Ratlose Vorstände: Hilfe – wer versteht den CISO?

Foto: pathdoc – shutterstock.com

Zwischen dem Top-Management von Unternehmen und ihren CISOs klafft eine gefährliche Kommunikationslücke. So lautet ein Kernergebnis der Studie “CISO Redefined – Navigating C-Suite Perceptions & Expectations” von FTI Consulting. Dafür wurden knapp 800 C-Level-Manager aus neun Ländern und sieben Industrien befragt, davon kamen 13 Prozent aus Deutschland.

Der Studie zufolge wünschen sich nahezu die Hälfte (45 Prozent) der befragten deutschen Führungskräfte von ihren CISOs die Fähigkeit, Fachjargon in verständliche Sprache zu übersetzen. Dass ihnen genau dies schwerfällt, räumten jedoch 58 Prozent der CISOs unumwunden ein. Umgekehrt sind zwei Drittel der IT-Sicherheitsverantwortlichen allerdings auch der Meinung, die oberste Führungsebene in ihrem Unternehmen habe Schwierigkeiten, ihre Rolle in der Organisation vollständig zu verstehen.

Beschönigen verschärft nur die Gefährdungslage

Aus dieser Gemengelage resultieren offenbar gefährliche Missverständnisse. Laut Umfrage verspüren 82 Prozent der CISOs das Bedürfnis, die Sicherheitslage gegenüber ihrem Vorstand besser darzustellen als sie eigentlich ist. Das gelingt allerdings nur bedingt. Rund drei von zehn Top-Managern glauben, dass ihre Security-Verantwortlichen die Lage beschönigten und nur zögerlich Sicherheitsbedenken äußerten.

“CISOs und Top-Management kommunizieren häufig aneinander vorbei”, konstatiert Hans-Peter Fischer, Senior Managing Director und Leiter des Bereichs Cyber Security bei FTI in Deutschland. Fischer warnt vor einem Kreislauf, in dem der CISO versuche, die Dinge einfacher – oder besser – darzustellen, als sie tatsächlich sind. Das wiederum könne dazu führen, dass sich das Management von Investitionen nur schwer oder gar nicht überzeugen lasse. Ein knappes Drittel der C-Level-Führungskräfte (31 Prozent) räumte Schwierigkeiten ein, den konkreten Nutzen von Investitionen in Cybersicherheit nachvollziehen zu können. Ein weiteres Manko in Folge der Fehlkommunikation: Vielfach hätten die Vorstände kein genaues Bild davon, wo ihr Unternehmen eigentlich am anfälligsten sei.

Manager und CISOs müssen die gleiche Sprache sprechen

Diese Unschärfen, was die eigene Security-Situation betrifft, kann sich jedoch kein Betrieb erlauben. Die Risiken werden größer und die Gefährdungslage verschärft sich immer weiter. Gerade einmal zwei Prozent der für die Studie befragten deutschen CISOs gaben an, sie hätten in den zurückliegenden 12 Monaten keinen Cyberangriff erlebt.

“Unternehmen müssen mehr tun, damit Manager und CISOs auch die gleiche Sprache sprechen”, sagt Meredith Griffanti, Global Head of Cybersecurity & Data Privacy Communications bei FTI Consulting. Diese Botschaft scheint zumindest angekommen zu sein. 98 Prozent der befragten Top-Manager sprachen sich dafür aus, mehr Mittel für Kommunikations- und Präsentationstrainings für CISOs bereitzustellen, wobei fast die Hälfte diesen Bedarf sogar als dringend bezeichnete.