CISO und Vorstand: Der Dialog, der über die Widerstandsfähigkeit des Unternehmens entscheidet

Cybersicherheit ist längst nicht mehr nur eine technische Angelegenheit, die „irgendwo unten“ in der IT-Abteilung behandelt wird. Mit der Einführung europäischer Richtlinien und Verordnungen wie NIS2 oder DORA und dem Aufkommen immer raffinierterer Bedrohungen wird Cybersicherheit zu einer strategischen Frage auf der Ebene der obersten Führungsebene. Obwohl viele Unternehmen bereits einen CISO (Chief Information Security Officer) haben, ist der Schlüssel zum Erfolg der Dialog zwischen dem Vorstand und dem CISO, der gegenseitiges Vertrauen, Transparenz und gemeinsame Verantwortung aufbauen sollte. Das Ziel dieses Artikels ist es nicht, eine einheitliche Checkliste mit klar definierten Fragen zu erstellen, sondern vielmehr einen Leitfaden für ein offenes Gespräch zu bieten, das die Widerstandsfähigkeit der gesamten Organisation stärkt. 

1. Unternehmenskultur: Sicherheit beginnt bei den Menschen 

Wichtige Frage: „Wie fördern wir eine positive Sicherheitskultur?“ 

Sicherheitsmaßnahmen scheitern, wenn die Mitarbeiter nicht glauben, dass ihre Stimme ernst genommen wird. 

Praxisbeispiel: In einem Produktionsunternehmen meldete ein Mitarbeiter eine verdächtige E-Mail. Sein Vorgesetzter reagierte jedoch gereizt („Wir haben keine Zeit, uns mit jedem Unsinn zu beschäftigen“). Das Ergebnis? Niemand meldete weitere Phishing-Versuche – bis Ransomware die Produktionslinie lahmlegte. Umgekehrt entsteht dort, wo sich die Mitarbeiter sicher fühlen, wenn sie Vorfälle melden, und wo Fehler als Chance zum Lernen gesehen werden, eine Kultur, die die Organisation aktiv schützt. 

2. Kenntnisse und Fähigkeiten: Sprechen wir dieselbe Sprache? 

Eine wichtige Frage: „Verstehe ich als Mitglied der Cybersicherheitsleitung genug?“ 

Cybersicherheit ist keine rein technische Disziplin. Die Mitglieder des Vorstands müssen die Grundprinzipien, Risiken und Kennzahlen (RTO, RPO, Restrisiken usw.) verstehen, um qualifizierte Entscheidungen treffen zu können.  

Praxisbeispiel: Ein Beratungsunternehmen hat obligatorische Schulungen für alle Führungskräfte eingeführt – keine technischen Details, sondern Angriffssimulationen. Jedes Mitglied der Geschäftsleitung hat ausprobiert, wie es ist, mit einer Krisensituation konfrontiert zu sein. Das Ergebnis war nicht nur ein höherer Informationsstand, sondern auch eine schnellere Reaktion bei einem realen Vorfall. 

3. Verantwortung: Wer haftet für was? 

Wichtige Frage: „Wie erfülle ich meine Verantwortung für Cybersicherheit im Rahmen von NIS2?“ 

Gemäß der NIS2-Richtlinie trägt die Geschäftsleitung die Verantwortung, nicht nur der CISO oder der Leiter der IT-Abteilung. Das bedeutet, dass eine klare Rollenverteilung, ausreichende Ressourcen und ein Überblick über die Umsetzung von Plänen und Zielen ein wesentlicher Bestandteil der Strategie sind. 

Praxisbeispiel: Ein Produktionsunternehmen hat einen „Cyber-Rat“ eingerichtet, in dem sich der Vorstand, der CISO und die Betriebsleitung treffen. Dadurch werden Entscheidungen über Investitionen in die Sicherheit (z. B. Backup-SCADA-Systeme) auf der Grundlage gemeinsamer Informationen und nicht nur aufgrund von IT-Anforderungen getroffen. 

