Jeder CISO ist sich darüber im Klaren, dass Cyberbedrohungen immer ausgefeilter werden. Die IT-Sicherheit des Unternehmens zu gewährleisten gleicht einer Sisyphusarbeit, die niemals gänzlich erledigt sein wird. Das legt auch der kürzlich veröffentlichte Lagebericht des BSI nahe, der die sich zusehends verschärfende Bedrohungslage verdeutlicht. Besonders häufig sind derzeit Ransomware-Angriffe, Insider-Bedrohungen, Phishing sowie Business Email Compromise (BEC) zu beobachten.
Da auch bekannte Marken immer häufiger Opfer solcher Angriffe wurden, steigt die Aufmerksamkeit für Cyberattacken, wodurch die Mehrheit der Vorstandsmitglieder erkannt haben, dass (IT-)Sicherheit kein vollständig zu erreichendes Ziel, sondern ein langfristiger Prozess ist. Das bedeutet jedoch nicht zwangsläufig, dass angemessene Ressourcen bereitgestellt werden, um dieses Problem zu bewältigen - speziell angesichts der finanziellen Einschränkungen, denen sich viele Firmen aufgrund der derzeitigen Pandemie momentan ausgesetzt sehen. Dennoch ist es die Aufgabe des CISO, den Vorstand und gerade den CFO davon zu überzeugen, in Cybersecurity zu investieren, um die Organisation bestmöglich auf die sich verschärfende Bedrohungslage vorzubereiten.
Wie können CISOs nun aber ihre Erfolgsaussichten in puncto Budgets verbessern und damit sicherstellen, um ihrer Rechenschaftspflicht nachzukommen?
Den CFO verstehen
Der erste Schritt zum Erfolg besteht darin, mehr über die Welt des CFO zu erfahren, um diesen besser zu verstehen. Es liegt in der Natur ihrer Aufgabe, dass sich CFOs in erster Linie mit der finanziellen Performance des Unternehmens befassen. Sie sollen dessen Vermögenswerte schützen und die Rentabilität steigern, um den taktischen und strategischen Erfolg des Unternehmens sicherzustellen. In der Regel fungiert der Finanzvorstand als die rechte Hand des CEO und konzentriert sich daher auf die Fähigkeit des Unternehmens zur Wertschöpfung und Ertragssteigerung.
Auch wenn CFOs in der Regel nicht viel Zeit damit verbringen, sich mit der Einhaltung von Sicherheitsvorschriften zu befassen, sind sich die meisten sehr wohl bewusst, dass die Kosten eines Sicherheitsvorfalls verheerend sein können. Ein gutes Beispiel dafür sind Business-Email-Compromise-Angriffe (BEC, auch CEO-Betrug genannt), die sich schnell zu einem der verlustreichsten Angriffsformen entwickelt haben. Das FBI schätzte kürzlich die Kosten, die Unternehmen durch solche Angriffe in den letzten drei Jahren entstanden sind, auf 26,5 Milliarden US-Dollar.
Trotz des hohen finanziellen Risikos von Cyberattacken verfügen Organisationen nicht über unbegrenzte Budgets und CFOs müssen mit Bedacht entscheiden, wo am besten investriert werden sollte, um den verschiedenen Sicherheits- und Compliance-Risiken zu begegnen.
- Vorbeugung von Datenverlust und Betrug
Sicherstellen, dass Mitarbeiter keine Daten versehentlich, fahrlässig oder vorsätzlich missbrauchen oder stehlen. - Security Operations
Unmittelbare Bedrohungen in Echtzeit analysieren und im Ernstfall sofortige Gegenmaßnahmen koordinieren. - Cyber-Risiko und Intelligence
Stets informiert bleiben über aufkommende Sicherheitsbedrohungen. Den Vorstand dabei unterstützen, mögliche Sicherheitsrisiken aufgrund von Akquisitionen oder anderen Geschäftsentscheidungen zu verstehen. - Security-Architektur
Security-Hard- und Software planen, einkaufen und in Betrieb nehmen. Sicherstellen, dass IT und Netzwerk anhand der geeignetsten Security Best Practices modelliert sind. - Identitäts- und Zugriffsmanagement (IAM)
Sicherstellen, dass nur berechtigtes Personal Zugriff auf sensible, geschützte Daten und Systeme hat. - Programm-Management
Aufkommende Sicherheitsanforderungen erfüllen, indem Programme und Projekte eingeführt werden, die Risiken beseitigen. Darunter fallen beispielsweise regelmäßige System-Patches. - Fehlersuche und Forensik
Herausfinden, was bei einem Datenleck schiefgelaufen ist, die Verantwortlichen zur Rechenschaft ziehen, wenn sie aus dem eigenen Unternehmen stammen, und Pläne entwickeln, um ähnliche Krisen in Zukunft zu verhindern. - Governance
Sicherstellen, dass alle zuvor genannten Initiativen fehlerlos laufen, ausreichend finanziert sind und die Unternehmensführung versteht, wie wichtig sie sind.
