Cyberrisikomanagement als Treiber der Geschäftsentwicklung

Executive-Verständnis: Eine Voraussetzung für Enablement

Risikomanagement dient dazu, das organisatorische Risiko innerhalb definierter Schwellenwerte zu halten und gleichzeitig strategische Ziele zu ermöglichen. Cybersicherheit kann als Funktion des Risikomanagements nicht isoliert wirksam sein. Ihr Erfolg hängt von einem engagierten und informierten Führungsteam ab, das sowohl die Sprache als auch die Implikationen von Cyberrisiken versteht.

Governance beginnt an der Spitze

Vorstände tragen zunehmend Verantwortung für die Cybersicherheitsaufsicht. Laut dem PwC-Bericht Overseeing Cyber Risk: The Board's Role unterstützen Vorstände das Cybersicherheitsrisikomanagement durch:

• Einbettung von Cyber in strategische Entscheidungen
• Verständnis des Risikomanagementprogramms
• Überwachung der Resilienz
• Neubewertung von Aufsichtsstrukturen

Effektive Governance erfordert jedoch mehr als Cybersicherheitsaufsicht – sie erfordert funktionsübergreifendes Engagement. Ein Ausgangspunkt für Enablement ist, wenn Cybersicherheitsverantwortliche datengetriebene Strategien einführen und Maßnahmen implementieren, die mit der Risikobereitschaft und den strategischen Zielen der Organisation übereinstimmen.

Die Wissenslücke in der Führungsebene

Trotz wachsender regulatorischer Verantwortlichkeiten des Vorstands bei der Steuerung von Cyberthemen im Unternehmen fehlen ihnen noch immer das Vokabular und die Frameworks, um sich effektiv mit Cyberrisiken auseinanderzusetzen. Dies führt zu:

• Fragmentierter Berichterstattung über Geschäftsbereiche hinweg
• Mangelnder Korrelation zwischen Risiko und strategischen Zielen
• Fehlender gemeinsamer Taxonomie für Cyberexposition

Führungskräfte müssen über Compliance-Checklisten hinausgehen und risikobasierte Ansätze zur Cyberrisiko-Governance übernehmen.

Senior Management und Cybersicherheits-Enablement

In James Lams Buch Enterprise Risk Management: From Incentives to Controls skizziert er eine Reihe von Diagnosefragen zur Bewertung der Cybersicherheitsaufsicht auf Führungsebene:

• Was sind die wichtigsten Cyberrisiken nach Schweregrad und Wahrscheinlichkeit?
• Werden Geschäftsziele direkt bedroht?
• Verfügen wir über KRIs, die mit unserer definierten Risikobereitschaft übereinstimmen?
• Was waren die tatsächlichen Verluste und Vorfälle des Unternehmens, und haben wir diese Risiken in früheren Risikobewertungsberichten identifiziert?
• Sind wir konform mit Gesetzen, Vorschriften und unternehmensinternen Risikorichtlinien?

Führungskräfte, die diese Fragen beantworten können, zeigen nicht nur Cybersicherheitskompetenz, sondern auch strategische Bereitschaft. Es bedeutet auch, dass sie sich sinnvoll mit dem CFO, CIO und CISO auseinandergesetzt haben, da diese gut positioniert sind, bei der Beantwortung dieser Fragen zu helfen.

Geschäftliches Enablement operationalisieren: CFO, CIO und CISO als strategische Partner

Die praktische Arbeit des Cybersicherheits-Enablements wird durch die Beziehungen zur zweiten und ersten Verteidigungslinie geprägt, insbesondere durch CFO, CIO und CISO.

Warum diese Partnerschaften wichtig sind

Gartner berichtet, dass Organisationen mit starken CFO-CIO-Partnerschaften:

• 51 % wahrscheinlicher sind, Finanzierung für digitale Initiativen zu sichern
• 39 % wahrscheinlicher im Budget bleiben

Jedoch gelten nur 30 % dieser Partnerschaften aufgrund von Fehlausrichtungen in Terminologie, Kennzahlen und Geschäftsprioritäten als „hochfunktional".

