Die Cybersicherheit wird endlich zu einem Thema auf Vorstandsebene. Das ist auch gut so, denn das Management von Cyber-Risiken spielt eine immer wichtigere Rolle bei strategischen Entscheidungen. Cyber-Risiken sind grundsätzlich ein zentrales Geschäftsrisiko, das über den Erfolg oder Misserfolg eines Unternehmens entscheiden kann. Das ist sicherlich auch der Grundgedanke hinter neuen Vorschriften in den USA.
Durch die Anerkennung der Bedeutung von Cyber-Risiken üben Vorstände und Aufsichtsbehörden jedoch auch mehr Druck auf die CISOs aus, ohne ihnen notwendigerweise angemessene Anerkennung und Belohnung zukommen zu lassen. Das Ergebnis: zunehmender Stress, Burnout und Unzufriedenheit. Drei Viertel (75 %) der CISOs geben an, für einen Wechsel offen zu sein, acht Prozentpunkte mehr als vor einem Jahr. Und 64 % sind mit ihrer Rolle zufrieden, ein Rückgang von 10 %.
Diese Herausforderungen haben ernsthafte Auswirkungen auf die Cybersicherheit in Unternehmen. Sie zu bewältigen, sollte eine dringende Priorität sein.
Eine zunehmend stressige Rolle
CISOs hatten schon immer einen stressigen Job. In jüngster Zeit sind die Gründe dafür unter anderem
- Zunehmende Cyberbedrohungen, die viele Unternehmen in einen ständigen "Feuerlöschmodus" versetzen
- Fachkräftemangel in der Branche, so dass wichtige Teams unterbesetzt sind
- Übermäßige Arbeitsbelastung aufgrund steigender Anforderungen in der Vorstandsetage
- Ein Mangel an angemessenen Ressourcen und Finanzmitteln
- Arbeitsbelastung, die CISOs dazu zwingt, lange zu arbeiten und Urlaube zu streichen
- Die digitale Transformation, die die Angriffsfläche für Cyberangriffe auf Unternehmen weiter vergrößert
- Compliance-Anforderungen, die von Jahr zu Jahr weiter zunehmen
Es überrascht nicht, dass ein Viertel (24 %) der weltweiten IT- und Sicherheitsverantwortlichen zugegeben hat, sich selbst zu medikamentieren, um den Stress abzubauen. Der zunehmende Stress erhöht nicht nur die Wahrscheinlichkeit eines Burnouts und/oder einer Frühverrentung, sondern kann auch zu einer schlechten Entscheidungsfindung führen (wie beispielsweise in dieser Studie festgestellt) und die kognitiven Fähigkeiten und die Fähigkeit zu rationalem Denken beeinträchtigen. Es gibt sogar Hinweise darauf, dass schon die Aussicht auf einen stressigen Tag die kognitiven Fähigkeiten beeinträchtigen kann. Etwa zwei Drittel (65 %) der CISOs geben zu, dass arbeitsbedingter Stress ihre Arbeitsleistung beeinträchtigt hat.
Kontrolle übt weiteren Druck auf CISO aus
Zu dieser Grundbelastung kam in den letzten Monaten noch eine zusätzliche Prüfung durch die Aufsichtsbehörden, den Gesetzgeber und den Vorstand hinzu. Drei aktuelle Ereignisse sind aufschlussreich:
- Mai 2023: Der ehemalige CSO von Uber, Joe Sullivan, wurde zu einer dreijährigen Bewährungsstrafe verurteilt, nachdem er zweier Straftaten für schuldig befunden wurde, die mit seiner Rolle bei der versuchten Vertuschung eines Mega-Breach von 2016 zusammenhängen. Unterstützer behaupten, dass er vom damaligen CEO Travis Kalanick und dem internen Uber-Anwalt Craig Clark zum Sündenbock gemacht wurde, da Sullivan erklärte, dass Kalanick seine umstrittene Zahlung von 100.000 US-Dollar an die Hacker abgesegnet hatte.
- Oktober 2023: Erstmals erhebt die SEC Anklage gegen den CISO von SolarWinds, Timothy Brown, weil er Cyberrisiken heruntergespielt oder nicht offengelegt und gleichzeitig die Sicherheitspraktiken des Unternehmens überbewertet hat. Die Beschwerde bezieht sich auf mehrere interne Kommentare von Brown und behauptet, er habe es versäumt, diese ernsthaften Bedenken innerhalb des Unternehmens zu beseitigen oder zu thematisieren.
- Dezember 2023: Neue SEC-Meldevorschriften treten in Kraft, wonach börsennotierte Unternehmen "wesentliche" Cyber-Vorfälle innerhalb von vier Werktagen nach Feststellung der Wesentlichkeit melden müssen. Die Unternehmen müssen außerdem jährlich ihre Verfahren zur Bewertung, Identifizierung und Steuerung von Risiken sowie die Auswirkungen von Vorfällen beschreiben. Und sie müssen detailliert darlegen, wie der Vorstand das Cyber-Risiko beaufsichtigt und welche Fachkenntnisse er für die Bewertung und das Management dieses Risikos besitzt.
