Hier hört die Sache auf: Für CISOs steht viel auf dem Spiel

Geschäftssicherheit

Hohe Arbeitsbelastung und das Gespenst der persönlichen Haftung für Vorfälle belasten die Sicherheitsverantwortlichen so sehr, dass viele von ihnen nach Auswegen suchen. Was bedeutet das für die Cyberabwehr von Unternehmen?

Phil Muncaster

Februar 08 2024  •  , 5 Minute. lesen

Cybersicherheit ist endlich zu einem Thema auf Vorstandsebene werden. Das sollte auch so sein, wenn man bedenkt, dass das Cyber-Risikomanagement bei der strategischen Entscheidungsfindung eine immer wichtigere Rolle spielt. Cyber-Risiken sind im Grunde ein zentrales Geschäftsrisiko mit dem Potenzial, erhebliche Risiken einzugehen eine Organisation zerstören. Das ist sicherlich der Gedanke dahinter neue Regulierungsregeln in den USA. 

Durch die Anerkennung der Bedeutung üben Vorstände und Aufsichtsbehörden jedoch auch mehr Druck auf CISOs aus, ohne ihnen unbedingt die entsprechende Anerkennung und Belohnung zu gewähren. Die Folge: wachsender Stress, Burnout und Unzufriedenheit. Drei Viertel (75 %) der CISOs sollen sein offen für Veränderungen, acht Prozentpunkte mehr als vor einem Jahr. Und 64 % sind mit ihrer Rolle zufrieden, ein Rückgang um 10 %.

Diese Herausforderungen haben schwerwiegende Auswirkungen auf die Cybersicherheit innerhalb von Organisationen. Ihre Bewältigung sollte dringende Priorität haben.

Eine zunehmend stressige Rolle

CISOs hatten schon immer einen stressigen Job. Zu den Treibern zählen in letzter Zeit:

• Surging Cyber-Bedrohungsstufen, die viele Organisationen im Dauerbrandbekämpfungsmodus zurücklassen
• Branche Fachkräftemangel Dadurch sind wichtige Teams unterbesetzt
• Übermäßige Arbeitsbelastung aufgrund steigender Anforderungen an die Sitzungssäle
• Es mangelt an ausreichenden Ressourcen und Finanzierung
• Arbeitsbelastung, die CISOs dazu zwingt, lange zu arbeiten und Feiertage abzusagen
• Digitale Transformation, die das Unternehmen weiter ausbaut Cyberangriffsfläche
• Compliance-Anforderungen, die mit jedem Jahr wachsen

Es ist keine Überraschung, dass ein Viertel (24 %) der globalen IT- und Sicherheitsführer zugegeben haben zur Selbstmedikation, um Stress abzubauen. Der zunehmende Stress erhöht nicht nur die Wahrscheinlichkeit eines Burnouts und/oder einer vorzeitigen Pensionierung – er könnte auch zu einer schlechten Entscheidungsfindung führen (wie von diese Studie, zum Beispiel), sowie die kognitiven Fähigkeiten und die Fähigkeit, rational zu denken, beeinflussen. Tatsächlich wurde vermutet, dass bereits die Vorfreude auf den stressigen Tag, der vor uns liegt, Auswirkungen auf die Wahrnehmung haben kann. Etwa zwei Drittel (65 %) der CISOs eingestehen dass arbeitsbedingter Stress ihre Leistungsfähigkeit bei der Arbeit beeinträchtigt hat.

Die Kontrolle übt weiteren CISO-Druck aus

Zu diesem grundlegenden Stress kam in den letzten Monaten eine zusätzliche behördliche, rechtliche und aufsichtsrechtliche Kontrolle hinzu. Drei aktuelle Ereignisse sind aufschlussreich:

• 2023. Mai: Ehemaliger CSO von Uber, Joe Sullivan wurde verurteilt zu drei Jahren auf Bewährung, nachdem er wegen zweier Verbrechen im Zusammenhang mit seiner Rolle bei der versuchten Vertuschung eines Großverstoßes im Jahr 2016 für schuldig befunden wurde. Befürworter behaupten, er sei vom damaligen CEO Travis Kalanick und dem hauseigenen Uber-Anwalt Craig Clark zum Sündenbock gemacht worden Sullivan erklärt dass Kalanick seiner umstrittenen Zahlung von 100,000 US-Dollar an die Hacker zugestimmt hatte.
• Oktober 2023: Zum ersten Mal die Die SEC hat den CISO von SolarWinds angeklagt Timothy Brown, weil er Cyber-Risiken heruntergespielt oder nicht offengelegt hat und gleichzeitig die Sicherheitspraktiken des Unternehmens überbewertet hat. Die Beschwerde bezieht sich auf mehrere interne Kommentare von Brown und behauptet, er habe es versäumt, diese schwerwiegenden Bedenken innerhalb des Unternehmens auszuräumen oder zur Sprache zu bringen.
• Dezember 2023: Neue SEC-Melderegeln in Kraft treten und börsennotierte Unternehmen dazu verpflichten, „wesentliche“ Cybervorfälle innerhalb von vier Werktagen nach Feststellung der Wesentlichkeit zu melden. Unternehmen müssen außerdem jährlich ihre Prozesse zur Bewertung, Identifizierung und Steuerung von Risiken und den Auswirkungen etwaiger Vorfälle beschreiben. Und sie müssen die Aufsicht des Vorstands über Cyber-Risiken und seine Fachkenntnisse bei der Bewertung und Bewältigung solcher Risiken im Detail darlegen.

