Der Großteil der Geschäftsführer unterschätzt die wichtige Rolle, die eine funktionierende Cybersicherheit für den Geschäftserfolg ihres Unternehmens spielt. Dies führt dazu, dass Geschäfts- und Sicherheitsziele oft nicht aufeinander abgestimmt sind, was auch eine schlechtere Sicherheitslage und mehr Cyberangriffe nach sich zieht.
Wie eine globale Befragung des PAM-Spezialisten Delinea unter mehr als 2.000 IT-Sicherheitsentscheidern offenbart, sind nur 39 Prozent der Meinung, dass die Führungsetage ihres Unternehmens die Bedeutung von Cybersecurity als Business Enabler tatsächlich richtig einschätzt. Vielmehr wird das Thema Sicherheit oft nur im Hinblick auf die Compliance und die Einhaltung gesetzlicher Bestimmungen als wichtig erachtet, wie 35 Prozent angegeben haben. Laut 17 Prozent der Befragten wird der Cybersecurity von der Unternehmensleitung sogar keinerlei geschäftliche Priorität zugeschrieben. Dabei hat die globale wirtschaftliche Unsicherheit die Situation noch verschlimmert und macht es für rund die Hälfte der Befragten (48 %) noch schwieriger, die Cybersicherheit mit den allgemeinen Unternehmenszielen in Einklang zu bringen.
Verschlechterung der Sicherheitslage
Die fehlende Einschätzung des Sicherheitsaspekts von Seiten der Geschäftsführung hat für die Unternehmen weitreichende Auswirkungen, auch auf Investitionen und Budgetverteilungen. So berichten 35 Prozent der Befragten von Verzögerungen bei wichtigen Sicherheitsinvestitionen, fast ebenso viele (34 %) von aufgeschobenen strategischen Entscheidungen.
Dies blieb auch für die Sicherheitslage der Unternehmen nicht ohne Folgen: Die überwiegende Mehrheit der Befragten konnte aufgrund der Diskrepanz zwischen Geschäfts- und Sicherheitszielen im vergangenen Jahr mindestens eine negative Auswirkung für ihr Unternehmen erkennen. Mehr als ein Viertel gab etwa an, dass dies zu einem Anstieg erfolgreicher Cyberangriffe geführt hatte, und zudem den Stress erhöht hat, dem die Security-Teams ausgesetzt sind, wie rund ein Drittel bestätigten.
Es hakt beim Abstimmen der Ziele und dem Sichtbarmachen von Erfolgen
Doch die Umfrage bringt auch positive Aspekte in der Zusammenarbeit von Security-Teams und Geschäftsleitung zutage: So gaben 62 Prozent der Befragten an, sich regelmäßig mit Führungskräften zu treffen und auszutauschen und in 54 Prozent der Unternehmen sind Security-Verantwortliche sogar Teil der Führungsetage.
Indes besteht Verbesserungspotenzial beim Abstimmen der Sicherheitsstrategien sowie dem Sichtbarmachen von Erfolgen. So dokumentiert nur etwa die Hälfte der Unternehmen Richtlinien und Verfahren, um Abstimmungen und Anpassungen von Maßnahmen zu erleichtern, und ein weiteres Drittel gab an, dass Abstimmungen grundsätzlich nur ad hoc oder bei Bedarf erfolgen. Zudem macht die Studie deutlich, dass die Metriken, mit denen der Erfolg von Cybersicherheitsmaßnahmen sichtbar gemacht und bewertet wird, immer noch streng an technische oder tätigkeitsbasierte Kennzahlen geknüpft sind. Laut 31 Prozent der Befragten ist die Zahl der abgewehrten Angriffe das wichtigste Maß für den Erfolg, gefolgt von der Erfüllung der Compliance-Ziele (29 %) und der Reduzierung der Kosten für Sicherheitsvorfälle (29 %).
Kommunikation mit der Geschäftsführung ist verbesserungswürdig
Technische Skills und Fachwissen im Bereich der Cybersecurity werden von den Befragten als die wertvollsten Fähigkeiten angesehen, über die Sicherheitsentscheider verfügen sollten und werden daher deutlich höher bewertet als Kommunikationsgeschick, Geschäftssinn oder Mitarbeiterführung. Dabei sind es diese klassischen Business-Kompetenzen, die Sicherheitsverantwortlichen dabei helfen, sich besser mit der Geschäftsführung abzustimmen. Tatsächlich gibt fast ein Drittel der Befragten zu, dass das erfolgreiche Vermitteln von Geschäftsszenarien an den Vorstand und die Geschäftsleitung eine Lücke in den eigenen Fähigkeiten darstellt, und fast ebenso viele (30 %) stufen ihre Kommunikationsfähigkeiten als verbesserungswürdig ein.
Weitere Ergebnisse finden Sie im kompletten Report: The Impact of Business Alignment on Cybersecurity Effectiveness
