Wie stehen CEOs zur Cybersicherheit? Genießt das Thema angesichts der vielen Sicherheitsvorfälle, über die ständig berichtet wird, strategische Priorität? Die Antwort lautet Nein, obwohl CEOs haftbar sind und wissen, dass Cybersicherheit die Basis ist, um einen reibungslosen Geschäftsbetrieb zu gewährleisten und vertrauensvolle Beziehungen zu Kunden und Lieferanten zu pflegen.

Die Berater von Accenture haben in 15 Ländern die Sicherheitspraktiken von 1.000 CEOs großer Unternehmen unterschiedlicher Branchen untersucht. Der Cyber-resilient CEO Survey zeigt, dass nahezu alle Unternehmenslenker (96 Prozent) Cybersicherheit als Voraussetzung für Wachstum und Stabilität bezeichnen. Doch offenbar verhalten sie sich nicht so. So fürchten 74 Prozent, dass ihre Betriebe in Schwierigkeiten geraten würden, wenn sie einen größeren Cyberangriff abwehren oder zumindest die Schäden minimieren müssten.

CEOs fürchten Security-Kosten mehr als Angriffe

Die Mehrheit der CEOs glaubt nicht an eine ausreichende Resilienz des eigenen Betriebs. Dennoch möchten sie das Thema Cybersicherheit am liebsten wegdelegieren - an den CIO oder den Chief Information Security Officer (CISO). Der Grund: Die CEOs verstehen die Herausforderungen zu wenig. Die Folge ist, dass mehr als die Hälfte davon ausgeht, die Kosten für die Implementierung von Cybersicherheit seien unterm Strich viel höher als die für die Bewältigung eines Cyberangriffs.

Die Vorstände geben ihren Sicherheitsexperten auch kaum Chancen, sie vom Gegenteil zu überzeugen. Nur 15 Prozent der CEOs machen Cybersecurity-Risiken zum Vorstandsthema. Das wirft Fragen auf in Zeiten, in denen die Digitalisierung nahezu jede betriebliche Funktion erfasst und manche Firmen sogar schon das Zeitalter der "Total Enterprise Reinvention" ausgerufen haben. Hinter diesem neuen Schlagwort verbirgt sich die Idee, digitale Disruption zum allumfassenden Prinzip zu erklären: Jede Geschäftseinheit soll mithilfe fortgeschrittener Technologien wie KI, Quanten-Computing, Digital Twin etc. umgebaut und an neue Leistungsgrenzen geführt werden.

CEOs sehen in Cybersicherheit keine strategische Aufgabe

Umso absurder ist es, dass die meisten CEOs Cybersicherheits-Risiken noch immer an untergeordnete Back-Office-Kontrollfunktionen abschieben möchten. Fast die Hälfte sieht hier keine strategische Aufgabe und konzediert höchstens, dass gelegentliche "episodische Interventionen" nötig seien - dann nämlich, wenn es einen Vorfall gäbe. 60 Prozent der Befragten geben auch an, dass ihre Unternehmen keinen Security-by-Design-Ansatz verfolgten, bei dem Cybersicherheit von Anfang an in Geschäftsstrategien, Produkten und Dienstleistungen mitgedacht wird.

Problematisch ist die Haltung vieler CEOs deshalb, weil sich dahinter durchaus eine gewisse Ignoranz verbirgt. Denn nur ein Drittel der Befragten nimmt für sich in Anspruch, ein tieferes Wissen über neueste Cyber-Bedrohungen erworben zu haben. Noch weniger können sich vorstellen, welchen finanziellen und sonstigen Aufwand es bedeuten würde, die ständig neuen Risiken zu verstehen und darauf zu reagieren.

Dabei sind die Risiken in Zeiten von Generative AI greifbar: Die neue Technologie verändert vieles von dem, was im Bereich der IT-Sicherheit bislang gültig war. Die Risiken, kompromittiert zu werden, unbeabsichtigt gegen Gesetze zu verstoßen, den eigenen Ruf nachhaltig zu schädigen und am Ende im Wettbewerb zurückzufallen, sind deutlich gestiegen. Deshalb warnt Accenture: Die Relevanz von Cybersicherheit zu verkennen und einen zu engen Rahmen in Sachen Resilienz zu stecken, können CEOs in echte Schwierigkeiten bringen. Würden sich die Vorstände erst nach einem Cyberangriff mit der Materie beschäftigen, sei der Schaden bereits angerichtet und die Kontrolle aus der Hand gegeben.

Diese fünf Maßnahmen zeichnen Cyber-resiliente CEOs aus

Accenture hat im Rahmen eines Benchmarks die fünf Prozent der CEOs identifiziert, die in Sachen Cybersicherheit Cyberresilienz die Nase vorn haben. Diese als "Cyber-resiliente CEOs" bezeichnete Gruppe unterscheidet sich vor allem wegen ihres breiten Ansatzes von allen anderen. Sie lässt Aspekte wie Talent und Kultur, Innovation, Nachhaltigkeit und auch die Kundenperspektive mit in ihre Betrachtungen einfließen. Dabei schauen diese CEOs nicht nur auf aktuelle Vorfälle oder Verstöße gegen Compliance-Anforderungen, um ihren Cybersecurity-Ansatz zu definieren, sondern sie ergreifen gezielt folgende fünf Maßnahmen:

• Cyber-Resilienz wird von Anfang an in die Geschäftsstrategie integriert.

• Die Verantwortung für Cybersicherheit wird nicht auf einzelne Personen abgewälzt, sondern sinnvoll auf die gesamte Organisation heruntergebrochen.

• Der größte Schatz ist der digitale Kern im Herzen der Organisation, er wird mit aller Macht abgesichert.

• Cyber-Resilienz ist ein ganzheitlich verfolgter Ansatz, der keine organisatorischen Grenzen oder Silos kennt.

• Cyber-Resilienz wird als fortlaufender Prozess verstanden, weshalb das Unternehmen hier möglichst immer einen Vorsprung haben will.

Laut Accenture sind diese fünf Prozent der CEOs besser gegen Sicherheitsvorfälle gewappnet als alle anderen, und ganz nebenbei verzeichnen sie auch deutlich geringere Kosten, sollte doch einmal ein Security-Problem auftreten. Unterm Strich ist auch ihre finanzielle Performance überdurchschnittlich. Diese Vorreiter betrachten Cybersicherheit nicht als rein technische Funktion, die von der IT-Abteilung wahrzunehmen ist, sondern als unternehmensweite Priorität. Deshalb richten sie Prozesse für Reporting und Rechenschaftspflicht von der Führungsebene bis zum Vorstand ein. (hv)