aufsichtsbehörden verstärkt zu überprüfen, weitere 41 Prozent haben die rechtliche Unterstützung der Cybersecurity-Teams verbessert, einschließlich deren Absicherung in Haftungsfällen. Zudem flossen insgesamt deutlich mehr Ressourcen in die Sicherheit.
Obwohl diese Maßnahmen als positive Entwicklung zu werten sind, bezweifelt Marshall Erwin, CISO bei Fastly, ob diese Änderungen ausreichen, um Organisationen und Cybersecurity-Fachkräfte angemessen abzusichern: „Auch in Zukunft werden globale Ausfälle unvermeidlich sein, die die Verantwortung der CISOs erneut in den Fokus rücken werden. Angesichts dessen ist es ermutigend zu sehen, dass die überwiegende Mehrheit der Unternehmen ihre Offenlegungspraktiken in Bezug auf Haftungsfragen anpasst. Die Investition
in rechtliche Absicherung ist ein wichtiger Schritt, doch diese Maßnahmen zielen oft mehr darauf ab, Organisationen vor rechtlichen Risiken zu bewahren, als ein sinnvolles Verständnis für Verantwortlichkeiten zu fördern, das zu besseren Sicherheitspraktiken führt“, erklärt Marshall Erwin. „Eine angemessene Rechenschaftspraxis geht über Versicherungen und Erfüllen der Offenlegungspflichten hinaus. Für einen wirklichen Wandel müssen wir Verantwortung als positive Kraft begreifen, die Anreize zur Verbesserung von Sicherheitsmaßnahmen schafft. Dafür benötigen wir bessere, klarer formulierte Standards von den Regulierungs- und Durchsetzungsbehörden, die unvermeidbare Vorfälle eindeutig von jenen unterscheiden, die aufgrund gravierender Sicherheitsmängel vermeidbar gewesen wären.”
Geteilte Verantwortung, statt individuellem Versagen
Die Befragung ergab außerdem, dass nahezu die Hälfte (47 Prozent) der Organisationen im DACH-Raum sich nicht im Klaren darüber ist, wer letztlich die Verantwortung für Cybersecurity-Vorfälle trägt, da nur 32 Prozent der Befragten klar definierte Rollen und Verantwortlichkeiten innerhalb ihrer Teams besitzen. Die Studie weist außerdem auf eine erhebliche Lücke in der Art und Weise hin, wie Unternehmen Verantwortlichkeiten verinnerlichen und gesetzliche Vorgaben in sinnvolle Verbesserungen der Sicherheitsmaßnahmen übersetzen.
„CISOs haben nicht bei jeder Entscheidung das letzte Wort. Bei Sicherheitsrisiken sollte sich der Vorstand fragen: Richten wir unser Budget so aus, dass es die Risiken abdeckt, die uns vom CISO kommuniziert wurden? Verantwortung muss auf Führungsebene beginnen, mit klarer Kommunikation und angemessener Ressourcenallokation”, sagt Marshall Erwin.
Diese Verantwortung liegt nicht allein bei einer Person – sie erfordert Kommunikation auf allen Ebenen der Organisation, um Verständnis und Klarheit darüber zu schaffen, wie und mit welchen Maßnahmen Cybersecurity-Risiken minimiert werden können.
Schaffung besserer Rahmenbedingungen
Die Studie unterstreicht, dass sich die Industrie mit klar definierten Rahmenbedingungen hinsichtlich Verantwortlichkeiten auf den nächsten prominenten Vorfall vorbereiten muss. Diese Rahmenbedingungen sollten Anreize für sinnvolle Maßnahmen bieten und nicht nur für die Einhaltung von Compliance-Vorschriften sorgen. Da sich regulatorische Standards weiterentwickeln, müssen Organisationen begreifen, dass die Diskussion um die Haftung von CISOs keine Bedrohung darstellt, sondern eine Chance bietet, ihre Sicherheitsstrukturen zu festigen und langfristig Veränderungen in Unternehmen voranzutreiben.
Über die Studie
Für die Studie von Fastly wurden 1.800 zentrale IT-Entscheider mit Einfluss auf den Bereich Cybersecurity in großen Organisationen aus verschiedenen Branchen in Nord-, Zentral- und Südamerika, Europa, Asien-Pazifik und Japan befragt, darunter 200 Experten aus Deutschland, Österreich und der Schweiz. Die Interviews wurden im September 2024 online von Sapio Research mittels einer E-Mail-Einladung und einer Online-Umfrage durchgeführt. Den vollständigen Report finden Sie hier.
Be the first to comment