Hier ist die Rolle des CISO entscheidend: Er überbrückt die Lücke dabei, wie digitale Initiativen intrinsisch mit Geschäftswert und Risikomanagement verknüpft sind. Indem technische Schwachstellen in Geschäftsauswirkungsszenarien übersetzt und Cyberrisiken in finanziellen Begriffen quantifiziert werden, hilft der CISO dabei, die Welten von Cyber und operativer Planung in Einklang zu bringen.

• CFO stellt sicher, dass Cybersicherheitsinvestitionen mit finanziellen Zielen und ROI-Erwartungen übereinstimmen
• CIO integriert Cyberschutzmaßnahmen in die digitale Infrastruktur und Innovation
• CISO übersetzt technische Risiken in Geschäftssprache und ermöglicht wertbasierte Entscheidungen

Den CISO neu definieren: Vom Maßnahmenmanager zum strategischen Risikoberater

Der Aufgabenbereich des Chief Information Security Officers hat sich grundlegend verändert. In der Vergangenheit war Cybersicherheit größtenteils eine isolierte Funktion. CISOs waren hauptsächlich für technische Maßnahmen und die Sicherstellung der Compliance des Sicherheitsprogramms der Organisation verantwortlich.

Heute ist der CISO infolge der digitalen Transformation nicht mehr nur für Cyber- und Technologierisiken innerhalb der internen Systeme der Organisation verantwortlich. Kritische Geschäftsprozesse werden nun an Dritte ausgelagert, was bedeutet, dass die Cybersicherheit von Lieferanten und Partnern ebenfalls in seinen Verantwortungsbereich fallen kann. Mitarbeiter benötigen Schulungen zur Cybersicherheitsbewusstheit, um das Risiko von Cyberangriffen über die täglich genutzten Tools zu reduzieren.

Die Cybersicherheitsstrategie gewährleistet die digitale und operative Integrität des Unternehmens. Die Auswirkungen von Cyber- und Technologierisiken auf das Geschäftsergebnis sind offensichtlich. Cybersicherheit muss strategisch und proaktiv sein.

Von reaktivem zu proaktivem Risikomanagement

Gartner hat vier Phasen beschrieben, die ein CISO im Laufe seiner Karriere durchläuft, abhängig von der Reife der Organisation. Der Übergang von implizitem zu explizitem Risikomanagement treibt das Geschäfts-Enablement voran – oder anders ausgedrückt: der Übergang von compliance-basiertem und reaktivem Risikomanagement zu zielorientiertem und proaktivem Risikomanagement.

1. Controls Manager
2. Risk Decision Owner
3. Trusted Facilitator
4. Value Enabler

Die ersten beiden Phasen – Controls Manager und Risk Decision Owner – konzentrieren sich klar auf die Leistung von Maßnahmen, die Compliance-Anforderungen und Reifegradmodelle erfüllen. In den letzten beiden Phasen als Trusted Facilitator und Value Enabler kann der CISO das Geschäfts-Enablement vorantreiben.

Das Verstehen und Kommunizieren der Auswirkungen von Risiken in finanziellen Begriffen kann verändern, wie Risiken von allen Stakeholdern wahrgenommen werden. Dies ermöglicht auch eine effektive Ressourcenallokation, sodass das Unternehmen innerhalb der Grenzen und Schwellenwerte einer akzeptablen Risikobereitschaft wachsen kann. Um dieses Verständnisniveau zu erreichen, übernehmen CISOs eine quantitative Methodik neben ihren qualitativen Risikomanagement-Frameworks.

Cyberrisiken in Geschäftsbegriffe übersetzen

Vorstände benötigen geschäftsrelevante Risikoerkenntnisse. Wenn CISOs die finanziellen Auswirkungen potenzieller Cyberangriffe quantifizieren, wird es für Führungskräfte einfacher zu verstehen, was auf dem Spiel steht, und fundierte Investitionsentscheidungen zu treffen.

