Frühzeitiges Erkennen von Cyberbedrohungen

Im diesjährigen GISS gaben 51 % der europäischen Befragten an, dass die Sicherstellung der Compliance im gegenwärtigen regulatorischen Umfeld mitunter der schwierigste und anspruchsvollste Teil ihrer Tätigkeit ist. 61 % sind der Auffassung, dass die Regulierungsvorschriften in den kommenden Jahren noch komplexer – und damit noch zeitaufwendiger werden.

Das ist keine wirkliche Überraschung. Europa hält unzählige Compliance-Herausforderungen bereit, von den strengen EU-Anforderungen wie der Datenschutz-Grundverordnung (DSGVO) und dem vorgeschlagenen Digital Operational Resilience Act (DORA) bis hin zur steigenden Zahl nationaler Vorschriften, vor allem solcher, die zusätzlich branchenspezifisch konkretisiert sind.

Mike Maddison, EY EMEIA Cybersecurity Consulting Leader, betont: „Wenn Ihr Unternehmen international aufgestellt ist, kann es schwierig sein, diese unterschiedlichen und sich überschneidenden – manchmal auch widersprüchlichen – Regulierungsvorschriften einzuhalten, vor allem weil Informationen heutzutage allgegenwärtig sind und nicht vor Landesgrenzen haltmachen.“

Vor diesem Hintergrund weisen 58 % der europäischen Befragten darauf hin, dass die Vorschriften zur Gewährleistung der Cybersicherheit nicht immer die richtigen Prioritäten und Verhaltensweisen fördern.

„Generell beurteilen Regulierungsbehörden und Regierungen Unternehmen in ihren Ländern immer stärker unter lokalen Gesichtspunkten“, sagt Kanika Seth, EY EMEIA Financial Services Cybersecurity Consulting Leader. „Wir stehen jedoch vor einer globalen Bedrohung: Jemand, der versucht, auf illegale Weise in Ihr Unternehmen einzudringen, interessiert sich nicht dafür, wo Ihre betrieblichen Grenzen sind.“

Durch die seit mehr als einem Jahr anhaltenden Turbulenzen nehmen die Spannungen und die Herausforderungen für CISOs weiter zu. Mehr als die Hälfte (56 %) der europäischen Befragten befürchtet, dass die COVID-19-Pandemie mit ihren drastischen Veränderungen der Arbeitswelt das Risiko von Compliance-Verstößen in ihrem Unternehmen erhöht hat.

Die fragmentierte Regulierung sorgt auch dann für Probleme, wenn Unternehmen auf neue Bedrohungen reagieren müssen. „Die Reaktion auf Vorfälle ist eine echte Herausforderung für multinationale Unternehmen, die nicht nur ein einziges Rechenzentrum an einem bestimmten Standort haben“, warnt Bodo Meseke, EY Europe West Forensics Cyber & Technical Infrastructure Leader. „Im Falle einer Sicherheitslücke sind CISOs plötzlich mit zahlreichen unterschiedlichen Datenschutz- oder Datensicherheitsvorschriften konfrontiert."

Nach den Erfahrungen von EY erfordert die Erfüllung lokaler Regulierungsvorschriften in einem globalen Kontext sowohl intensive Compliance-Bemühungen als auch zukunftsgerichtetes Handeln. „Eine pauschale Lösung gibt es nicht“, sagt Kanika Seth. „Letztendlich bleibt Ihnen nichts anderes übrig, als die Situation komplett von A bis Z zu beurteilen. Wie können Sie Standardverfahren über viele verschiedene Länder hinweg etablieren? Das ist wirklich keine einfache Aufgabe.“

Wie können also Unternehmen den Konflikt zwischen lokaler Regulierung und globalen Geschäftsaktivitäten bewältigen? Auf jeden Fall müssen CISOs akzeptieren, dass die Lösung nicht einfach darin besteht, immer mehr Ressourcen zu verlangen. Nur jeder fünfte (19 %) europäische Befragte des diesjährigen GISS glaubt, dass ihm die Regulierungsvorschriften ein Argument für zusätzliche Ausgaben für Cybersicherheit liefern.