Nicht nur in den USA nimmt die behördliche Aufsicht zu. Die neue NIS2-Richtlinie, die bis Oktober 2024 in das Recht der EU-Mitgliedstaaten umgesetzt werden soll, überträgt dem Vorstand die direkte Verantwortung für die Genehmigung von Maßnahmen zum Cyber-Risikomanagement und die Überwachung von deren Umsetzung. Mitglieder der Führungsebene können auch persönlich haftbar gemacht werden, wenn sie bei schwerwiegenden Vorfällen für fahrlässig befunden werden.
Laut Jon Oltsik, Analyst bei der Enterprise Strategy Group (EST), macht der zunehmende Druck, den diese Maßnahmen auf die CISOs ausüben, ihre Hauptaufgabe, nämlich die Reaktion auf Bedrohungen und das Management von Cyberrisiken, schwieriger. Eine aktuelle ESG-Studie zeigt, dass Aufgaben wie die Zusammenarbeit mit dem Vorstand, die Überwachung der Einhaltung von Vorschriften und die Verwaltung eines Budgets die Rolle des CISO von einer technischen zu einer geschäftsorientierten machen. Gleichzeitig ist die wachsende Abhängigkeit von der IT, um die digitale Transformation und den Geschäftserfolg voranzutreiben, überwältigend geworden. Laut der Umfrage haben 65 % der CISOs in Erwägung gezogen, ihre Rolle aufgrund von Stress aufzugeben.
Schlussfolgerungen für CISOs und Vorstände
Die Quintessenz ist, dass CISOs, die mit der Arbeitsbelastung zu kämpfen haben und sich vor regulatorischen Repressalien und sogar strafrechtlicher Haftung für ihre Handlungen fürchten, wahrscheinlich schlechtere Entscheidungen im Tagesgeschäft treffen werden. Viele könnten sogar die Branche verlassen. Dies hätte äußerst negative Auswirkungen auf einen Sektor, der bereits mit einem Fachkräftemangel zu kämpfen hat.
Aber so muss es nicht sein. Es gibt Dinge, die sowohl Vorstände als auch ihre CISOs tun können, um die Situation zu entschärfen. Es liegt in beider Interesse, einen Ausweg aus dieser Situation zu finden. Bedenken Sie Folgendes:
- Die Vorstände sollten die psychische Gesundheit, die Arbeitsbelastung, die Ressourcen und die Berichtsstrukturen der CISOs bewerten, um ihre Effektivität zu optimieren. Hohe Fluktuationsraten können zu langen Lücken ohne einen Vollzeit-CISO führen, was die Teams demotiviert und die Sicherheitsstrategie beeinträchtigt.
- Die Vorstände sollten ihre CISOs entsprechend dem erhöhten Risiko, das ihre Rolle mit sich bringt, entlohnen.
- Ein regelmäßiger Austausch zwischen Vorstand und CISO ist unerlässlich, wenn möglich mit direkten Berichtslinien zum CEO. Dies wird dazu beitragen, die Kommunikation zwischen den beiden zu verbessern und die Position des CISOs entsprechend seiner Verantwortung aufzuwerten.
- Die Vorstände sollten ihre CISOs (wo verfügbar) mit einer Directors-and-Officers-Versicherung (D&O) ausstatten, um sie vor ernsthaften Risiken zu schützen.
- CISOs sollten in der Branche bleiben, die sie lieben, und sich der größeren Verantwortung stellen, anstatt davor wegzulaufen. Aber sie müssen sich auch daran erinnern, dass ihre Rolle darin besteht, den Vorstand zu beraten und ihm den Kontext zu liefern. Lassen Sie andere die wichtigen Entscheidungen treffen.
- CISOs sollten Transparenz und Offenheit immer Priorität einräumen, insbesondere gegenüber den Aufsichtsbehörden.
- CISOs sollten darauf achten, was sie intern weitergeben, und sicherstellen, dass umstrittene Entscheidungen oder Ersuchen der Führungsebene immer schriftlich festgehalten werden.
Bei der Suche nach einer neuen Aufgabe sollten CISOs einen persönlichen Anwalt beauftragen, der ihren zukünftigen Vertrag im Detail durchgeht.
Um die Cybersicherheitsstrategie zu optimieren, sollten die Vorstände zunächst die Rolle des CISOs neu definieren. Der nächste Schritt besteht darin, sicherzustellen, dass der Cybersicherheitsexperte in dieser Rolle genügend Unterstützung und ausreichende Belohnung erhält, um dort bleiben zu wollen.