Die FAIR-Quantifizierung (Factor Analysis of Information Risk) ist ein leistungsstarker Ansatz, um die Fehlausrichtung in Sprache und Kennzahlen durch eine Standardsprache und messbare Faktoren zur Kommunikation von Risiken in finanziellen Begriffen zu beheben. Dies ermöglicht es Entscheidungsträgern, Aktivitäten zu priorisieren und die strategische Zusammenarbeit zu stärken. Sie bietet eine quantitative Methodik zur Schätzung der wahrscheinlichen Häufigkeit und des Ausmaßes von Verlusten und wird häufig neben Frameworks wie NIST CSF, EBIOS RM und ISO/IEC 27005 eingesetzt.

Die Wechselwirkungen von Cyberrisiken managen

Risiken existieren selten in Silos. In der digitalen Geschäftswelt kann ein einzelner Ausfall Lieferketten, Lieferanten-Ökosysteme und interne Systeme in Mitleidenschaft ziehen.

Die isolierte Quantifizierung einzelner Risiken kann ein Gefühl von Präzision ohne Genauigkeit erzeugen. Ohne die Wechselwirkungen innerhalb eines kritischen Geschäftsprozesses zu berücksichtigen, riskieren Organisationen zu übersehen, wie ein Expositionsbereich einen anderen verstärken kann.

Beispielsweise könnte eine Schwachstelle im Authentifizierungssystem eines Cloud-Anbieters gleichzeitig:

• Vertrauliche Kundendaten offenlegen
• Regulatorische Verstöße auslösen
• Die Leistungserbringung verzögern und den Umsatz beeinträchtigen

Effektives Cyberrisikomanagement erfordert eine Struktur, die sowohl granulare Transparenz als auch aggregierte Modellierung unterstützt, um die Risikolage der Organisation vollständig zu erfassen. Und Wechselwirkungen können nur entdeckt werden, wenn alle Beteiligten am Tisch sitzen.

KRIs für Geschäfts-Enablement

Key Risk Indicators (KRIs) sind Frühwarnkennzahlen, die Veränderungen in der Risikoexposition signalisieren. Anders als Compliance-Kennzahlen sind KRIs direkt mit der Geschäftsleistung verknüpft.

Effektive KRIs sind:

• Quantifizierbar und benchmarkfähig
• Im Zeitverlauf verfolgbar
• Entscheidungsrelevant
• Im Geschäftskontext eingebettet
• Kosteneffizient und zeitnah

Im Bereich Cybersicherheit können KRIs umfassen:

• Phishing-Klickraten – verknüpft mit Cybersicherheitsbewusstheit
• Durchschnittliche Erkennungs-/Reaktionszeit bei Vorfällen – verknüpft mit Resilienz
• Drittanbieter-Exposition – verknüpft mit Beschaffung und Lieferkette
• Patch-Management – verknüpft mit Infrastrukturbereitschaft

KRIs können von CISOs genutzt werden, um Argumente für die Ressourcenallokation oder Priorisierung von Sicherheitsinitiativen zu entwickeln. Sie können in Executive-Dashboards eingebettet und regelmäßig überprüft werden. Die Schwellenwerte werden auf Basis der Risikobereitschaft und -toleranz definiert, die in Zusammenarbeit mit dem Vorstand, dem CIO und dem CFO festgelegt werden.

Geschäfts-Enablement durch Cyber-Resilienz

Cybersicherheit ist grundlegend für das Geschäfts-Enablement. Da Organisationen ihre digitale Transformation fortsetzen und zunehmend auf ein komplexes erweitertes Unternehmensmodell angewiesen sind, wird die Fähigkeit, Cyberrisiken zu verstehen, zu quantifizieren und zu managen, zu einem Wettbewerbsvorteil.

CISOs zu befähigen, gemeinsam mit CFOs, CIOs und dem Vorstand zu agieren, stellt sicher, dass Cybersicherheitsinvestitionen mit strategischen Zielen in Einklang gebracht, durch Daten informiert und auf Geschäftsrisiken ausgerichtet sind. Mit den richtigen Frameworks und funktionsübergreifendem Engagement wird Cybersicherheit zu einem proaktiven Treiber operativer Resilienz und Wachstums.