Erstens kommt es anders und zweitens als man denkt: 86 % der CISOs sagen, ihre Rolle habe sich so sehr verändert, dass es praktisch ein ganz anderer Job ist als zu Beginn ihrer Tätigkeit.
Dass sich die Cybersecurity-Landschaft laufend verändert, habe ich im Verlauf meiner gesamten CISO-Karriere erlebt. Von daher überrascht es mich nicht, dass Sicherheitsverantwortliche, die neues Terrain betreten, heute mit ganz anderen Verantwortlichkeiten jonglieren. Weil wir mehr über die dynamischen Herausforderungen und Chancen der CISO-Rolle wissen wollten, hat ein Splunk-Team die Erkenntnisse und Ansichten einer Vielzahl von CISOs, CSOs und anderen Security-Verantwortlichen eingeholt. Insgesamt wurden 350 Personen befragt, mit 20 davon haben wir zudem ausführliche Interviews geführt.
Die Ergebnisse sind heute erschienen: Der CISO-Report von Ryan Kovar, Distinguished Security Strategist und SURGe-Leiter, sowie Kirsty Paine, Field CTO und Strategic Advisor, Technology and Innovation (EMEA). Die beiden zeichnen anhand der Studienbefunde nach:
- was es heutzutage bedeutet, sicherheitsverantwortlich zu sein,
- was CISOs den Schlaf raubt und
- wie CISOs teamübergreifende Zusammenarbeit schaffen.
Was mich überrascht hat, ist, dass mittlerweile 47 % der CISOs direkt dem CEO unterstellt sind. Das bedeutet nämlich: Noch nie waren CISOs in einer so guten Position, sich für die Sicherheitslage ihres Unternehmens einzusetzen wie im Moment. Ich selbst habe die Erfahrung gemacht, dass die Hebelwirkung enorm sein kann, wenn CISOs den Vorstand direkt aufklären können, sowohl im Hinblick auf die geschäftlichen Cybersicherheitsbedürfnisse als auch in Bezug auf notwendige Investitionen, damit das Unternehmen mit Cyberrisiken und -angriffen besser umgehen kann. Wenn das Wort der CISOs in der Chefetage Gewicht hat, dann ist das ein gutes Zeichen für die Wirtschaft insgesamt. Es gibt jedoch Unterschiede je nach Branche. So ist der Anteil der CISOs, die direkt dem CEO unterstellt sind, bei den Finanzdienstleistern am geringsten (34 %); im Gesundheitswesen sind es dagegen erstaunlich viele (84 %).
Der engere Kontakt von CISOs und Vorstand dürfte im EU-Raum auch aus den verschärften Haftungsregelungen heraus zu erklären sein. Cyberresilienzgesetz, KRITIS-Bestimmungen etc. haben die Geschäftsleitung heftig verunsichert. Und an wen wenden sich die Verantwortlichen in ihrer Not? An die CISOs. Diesen ist allerdings ebenso klar, dass sie unter Umständen selbst den Kopf in der Schlinge haben: 84 % machen sich Sorgen, dass sie bei Cybersecurity-Vorfällen persönlich haftbar gemacht werden.
Seit die CISOs mehr mit ihren CEOs, CFOs und anderen Leitungsfunktionen sprechen, haben sie außerdem entdeckt, dass die Geschäftsverantwortlichen den Security-Erfolg mit anderen KPIs und Metriken messen als noch vor zwei Jahren. Ich weiß aus eigener Erfahrung als CISO, wie wichtig die Ausrichtung auf diese Kennzahlen ist und dass CISOs damit die eigene Position ebenso wie Investitionen in Cybersicherheit sichern können. Die CISOs unserer Befragung nennen den ROI der Security-Investitionen als wichtigsten Erfolgsfaktor, noch vor den Ergebnissen von Sicherheitstests. Ich würde an dieser Stelle noch hinzufügen, dass messbare Fortschritte bei der zertifizierten Sicherheits-/Reifegradbewertung (gemäß NIST Cybersecurity Framework) ebenfalls eine Schlüsselrolle spielen und direkt mit der Investitionsrendite zusammenhängen: Wenn eine Investition den Security-Reifegrad des Unternehmens erhöht, dann ist das ein direkt in Zahlen fassbares Resultat.
Was die Lage der Cyberabwehr angeht, so offenbart unsere Studie, dass 83 % der Befragten nach einem Ransomware-Angriff Lösegeld gezahlt haben. Ich habe schon mit vielen CEOs zusammengearbeitet und weiß, dass CEOs in jedem Fall eher Lösegeld zahlen als Umsatzeinbußen hinzunehmen. Im Übrigen hat sich die Lage keineswegs entspannt. 90 % der CISOs haben im vergangenen Jahr mindestens einen disruptiven Angriff erlebt – und das ist bitter, besonders wenn das Unternehmen auf den Abschluss einer Cyberversicherung aus ist. Angesichts der häufigen Kompromittierungen gehen die Prämien durch die Decke – wer Cyberrisiken absichern möchte, wird demnächst den Firmenerben als Sicherheit stellen müssen, wenn das so weitergeht.
Dies ist nur ein kurzer Abriss dessen, was ich aus dem CISO-Report mitgenommen habe – manche meiner eigenen Erfahrungen hat er bestätigt, andere eher erschüttert. Ganze Themenbereiche sind in diesem Blog noch gar nicht angesprochen, z. B.:
- was generative KI für die Cybersicherheit bedeutet,
- wie sich eine Kultur der Resilienz schaffen lässt und
- wie die Security-Budgets im kommenden Jahr ausfallen werden.
Am besten nehmt ihr euch den CISO-Report selbst vor. Die komplette Analyse inklusive Regionen- und Branchen-Highlights gibt es hier zum Download.
---
