Standpunkt zur Haftungsdiskussion CISO statt Sündenbock

Foto: photoschmidt – shutterstock.com

In den USA wird nach dem ehemaligen Uber-CSO Joseph Sullivan wohl zum zweiten Mal ein hochrangiger Sicherheitsverantwortlicher vor Gericht stehen. Der SolarWinds CISO Timothy G. Brown wird sich wohl aufgrund der Vorwürfe der Securities and Exchange Commission in den USA im Zusammenhang mit angeblich bekannten Cybersicherheitsrisiken und Schwachstellen verantworten müssen. Diese öffentlich gewordenen Fälle sind jedoch nur die Spitze des Eisbergs. Seit Jahren, also im Grunde seit Einführung der Position mit den entsprechenden Verantwortlichkeiten, stehen CISOs in der Kritik und werden intern unter Druck gesetzt. Sie werden nach Cybersicherheitsvorfällen sowieso schon immer zum Sündenbock gemacht, nun drohen offensichtlich auch öfter rechtliche Folgen.

Lesetipp: Anklage gegen SolarWinds-CISO – Das sagen CISOs und Experten aus Deutschland

Beratungsauftrag ja, aber ohne wirkliches Mitspracherecht

In vielen Fällen hört man ihre Bedenken und Anliegen nicht an oder aber sie erhalten nicht das geforderte Budget oder die personelle Ausstattung, sondern lediglich die Mindestanforderung. Denn behandelt werden sie intern oft eher wie Security Advisors, aber nicht wie gleichberechtigte Partner. In diesen Fällen sollte dann auch intern Klarheit über die Rollenbeschreibung herrschen und nur bei Bedarf am Titel orientiert werden. CISOs stehen nicht in der Haftung, sehen wir uns das RACI-Modell an, dürfte klar sein, dass sie lediglich eine beratende Rolle haben. Die Verantwortung und somit auch das Haftungsrisiko im Bereich Informationssicherheit trägt aufgrund ihrer Budgethoheit die Geschäftsleitung.

Das aktuelle Bild, dass der CISO nicht nur beratende Aufgaben hat, sondern auch haftet, untergräbt die Kompetenzen und den Ruf unseres Berufsstands – noch ehe er die Verbreitung findet, die er eigentlich dringend benötigt. Es übt unnötigen zusätzlichen Druck aus und wird mehr dazu führen, dass geeignete Kandidaten davon abgeschreckt werden, was den Führungsmangel damit noch verstärkt. Dies wird vor allem den Unternehmen auf die Füsse fallen, die einen Nachfolger suchen.

Vier Tipps als Ausweg

Diese vier strategischen Tipps helfen CISOs, die Sündenbock-Rolle in der IT-Sicherheit zu vermeiden und fördern stattdessen eine Kultur der Cyberresilienz und Zusammenarbeit:

1. Klare Kommunikationskanäle einrichten: Transparenz ist die Grundlage für eine effektive Führung im Bereich der Cybersicherheit. CISOs sollten klare Kommunikationskanäle mit der Geschäftsleitung, den IT-Teams, dem Vorstand, dem Betriebsrat und anderen Beteiligten schaffen. Regelmäßige Informationen über die Sicherheitslage des Unternehmens, laufende Initiativen und potenzielle Risiken können die Rolle des CISO verdeutlichen und ein gemeinsames Verständnis für die Herausforderungen schaffen.

2. Cybersicherheits- mit Geschäftszielen abstimmen: Um die Rolle des Sündenbocks zu vermeiden, müssen CISOs die Ziele der Cybersicherheit mit den allgemeinen Geschäftszielen in Einklang bringen. Dies zeigt nicht nur den Wert der Cybersicherheit, sondern positioniert den CISO auch so, dass er den kollektiven Unternehmenserfolg über seine eigenen persönlichen Ambitionen oder seinen Ruf stellt. Wenn Sicherheitsinitiativen als Priorität für die Geschäftskontinuität und das Wachstum angesehen werden, wird der CISO zum Verbündeten und nicht zur Zielscheibe.

3. Eine Kultur der kollektiven Verantwortung etablieren: Cybersicherheit ist eine Verantwortung, die über die Rolle des CISO hinausgeht. Die Förderung einer Cybersicherheitskultur, in der alle Mitarbeiter geschult sind und verstehen, wie wichtig Security Awareness ist, führt zu einem besseren Verständnis für die Belange der Cybersicherheit. Regelmäßige Schulungen und Sensibilisierungsprogramme tragen dazu bei, dass sich die Mitarbeiter aktiv an der Verbesserung der Cybersicherheitslage eines Unternehmens beteiligen. Je mehr Mitarbeiter engagiert sind, desto größer wird der Rückhalt für den CISO sein.

4. Dokumentation und Nachweis der Sorgfaltspflicht: CISOs sollten die Einhaltung ihre Sorgfaltspflichten dokumentieren, von der Risikobewertung bis zur Implementierung von Sicherheitskontrollen. Diese Dokumentation dient als Nachweis des Engagements des CISO für die Aufrechterhaltung bewährter Verfahren der Cybersicherheit. Nach einem Sicherheitsvorfall kann eine gut dokumentierte Cybersicherheitsstrategie, bestehend aus proaktiven Maßnahmen gegen die willkürliche und schmerzhafte Suche nach einem Sündenbock, helfen. Mit entsprechenden Audit- und Assessment-Nachweisen lassen sich reflexartige Anschuldigungen lückenlos entkräften.

Agieren statt reagieren

Damit CISOs und CSOs nicht zum Sündenbock werden, ist also ein proaktiver Ansatz erforderlich. Mit viel Kommunikation, interner Abstimmung, gemeinsamer Verantwortung und entsprechender Dokumentation lässt sich vieles abfangen. CISOs sollten diese strategischen Tipps befolgen, um sich auf Sicherheitsvorfälle mit Folgeanklagen vorzubereiten. Auch generell sollte die Gesellschaft aus Vorfällen lernen, statt einfach nur einen Verantwortlichen abzustrafen. CISOs stehen besonders unter Druck – einerseits den Anforderungen der eigenen IT zu folgen und andererseits immer mehr Technologien, Anwendungen und Anwendern gerecht zu werden. Erfahrung und Unterstützung aus der Geschäftsleitung sind neben den bereits ausgeführten Tipps zwei entscheidende Faktoren, um die Sündenbock-Thematik gar nicht erst aufkommen zu lassen. (jm)