Wenn der CISO nicht mit dem C-Team spricht

Verantwortliche für Cybersicherheit informieren ihr Top-Management über potenzielle Schwachstellen nur zögerlich.

Zwischen Top-Management und Cybersicherheitschefs in Unternehmen klafft eine potentiell riskante Kommunikationslücke – trotz breiter Einigkeit über die steigende Bedeutung von Cybersicherheit. Das zeigt die aktuelle Studie CISO Redefined – Navigating C-Suite Perceptions & Expectations von FTI Consulting. Zwei Drittel der CISOs sind der Meinung, dass die oberste Führungsebene Schwierigkeiten hat, ihre Rolle innerhalb des Unternehmens vollständig zu verstehen. 

Zu viel Fachjargon 

Im Rahmen der CISO-Studie wurden knapp 800 C-Level-Manager aus neun Ländern und sieben Industrien befragt. Der Studie zufolge wünschen sich fast die Hälfte der befragten deutschen Führungskräfte von ihren CISOs die Fähigkeit, Fachjargon in verständliche Sprache zu übersetzen. Das Risiko ist hoch: Laut den befragten deutschen CISOs haben nur 2 Prozent ihrer Unternehmen in den vergangenen zwölf Monaten keinen Cyberangriff erlebt.

„CISOs und Top-Management kommunizieren häufig aneinander vorbei“, sagt Hans-Peter Fischer,  Leiter des Bereichs Cyber Security bei FTI in Deutschland. Schließlich spricht der CISO einen Fachjargon, den die Führungsebene und der Vorstand oft nicht verstehen. So entsteht leicht ein endloser Kreislauf, in dem der CISO versucht, die Dinge einfacher – oder besser – darzustellen, als sie tatsächlich sind. „Das wiederum kann dazu führen, dass zum einen CISOs ihr Management von gewissen Investitionen nicht oder nur schwer überzeugen können. Und zum anderen der Vorstand kein genaues Bild hat, wo das Unternehmen am anfälligsten ist,“ so Hans-Peter Fischer weiter.

Hoher Trainingedarf

Neben einem besseren Verständnis wünschen sich deutsche Vorstandsvertreter auch eine bessere Verankerung des Themas in der Unternehmenskultur, um Risiken im Bereich IT-Sicherheit zu reduzieren. So sehen 28 Prozent der Befragten in Deutschland Trainingsbedarf zur Frage, wie eine proaktive und adaptive Cybersicherheits-Kultur geschaffen werden kann. 45 Prozent besorgt Unternehmen das unzureichende Verständnis von IT- und Cybersicherheitsrisiken der Mitarbeiter. Gefolgt von der Sorge, die richtigen Talente im Bereich Cybersicherheit und Datenschutz zu finden (41%).

Weitere Ergebnisse der Studie 
  • 31 Prozent der C-Level-Führungskräfte wiederum haben Schwierigkeiten, den konkreten Nutzen von Cyber-Investitionen nachzuvollziehen.
  • 31 Prozent der Top-Manager sagen, dass ihre CISOs ein positiveres Bild zeichnen, als es der Wirklichkeit entspricht. 
  • 98 Prozent der befragten Top-Manager sprechen sich dafür aus, mehr Mittel für Kommunikations- und Präsentationstrainings für CISOs bereitzustellen.