Die Verantwortung der Chief Information Security Officers (CISOs) ist im vergangenen Jahr stärker ins Rampenlicht gerückt. Eine Studie des Edge-Cloud-Anbieters Fastly legt dar, dass 91 Prozent der Unternehmen im DACH-Raum (Deutschland, Österreich, Schweiz) in den vorangegangenen 12 Monaten ihre unternehmensinternen Richtlinien angepasst haben, um Bedenken über die persönliche Haftung von CISOs zu adressieren.
Dazu zählt laut der Studie etwa, dass in 32 Prozent der Unternehmen die Beteiligung der CISOs an strategischen Entscheidungen auf Vorstandsebene verstärkt wurde.
Die Studienautoren verweisen darauf, dass Ende 2023 neu eingeführte Vorschriften – wie in den USA die SEC-Regeln zu Risikomanagement, Strategie, Governance und Offenlegung von Cybervorfällen bei börsennotierten Unternehmen – sowie weitere Schlagzeilen über gerichtliche Auseinandersetzungen grosse Aufmerksamkeit auf unternehmerische Verantwortung und persönliche Haftbarkeit von CISOs bei Datenpannen gelenkt hätten. Um dieses Risiko zu reduzieren, gaben demnach 37 Prozent der befragten Unternehmen in Deutschland, Österreich und der Schweiz an, die Offenlegung und Dokumentation von Sicherheitsvorfällen durch Aufsichtsbehörden verstärkt zu überprüfen, weitere 41 Prozent haben die rechtliche Unterstützung der Cybersecurity-Teams verbessert, einschliesslich deren Absicherung in Haftungsfällen. Zudem flossen insgesamt deutlich mehr Ressourcen in die Sicherheit, so die Untersuchung.
Obwohl diese Massnahmen als positive Entwicklung zu werten seien, bezweifelt Marshall Erwin, CISO bei Fastly, ob diese Änderungen ausreichten, um Organisationen und Cybersecurity-Fachkräfte angemessen abzusichern. Erwin: "Auch in Zukunft werden globale Ausfälle unvermeidlich sein, die die Verantwortung der CISOs erneut in den Fokus rücken werden. Angesichts dessen ist es ermutigend zu sehen, dass die überwiegende Mehrheit der Unternehmen ihre Offenlegungspraktiken in Bezug auf Haftungsfragen anpasst. Die Investition in rechtliche Absicherung ist ein wichtiger Schritt, doch diese Massnahmen zielen oft mehr darauf ab, Organisationen vor rechtlichen Risiken zu bewahren, als ein sinnvolles Verständnis für Verantwortlichkeiten zu fördern, das zu besseren Sicherheitspraktiken führt." Erwin zufolge gehe eine angemessene Rechenschaftspraxis über Versicherungen und Erfüllen der Offenlegungspflichten hinaus. Erwin: "Für einen wirklichen Wandel müssen wir Verantwortung als positive Kraft begreifen, die Anreize zur Verbesserung von Sicherheitsmassnahmen schafft. Dafür benötigen wir bessere, klarer formulierte Standards von den Regulierungs- und Durchsetzungsbehörden, die unvermeidbare Vorfälle eindeutig von jenen unterscheiden, die aufgrund gravierender Sicherheitsmängel vermeidbar gewesen wären."
Desweiteren habe die Befragung ergeben, dass nahezu die Hälfte (47 Prozent) der Organisationen im DACH-Raum sich nicht im Klaren darüber sei, wer letztlich die Verantwortung für Cybersecurity-Vorfälle trage, da nur 32 Prozent der Befragten klar definierte Rollen und Verantwortlichkeiten innerhalb ihrer Teams besässen. Die Studie weist ausserdem auf eine erhebliche Lücke in der Art und Weise hin, wie Unternehmen Verantwortlichkeiten verinnerlichen und gesetzliche Vorgaben in sinnvolle Verbesserungen der Sicherheitsmaßnahmen übersetzen.
Dazu nochmals Marshall Erwin: "CISOs haben nicht bei jeder Entscheidung das letzte Wort. Bei Sicherheitsrisiken sollte sich der Vorstand fragen: ‚Richten wir unser Budget so aus, dass es die Risiken abdeckt, die uns vom CISO kommuniziert wurden?’ Verantwortung muss auf Führungsebene beginnen, mit klarer Kommunikation und angemessener Ressourcenallokation."
Diese Verantwortung liege nicht allein bei einer Person – sie erfordere Kommunikation auf allen Ebenen der Organisation, um Verständnis und Klarheit darüber zu schaffen, wie und mit welchen Massnahmen Cybersecurity-Risiken minimiert werden könnten.
Auch unterstreicht die Studie, dass sich die Industrie mit klar definierten Rahmenbedingungen hinsichtlich Verantwortlichkeiten auf den nächsten prominenten Vorfall vorbereiten müsse. Diese Rahmenbedingungen sollten demnach Anreize für sinnvolle Massnahmen bieten und nicht nur für die Einhaltung von Compliance-Vorschriften sorgen, heisst es. Da sich regulatorische Standards weiterentwickelten, müssten Organisationen begreifen, dass die Diskussion um die Haftung von CISOs keine Bedrohung darstelle, sondern eine Chance biete, ihre Sicherheitsstrukturen zu festigen und langfristig Veränderungen in Unternehmen voranzutreiben.
Über die Studie:
In der Studie wurden 1.800 zentrale IT-Entscheider mit Einfluss auf den Bereich Cybersecurity in grossen Organisationen aus verschiedenen Branchen in Nord-, Zentral- und Südamerika, Europa, Asien-Pazifik und Japan befragt, darunter 200 Experten in Deutschland, Österreich und der Schweiz. Die Interviews wurden im September 2024 online von Sapio Research mittels einer E-Mail-Einladung und einer Online-Umfrage durchgeführt.
Der Online-Stellenmarkt für ICT Professionals