4. Risiken und Interessen: Was muss am meisten geschützt werden? 

Wichtige Frage: „Haben wir einen ausreichenden Überblick über die Risiken und schützen wir das Wichtigste, was wir haben?“ 

Der Vorstand sollte nicht nur die größten Bedrohungen kennen, sondern auch die sogenannten geschützten Interessen – also die wichtigsten Vermögenswerte: Kundendaten, Produktionsprozesse, Reputation. 

Praxisbeispiel: Eine Handelskette stellte fest, dass nicht nur Kundendaten, sondern auch das Logistiksystem ihr „Kronjuwel“ sind. Bei dessen Ausfall kam der gesamte Verkauf innerhalb von zwei Tagen zum Erliegen. Seitdem richten sich Investitionen in die Sicherheit nicht nur nach gesetzlichen Verpflichtungen, sondern auch nach realen geschäftlichen Prioritäten. 

5. Kontinuierliches Management und Compliance: Eine einmalige Investition reicht nicht aus 

Wichtige Frage: „Wie ist der Prozess der kontinuierlichen Kontrolle bei uns eingerichtet und halten wir die Vorschriften ein?“ 

Cybersicherheit ist kein Projekt mit einem Fertigstellungstermin. Sie erfordert eine kontinuierliche Überwachung, Überprüfung und Verbesserung. Der Vorstand muss sich fragen, ob die Strategie den Standards (ISO 27001, SOC2, ...) entspricht und ob sie die gesetzlichen Anforderungen erfüllt. 

Praxisbeispiel: Ein mittelständisches Unternehmen mit Verbindungen zur Bauindustrie verfügt auch über eigene Labore. Es führt regelmäßig Tabletop-Übungen durch, um auf Zwischenfälle zu reagieren. Bei der letzten Simulation stellten sie fest, dass der Wiederherstellungsplan den Ausfall eines Lieferanten für bestimmte wichtige Geräte, die sie nicht ersetzen können, nicht berücksichtigt hatte. Dadurch konnten sie den Plan anpassen, bevor das Problem in der Realität auftrat. 

Diese Fragen sind kein Dogma, sondern Inspiration.  

Jede Organisation sollte jedoch mit einem Dialog beginnen: 

  • Was ist für uns am wertvollsten? 
  • Welche Bedrohungen sind für uns am wahrscheinlichsten? 
  • Welche Rolle spielt die Unternehmensleitung und welche der CISO bei der Gewährleistung der Sicherheit? 

Eine starke Strategie basiert nicht nur auf Technologien, sondern auch auf Vertrauen und Zusammenarbeit zwischen dem Vorstand und dem CISO. Genau das entscheidet darüber, ob ein Unternehmen in Zeiten, in denen täglich Angriffe stattfinden, bestehen kann.  

Wenn ein Unternehmen keinen eigenen internen CISO hat oder eine unabhängige Sichtweise von außen benötigt, kann auch „CISO as a Service“ (CISOaaS) eine Lösung sein. Dadurch kann ein erfahrener Sicherheitsbeauftragter engagiert werden, ohne dass dieser fest angestellt werden muss – er kann dem Unternehmen strategisches Management, die Einhaltung von Vorschriften (NIS2, DORA, DSGVO), Mitarbeiterschulungen, Notfallplanung und Berichterstattung an die Aufsichtsbehörden gewährleisten. Außerdem bringt er wertvolle externe Perspektiven und Erfahrungen mit. 

Dank CISOaaS können Sie sich sofort um die Informationssicherheit kümmern – flexibel, effektiv und mit der Gewissheit, dass Sie einen Experten an Ihrer Seite haben, der die aktuellen Bedrohungen und regulatorischen Anforderungen versteht und gleichzeitig in der Lage ist, mit dem Vorstand in der Sprache der Wirtschaft zu kommunizieren. 

Beginnen Sie noch heute mit uns, Ihre Cyber-Resilienz aufzubauen. 

Author: Marek Kovalčík