Jetzt kommt es darauf an, die Initiative zu ergreifen. Verantwortliche für Cybersicherheit müssen daher die folgenden wesentlichen Schritte unternehmen:

• Entwicklung eines Business Case für Investitionen in die Cybersicherheit, der exakt auf die strategischen Ziele des Unternehmens ausgerichtet ist
• Nutzung der Vorteile von Compliance und verlässlichen Daten – beispielsweise Feststellung der Möglichkeiten zur Umsatzgenerierung und Kosteneinsparung, die sich ergeben können, wenn Kunden den Datenschutzmaßnahmen des Unternehmens vertrauen
• Neupositionierung der Cybersicherheitsfunktion als treibende Kraft für Transformation, Innovation und Unternehmenswachstum

Die Rolle eines CISO ist heute wichtiger als je zuvor. Durch den Wechsel hin zu mobilen und flexiblen Arbeitsmodellen während der Pandemie haben sich Unternehmen neuen Gefahren ausgesetzt. Dies ist jedoch nur ein Teil des umfangreichen Ökosystems, das Unternehmen berücksichtigen und schützen müssen: Die globalen Lieferketten von Unternehmen vergrößern die Flächen für potenzielle Cyberangriffe.

In diesem Zusammenhang stimmen 50 % der europäischen Befragten der Aussage zu, dass die dritten und vierten Glieder ihrer Lieferketten das größte Compliance-Risiko für ihr Unternehmen darstellen. Nur 35 % sind davon überzeugt, dass ihre gesamte Lieferkette lückenlos in der Lage ist, sich gegen Cyberkriminelle zu verteidigen und Angriffe abzuwehren.

Was viele CISOs beschäftigt, ist die Frage, ob die Cybersicherheitsfunktion über geeignete Fähigkeiten verfügt, um die von ihr geforderten Veränderungen umzusetzen. Da sie dafür verantwortlich sind, lokale Compliance-Vorschriften einzuhalten, ein globales Unternehmen zu unterstützen und Wertschöpfung zu ermöglichen, geben 32 % der europäischen Befragten an, dass die Verbesserung der Fähigkeiten der Mitarbeiter im Zuge der Pandemie eine Hauptpriorität sein wird.

Dabei wird vor allem darauf Wert gelegt, dass CISOs und die gesamte Cybersicherheitsfunktion im Einklang mit dem Rest des Unternehmens arbeiten können. Derzeit glaubt nur ein Fünftel der europäischen Befragten, dass die Cybersicherheitsfunktion im gesamten Unternehmen als wirtschaftlich orientierte Funktion betrachtet wird, und nur ein Viertel ist der Meinung, dass Kollegen aus anderen Funktionen behaupten würden, dass Cybersicherheit „die Unternehmenssprache spricht“.

Das muss sich ändern. Wenn CISOs einen Business Case für eine Erhöhung des Budgets für Cybersicherheit definieren können, ist es für sie leichter, die benötigte Unterstützung zu erhalten. Aus Compliance-Sicht werden die lokalen Anforderungen an die Cybersicherheit durch eine engere Zusammenarbeit innerhalb des gesamten Unternehmens erfüllt. Ganz entscheidend ist, dass CISOs, die zum strategischen Weichensteller und Werttreiber werden möchten, erfolgreich sein werden, wenn die von ihnen geleitete Cybersicherheitsfunktion aktiv an der Unternehmenstransformation mitwirkt.

Jetzt ist die Zeit gekommen, sich dieses Problems anzunehmen, sagt Mike Maddison. „Während der Pandemie musste alles sehr schnell gehen und der Fokus lag vor allem darauf, Dinge rasch umzusetzen –dabei wurde nicht immer hinterfragt, ob die Teams über die notwendige Kompetenz verfügen“, erklärt er. „Nun muss die Frage gestellt werden, ob sie über die Kapazität verfügen, um in hohem Maße flexibel zu sein und auf alle Anforderungen des Unternehmens einzugehen, ob sie über die richtige Kultur verfügen oder ob sie eher als Verhinderer gesehen werden, anstatt als konstruktive Mitarbeiter, die aktiv nach Lösungen suchen.“

Um die künftigen Funktionen für eine umfassende und integrative Rolle der Cybersicherheit auszustatten, muss an der Spitze angesetzt werden. Die nächsten Schritte sind folgende:

• Neudefinition der Rolle des CISO und Neubewertung der erforderlichen Kompetenzen
• Entwicklung eines Betriebsmodells für die Erfüllung dieser Rollendefinition
• Ausbau der Fähigkeiten der Mitarbeiter der gesamten Cybersicherheitsfunktion mit besonderer Fokussierung auf die Einbindung in das Unternehmen und auf die technischen Fähigkeiten aller Mitarbeitenden