Der interne Dialog des CFO
Wenn man mit CFOs spricht, wird klar, dass sie jedes Mal, wenn an sie eine neue Budgetanfrage herangetragen wird, einem vergleichsweise formalen Entscheidungsprozess folgen. Der Finanzvorstand des US-Cybersecurity-Unternehmens Proofpoint wünscht sich beispielsweise für diesen "internen Dialog", dass ihm ein CISO Antworten auf die folgenden Fragen liefert:
Welches Risiko wird durch die Investition adressiert, und wie groß ist dieses Risiko im Verhältnis zum Umsatz?
Wie hoch sind die Kosten der vorgeschlagenen Lösung im Vergleich zu den Auswirkungen eines Sicherheitsvorfalls, verteilt über einen Zeitraum von drei bis fünf Jahren?
Über welche Schutzfunktionen verfügen wir in diesem Bereich bereits, und wie wirksam sind sie? Wie wirksam wird die neue Lösung im Vergleich dazu sein?
Warum benötigen wir genau diese Lösung und nicht eine Alternative?
Gibt es die Möglichkeit, Lieferanten zu konsolidieren, um die Beschaffung zu vereinfachen und so eine größere finanzielle Hebelwirkung zu erzielen?
Der CISO sollte die typischen Fragen seines CFO kennen, die den oben genannten vermutlich nicht unähnlich sind, und seine Antworten im Business Case darlegen. Für den CFO steht die taktische Leitung des Unternehmens im Vordergrund. Bevor mit ihm neue Investitionen besprochen werden, ist es daher ratsam, die Ziele der Cybersicherheit sowie den Investitionsvorschlag mit den allgemeinen Geschäfts- und Compliance-Zielen in Einklang zu bringen. Hierbei können die folgenden Schritte hilfreich sein, um einen überzeugenden Business Case für die Investition zu erstellen:
Fehlende Sicherheitsfunktionen hervorheben
Der erste Schritt, um den geschäftlichen Nutzen von Investitionen im Bereich Cybersicherheit zu verdeutlichen, besteht darin, das Problem klar und zugleich in aller Kürze zu beschreiben.
Wichtig ist, die erkannte Sicherheitsschwachstelle in nicht-technischen Begriffen zu erläutern. Hierzu kann beispielsweise dargelegt werden, wie aufgefallen ist, dass bestimmte Arten bösartiger E-Mails das Gateway passieren konnten, oder weshalb es dem Unternehmen schwerfällt, sensible Daten nachzuverfolgen, die zwischen Cloud-Systemen von Drittanbietern verschoben werden.
Es sollte in Betracht gezogen werden, einen Vergleich zu den Marktbegleitern zu ziehen, um nachzuweisen, dass vergleichbare Unternehmen sich bereits aktiv mit dieser Frage auseinandersetzen. Dadurch kann sichergestellt werden, dass der CFO einen Überblick darüber hat, was im Ernstfall gegenüber den Medien zu rechtfertigen wäre.
Damit verbundenen Risiken und Auswirkungen quantifizieren
Die fehlende Funktion in Sachen Sicherheit sollte detailliert beschrieben werden, um aufzuzeigen, wie dies zu einem Sicherheitsvorfall führen könnte. Es bietet sich an, Risikomodelle zu verwenden, die im Unternehmen bereits vorhandenen sind.
Es muss klar sein, welche möglichen Verluste im Fall der Fälle entstehen können und wie wahrscheinlich diese Szenarien sind. Beispielsweise mittels einer Value-at-Risk-Kurve (VaR), anhand derer die potenzielle Schadenshöhe eines Vorfalls im Verhältnis zur Wahrscheinlichkeit für das Eintreten dieses Falls skizziert wird, kann ein Finanzvorstand das Risikopotenzial besser einordnen. Diese Kurve kann in der Folge auch zur Abstimmung mit anderen Finanzmodellen herangezogen werden, die der CFO für weitere Investitionsentscheidungen heranzieht. Zudem ist es wichtig, Verweise auf Verluste sowohl als Prozentsatz des Jahresumsatzes als auch als Reputationsfaktor einzubeziehen. Etwaige Bußgelder oder zusätzliche Kosten, die sich aus einer verstärkten aufsichtsrechtlichen Prüfung ergeben würden, dürfen ebenfalls nicht vernachlässigt werden.
