Eisberge voraus! Fünf Fragen, die jedes Führungsgremium dem CISO stellen sollte

Sie sind vor Ort, um an einer Sitzung Ihres Führungsgremiums teilzunehmen, und begegnen dabei dem CISO im Fahrstuhl. Oder noch besser, er oder sie nimmt an dieser Sitzung teil, um einen kurzen Überblick über das Thema Cybersecurity zu geben. Sie möchten eine aktive Rolle in der Data Governance übernehmen. Das ist natürlich sehr lobenswert. Aber welche Fragen wollen Sie eigentlich stellen? Sie sind doch gar kein Experte für Cybersecurity.

In der Tat sind sich viele Mitglieder von Führungsgremien nicht darüber im Klaren, welche Besonderheiten die Rolle des CISO mit sich bringt oder wie sich die Aufgaben des CISO von denen des CIO und CTO unterscheiden. CIO und CTO sind für rein technologische Fragen zuständig, während der CISO technologiebezogene Bedrohungen für den Geschäftsbetrieb oder die Reputation des Unternehmens identifiziert und abwehrt. Sie benötigen einen umfassenden Überblick über die Bedrohungen und die damit möglicherweise verbundenen Schäden für das Unternehmen sowie zum Aufwand, der erforderlich ist, die Wahrscheinlichkeit eines Cyber-Angriffs auf ein akzeptables Maß zu reduzieren.

Verletzungen der Daten- und Systemsicherheit kommen immer häufiger vor; Umfang und Ausmaß der so entstehenden Schäden nehmen immer weiter zu. Daher sollten Sie nicht erst warten, bis Sie Ihrem CISO zufällig im Fahrstuhl begegnen, um Informationen aus erster Hand zu bekommen. Sie sollten sich vielmehr direkt beim CISO auf formeller und regelmäßiger Basis informieren.

Das bedeutet aber nicht, dass Sie sich mit sämtlichen technischen Details der Risiken und der Pläne zur Risikominderung befassen müssen. Mit einigen gezielten Fragen von übergeordneter Bedeutung können Sie Informationen sammeln, die es Ihnen erlauben, sich bei wichtigen strategischen Entscheidungen zur Informationssicherheit aktiv einzubringen:

1. „Was sind die größten Bedrohungen der Informationssicherheit für Ihr Unternehmen?“ Es sind die sogenannten „Eisberge“, die das Potenzial haben, die Lebensfähigkeit des Unternehmens massiv zu bedrohen. Diebstahl von Daten findet oft den Weg in die Schlagzeilen der Presse. Aber Cyber-Angriffe sind erschreckend vielfältig. Weitere potenzielle Bedrohungen sind gezielte „Denial-of-Service“-Angriffe, die eine Unterbrechung des Geschäftsbetriebs Ihres Unternehmens herbeiführen könnten, sowie die Einschleusung von Schadsoftware und Phishing.

2. Über welche übergeordneten Eindämmungsstrategien verfügt Ihr Unternehmen für jede der großen Bedrohungsszenarien und welche Kosten sind für deren Umsetzung vorgesehen? Bringen Sie in Erfahrung, wie das Team für Informationssicherheit vorgeht, um die mit diesen Bedrohungen verbundenen Risiken auf ein akzeptables Maß zu reduzieren und sicherzustellen, dass die Kosten der Eindämmung nicht die erwarteten Vorteile überwiegen. Der CISO sollte auch erklären können, wie das Team die Leistung der Eindämmungsmaßnahmen überwacht.

3. Wie oft werden in Ihrem Unternehmen bereits identifizierte Risiken neu bewertet und wie häufig wird versucht, neue Risiken zu bestimmen? Das Team für Informationssicherheit sollte niemals davon ausgehen, dass es bereits alle wesentlichen Bedrohungsszenarien kennt oder die damit einhergehenden Risiken angemessen eingedämmt hat. Sorgen Sie dafür, dass das Team mindestens einmal jährlich überprüft, welche weiteren „Eisberge“ existieren, und dann erneut die Wirksamkeit seiner Eindämmungsstrategien prüft.

4. Wie gut ist der Notfallplan für die Krisenbewältigung, wenn das Risikomanagement versagt? Es stellt sich nicht die Frage, ob Ihrem Unternehmen ein Cyber-Angriff zustoßen wird, sondern wann. Die Reaktion des Unternehmens auf einen solchen Angriff hat entscheidenden Einfluss auf die finanziellen Auswirkungen und die Reputationsschäden. Der CISO sollte Folien präsentieren können, auf denen der Reaktionsplan für die drei wichtigsten Bedrohungsszenarien zusammengefasst ist. Sorgen Sie dafür, dass das Team für Informationssicherheit die Erfahrungen aus früheren Vorkommnissen in Ihrem oder anderen Unternehmen in seine Bemühungen um die hochwirksame Eindämmung möglicher Angriffsfolgen einfließen lässt.

5. Inwieweit sind die Ausgabenbudgets für Technologie und Sicherheit aufeinander abgestimmt und proportional skaliert? Die Ausgaben für Sicherheit sollten proportional zu den Ausgaben für Technologie steigen. Schließlich sollten die Ressourcen zur Risikoeindämmung, die dem Team für Informationssicherheit zur Verfügung stehen, mit dem Wachstumstempo Ihrer IT-Infrastruktur Schritt halten. Achten Sie darauf, dass das Team über die Ressourcen verfügt, die es wirklich benötigt.

Behalten Sie zudem im Hinterkopf, dass Sie für einen Austausch mit dem CISO kein Expertenwissen in Cybersecurity benötigen. Wenn ein solches Gespräch zu sehr in technische Aspekte abschweift, lenken Sie es auf die wesentlichen Fragen für das operative Geschäft zurück. Wenn Sie mit Ihrem CISO über Risiken der Informationssicherheit sprechen, können Sie die Grundsätze des gesunden Menschenverstands sowie die gleichen Chancen- und Risikoeinschätzungen nutzbringend anwenden, mit denen Sie auch Diskussionen über die Planung einer Fusion oder Übernahme führen.

In den kommenden Beiträgen werden wir noch vertiefend darauf eingehen, worauf Sie achten sollten, wenn Sie mit Ihrem CISO diese Fragestellungen diskutieren.