Hierzu kann möglicherweise auch eine neue Führungsstruktur der richtige Weg sein. Kanika Seth drückt es so aus: „Es ist schwierig, eine Person zu finden, die die gesamte Bandbreite an Fähigkeiten, die nun von einem CISO verlangt werden, in sich vereint. Deshalb könnte eine Aufteilung der Rolle die Lösung sein.“

Mike Maddison stellt fest, dass einige Unternehmen in Europa genau dies tun. „Viele CISOs haben einen technologischen Hintergrund und empfinden es als große Herausforderung, hochkomplexe, sich überschneidende oder widersprüchliche Regulierungsvorschriften zu steuern und gleichzeitig die geschäftliche Agenda voranzutreiben“, sagt er. „Es ist interessant zu sehen, wie viele Unternehmen, insbesondere in ausgereiften Märkten, CISOs ernennen, die das Geschäft aus dem Blickwinkel eines anderen technologischen Bereichs oder sogar eines komplett anderen Unternehmensbereichs betrachten.“

CISOs sollten nicht nur mit den anderen Unternehmensfunktionen, sondern auch mit der Unternehmensführung in Verbindung stehen. Die diesjährige GISS-Studie belegt, dass es selbst angesichts der zunehmend uneinheitlichen Vorschriften immer aussichtsloser ist, Budgetverhandlungen allein auf regulatorischer und Compliance-bezogener Basis zu führen. Klar ist jedoch, dass sich die Unternehmensführung der Bedrohung bewusst ist. Mitglieder der Unternehmensführung, die im Rahmen des EY EMEIA Board Barometer 2021 befragt wurden, glauben, dass Cybersicherheit ein sehr dringliches Problem ist, wobei digitale Bedrohungen die größte Herausforderung darstellen.

Der EY Global Board Risk Survey 2021 ergab jedoch, dass nur 7 % der europäischen Befragten äußerst zuversichtlich sind, dass die ihnen vorgestellten Maßnahmen zur Minderung von Cybersicherheitsrisiken das gesamte Unternehmen vor einem schwerwiegenden Cyberangriff schützen können. Gleichzeitig rechnen 46 % der europäischen Befragten damit, dass ihr Unternehmen in den nächsten fünf Jahren durch einen Cyberangriff oder eine Datenschutzverletzung schweren Schaden nehmen kann.

„Es ist zwingend erforderlich“, so Mike Maddison, „nicht allein mit dem Thema Compliance zu argumentieren, sondern der Unternehmensführung darzulegen, wie dieser Herausforderung mit einer strategischen, auf Kompetenzstärkung ausgelegten Reaktion begegnet werden kann. Vorausschauenden CISOs wird allmählich klar, dass sie von ihrem rein Compliance-fokussierten Ansatz zu einem solchen übergehen müssen, der auch die Wertschöpfung mit einbezieht.“

Eine wertorientierte Einstellung, die nicht nur auf der Wertsicherung und -wiederherstellung, sondern auch auf Wertschöpfung und Transformation basiert, wird einige der Probleme lösen, denen CISOs bei der Zusammenarbeit mit der Unternehmensführung begegnen. Nur 42 % der europäischen Befragten glauben, dass die Unternehmensführung und das leitende Management den Wert und die Bedürfnisse des Cybersicherheitsteams immer vollumfänglich verstehen; 64 % glauben, dass die Unternehmensführung Schwierigkeiten haben könnte, ihre Argumente für eine Budgeterhöhung nachzuvollziehen.

In den Diskussionen zwischen CISO und dem Management sollte es jedoch nicht nur um Regulierungsvorschriften, Sicherheit und Resilienz gehen. „Ihr CISO sollte Ihr Partner sein und keine Compliance-Übung. Dieser kulturelle Wandel zeichnet sich zwar in einigen Unternehmen ab, allerdings nur sehr langsam“, so Kanika Seth.