Darüber hinaus verdeutlicht eine Aufstellung potenzieller Verluste zusammen mit aktuellen Beispielen die potenziellen Verlustszenarios - sei es für Ransomware-Attacken, Insider-Bedrohungen oder E-Mail-Betrug.
Die Lösung beschreiben
Die Lösung, die Gegenstand des Budgetantrags ist, sollte eingehend erläutert werden, wobei es ebenfalls hilfreich ist, sich dabei nicht allzu technisch auszudrücken.
Darüber sollte erklärt werden, warum diese Lösung dem Risiko Rechnung trägt, während die bestehenden Sicherheitslösungen dies nicht tun. Der Vorschlag sollte ferner einige Alternativen auflisten, um dem CFO eine gewisse Flexibilität für seine Erwägungen an die Hand zu geben - selbst wenn aus Sicht des CISO die bevorzugte Lösung klar sein sollte.
An dieser Stelle gilt es auch, für den CFO weitere Möglichkeiten hervorzuheben, die sich im Zuge der geplanten Investition ergeben. Dazu zählen beispielsweise die Möglichkeit einer Lieferantenkonsolidierung, bessere Rabattoptionen oder mehr Effizienz durch Automatisierung.
Den Wert der Investition betonen
Abschließend gilt es im Business Case die spezifischen Kostenfragen zu berücksichtigen. Dem CFO ist in der Regel bewusst, dass es schwierig ist, im Security-Bereich eine Kapitalrendite (ROI) zu erzielen, sodass ein fehlender Verweis darauf nicht gleich ein Todesurteil für die Budgetanfrage bedeutet. Dennoch solltedas Preis-Leistungs-Verhältnis veranschaulicht und gezeigt werden, wie die Lösung insgesamt dazu beiträgt, Geld zu sparen. In diesem Zusammenhang hilft die folgende Gliederung:
Wie hoch sind die Kosten für das Produkt sowie die geschätzten Kosten im Zusammenhang mit der Neuerung? Die Übersicht sollte alle potenziellen Einsparungen durch Automatisierung oder Konsolidierung etc. beinhalten. Hier sollten auch die möglichen Kosten der Implementierung, einschließlich Schulungen, Projektkosten etc. genannt werden.
Wie hoch sind die Kosten der Lösung im Vergleich zu den finanziellen Risiken, die sie verhindern soll? Wie verhalten sich die Gesamtkosten im Vergleich zum VaR über einen Zeitraum von drei bis fünf Jahren? Genau das ist der kritische Punkt, den der CFO verstehen möchte.
Zeit ist im Falle des CFO eine äußerst begrenzte Ressource. Wenn es innerhalb einer Organisation eine Person gibt, die ähnlich ausgelastet ist wie der CISO, dann ist es der CFO. Sicherheit und Compliance stellen für ihn jedoch nur einen kleinen Teil seines Alltags dar. Ein Budgetvorschlag, der kurz und bündig gehalten ist, zeigt daher, dass man über Verständnis für die Nöte des CFO verfügt.
Annäherung an die C-Suite
Wie viel Einfluss hat der CISO im Unternehmen und ist er gleichwertiges Mitglied der Vorstandsriege - einem COO oder CFO gleichgestellt? Die Antwort darauf ist häufig ein "heute noch nicht ganz". Doch genau das muss sich ändern, wenn eine zunehmend digitale Wirtschaft den aktuellen und zukünftigen Security-Herausforderungen tatsächlich begegnen möchte.
Daher sollten CISOs eine bessere Beziehung zum C-Level aufbauen und ein echtes Verständnis für den Betrieb eines Unternehmens zeigen - nicht nur für dessen Sicherheit. Die Zusammenarbeit mit allen Kollegen aus der Vorstandsebene und das Verständnis der im Unternehmen gebräuchlichen Modelle, Regeln und Checklisten, mit denen sie im Alltag umgehen, bietet eine gute Gelegenheit, diese Entwicklung zu beschleunigen.
Der CFO ist nach dem CEO die einflussreichste Person im Vorstand. Daher sollte ein CISO die Zeit des CFO gut zu nutzen wissen. Abgesehen davon, dass Budgetanfragen häufiger von Erfolg gekrönt sein werden, kann ein gutes Verhältnis zum CFO unter Umständen auch dazu führen, bei künftigen Vorstandssitzungen vielleicht einen prominenten Verbündeten zu haben. (jd)