Nicht nur in den USA baut sich die Regulierungsaufsicht aus. Die neue NIS2-Richtlinie, die bis Oktober 2024 in das Recht der EU-Mitgliedstaaten umgesetzt werden soll, überträgt dem Vorstand die direkte Verantwortung, Maßnahmen zum Cyber-Risikomanagement zu genehmigen und deren Umsetzung zu überwachen. Mitglieder der Führungsebene können bei schwerwiegenden Vorfällen auch persönlich haftbar gemacht werden, wenn ihnen Fahrlässigkeit vorgeworfen wird.

Laut Jon Oltsik, Analyst der Enterprise Strategy Group (EST)., der zunehmende Druck, den solche Schritte auf CISOs ausüben, macht ihre Kernaufgabe, auf Bedrohungen zu reagieren und Cyber-Risiken zu verwalten, immer schwieriger. Eine aktuelle ESG-Studie zeigt, dass Aufgaben wie die Zusammenarbeit mit dem Vorstand, die Überwachung der Einhaltung gesetzlicher Vorschriften und die Verwaltung eines Budgets die Rolle des CISO von einer rein technischen hin zu einer geschäftsorientierten Rolle verändern. Gleichzeitig ist die wachsende Abhängigkeit von der IT zur Förderung der digitalen Transformation und des Geschäftserfolgs überwältigend geworden. Der Umfrage zufolge haben 65 % der CISOs darüber nachgedacht, ihre Rolle aufgrund von Stress aufzugeben.

Erkenntnisse für CISOs und Vorstände

Das Fazit lautet: Wenn CISOs mit der Arbeitsbelastung zu kämpfen haben und Angst vor behördlichen Repressalien und sogar strafrechtlicher Haftung für ihr Handeln haben, werden sie wahrscheinlich im Alltag schlechtere Entscheidungen treffen. Viele verlassen möglicherweise sogar die Branche. Dies hätte bereits äußerst schädliche Auswirkungen auf einen Sektor kämpfen mit Fachkräftemangel.

Aber das muss nicht so sein. Es gibt Dinge, die sowohl Vorstände als auch ihre CISOs tun können, um die Situation zu entschärfen. Es liegt in ihrem beider Interesse, einen Weg aus dieser Situation zu finden. Folgendes berücksichtigen:

• Vorstände sollten die psychische Gesundheit, Arbeitsbelastung, Ressourcen und Berichtsstrukturen von CISOs bewerten, um ihre Wirksamkeit zu optimieren. Hohe Fluktuationsraten können zu langen Pausen ohne einen Vollzeit-CISO führen, was Teams demotiviert und sich auf die Sicherheitsstrategie auswirkt.
• Vorstände sollten ihre CISOs entsprechend dem erhöhten Risiko vergüten, das ihre Rolle jetzt mit sich bringt.
• Eine regelmäßige Zusammenarbeit zwischen Vorstand und CISO ist unerlässlich, wenn möglich mit direkter Berichtslinie an den CEO. Dies wird dazu beitragen, die Kommunikation zwischen den beiden zu verbessern und die Position des CISO im Einklang mit seinen Verantwortlichkeiten zu heben.
• Vorstände sollten ihren CISOs Folgendes zur Verfügung stellen Directors and Officers (D&O)-Versicherung um sie vor ernsthaften Risiken zu schützen.
• CISOs sollten der Branche treu bleiben, die sie lieben, und größere Verantwortung übernehmen, anstatt vor ihr davonzulaufen. Aber sie müssen auch bedenken, dass ihre Aufgabe darin besteht, den Vorstand zu beraten und Kontext bereitzustellen. Überlassen Sie die großen Entscheidungen anderen.
• CISOs sollten immer Wert auf Transparenz und Offenheit legen, insbesondere gegenüber Aufsichtsbehörden.
• CISOs sollten darauf achten, was sie intern verbreiten, und sicherstellen, dass strittige Entscheidungen oder Anfragen der Führungsebene stets schriftlich festgehalten werden.

Bei der Suche nach einer neuen Stelle sollten CISOs einen persönlichen Anwalt beauftragen, der ihren künftigen Vertrag im Detail durchgeht.

Um die Cybersicherheitsstrategie zu optimieren, sollten Vorstände zunächst neu bewerten, welche Rolle sie als CISO haben wollen. Der nächste Schritt besteht darin, sicherzustellen, dass der Cybersicherheitsexperte in dieser Rolle genügend Unterstützung und Entlohnung erhält, um dort bleiben zu wollen.