Daher wird die Cybersicherheitsfunktion nicht in dem Maße in die Transformation eingebunden, wie es eigentlich sein sollte. In der diesjährigen GISS-Studie gaben 24 % der europäischen Befragten an, dass die Unternehmensführung regelmäßig Entscheidungen zur Cybersicherheit trifft, ohne über das technische Verständnis zu verfügen, das notwendig ist, um eine Bedrohung fundiert beurteilen zu können; 32 % weisen darauf hin, dass ihre Cybersicherheitsteams häufig gar nicht oder zu spät zurate gezogen werden, wenn dringende strategische Entscheidungen getroffen werden müssen.

Eine Neugestaltung der Beziehungen zwischen Unternehmensführung, anderen Unternehmensbereichen und der Cybersicherheitsfunktion ist unabdingbar und wird immer dringender. „Der CISO kann zu einer Funktion werden, die nicht länger als Hindernis für neue Geschäftsaktivitäten, sondern als Katalysator gesehen wird, da Cybersicherheit das Vertrauen in Innovationen stärkt. Dies hilft dem Unternehmen dabei, das eigene Geschäft weiterzuentwickeln", so Bodo Meseke. Daher müssen CISOs

• sicherstellen, dass die Unternehmensführung ihre Rolle bei der Gewährleistung der Cybersicherheit im weitesten Sinne versteht,
• kulturelle Veränderungen wie „Security durch Design“ und – im Kontext von Remote Work – „Zero Trust“ anstoßen und durchsetzen,
• einen Business Case für das Cybersicherheitsbudget und die Ressourcenbeschaffung definieren¹,
• Risiko-Pilotprojekte mit der Unternehmensführung und dem CIO durchführen; diese Übungen können eine Verletzung der Cybersicherheit oder einen anderen Vorfall simulieren, um das Risiko zu verdeutlichen und die bestehenden Pläne zur Risikosteuerung zu demonstrieren.²

Vorbereiten auf Wachstum

Die diesjährige GISS-Studie belegt, dass CISOs in ganz Europa vor einem Dilemma stehen: Sie müssen sich mit einem zunehmend uneinheitlichen und fragmentierten regulatorischen Umfeld auseinandersetzen und gleichzeitig mit Unternehmensleitern zusammenarbeiten, die in Compliance-Anforderungen keinen Grund für eine Budgeterweiterung sehen. Um dieses Dilemma zu lösen, muss die Cybersicherheitsfunktion darüber nachdenken, wie sie ihren Beitrag zum Unternehmenswachstum leisten kann.

Mit diesem Ziel vor Augen müssen CISOs deutlich engere Beziehungen zu anderen Führungskräften aufbauen, insbesondere in den Bereichen Produktentwicklung, Vertrieb und Marketing. Derzeit beschreiben nur 24 % der europäischen Befragten ihre Beziehung zur Marketingabteilung als sehr positiv, während 40 % sie als negativ bezeichnen.

Bei den Beziehungen zum Chief Risk Officer und zum Chief Financial Officer haben CISOs deutlich größere Fortschritte gemacht: 63 % bzw. 41 % der europäischen Befragten geben an, dass ihre Beziehungen zu den Bereichen Risiko und Finanzen von hohem Vertrauen und einer auf gegenseitigen Konsultationen beruhenden Zusammenarbeit geprägt sind. Nun müssen sie auch den Rest des Unternehmens erreichen.

Diese Einbindung wird den CISOs dabei helfen, die Herausforderungen der fragmentierten Regulierung zu bewältigen. Dabei wird es darauf ankommen, Betriebsstrukturen mit einheitlichen Standards aufzubauen, die dennoch die Art und Weise spiegeln, wie sich das Unternehmen entwickelt hat.

Die anstehenden Aufgaben sollten nicht unterschätzt werden. Aufgrund der verschärften Bedrohungslage müssen CISOs die Risikoanfälligkeit und die Risikowiderstandsfähigkeit ihrer externen Ökosysteme abbilden, Compliance-Strukturen aufbauen, um Risiken zu mindern und Maßnahmen für die Risikobewältigung zu implementieren, und sich auf die Wachstumsförderung konzentrieren. Dies setzt voraus, dass sich die Cybersicherheit breiter gefächerte Fähigkeiten aneignet und neue Führungsstrukturen in Betracht gezogen werden.

Für CISOs, die sich dieser Herausforderung stellen, wird sich das auszahlen. Sie werden nicht nur ihren Status als Hüter der Daten und Garant für die Sicherheit des Unternehmens aufrechterhalten, sondern auch zu einer verlässlichen und treibenden Kraft für Wertschöpfung und Transformation werden.