Warum CIOs und CISOs jederzeit wachsam sein müssen

Für CIOs und CISOs liegt der Schlüssel zum Erfolg in ständiger Aufmerksamkeit und proaktiven Vorgehensweisen.

Bild: Getty Images / Credits: metamorworks

Angesichts des unaufhaltsamen Wandels in der Informationstechnologie sind die Rollen von CIOs und CISOs unverzichtbar geworden und sorgen zunehmend für Nervenkitzel. Mit der Aufgabe betraut, unsere Organisationen vor einer sich ständig weiterentwickelnden Palette an Cyberbedrohungen zu schützen, müssen wir oft ohne jeglichen Spielraum für Fehler agieren. Der Einsatz ist unerbittlich: Während unsere Teams stets wachsam sein und zu 100 Prozent erfolgreich sein müssen, reicht es Angreifern, nur einmal erfolgreich zu sein.

Diese Dynamik schafft ein einzigartiges Druckkocher-Umfeld, in dem CISOs aufgrund des mit ihrer Rolle verbundenen Stresses besonders hohe Fluktuationsraten verzeichnen. Ob es sich um die drohende Gefahr eines Sicherheitsvorfalls, behördliche Kontrollen oder persönliche Haftung handelt – wir bewegen uns auf unbekanntem Terrain.

Die hohen Kosten des Scheiterns

Die finanziellen und rufschädigenden Kosten einer Datenpanne sind erschütternd und belaufen sich oft auf Millionen von Dollar. Sie können die Entschädigung betroffener Parteien, die Überarbeitung von Sicherheitssystemen und die Zahlung potenzieller behördlicher Bußgelder erforderlich machen.

Von der DSGVO bis zum CCPA müssen Unternehmen eine Vielzahl von Cybersicherheitsvorschriften und -standards einhalten. Im Falle einer Datenpanne sind Unternehmen oft verpflichtet, Aufsichtsbehörden wie die SEC oder das FBI zu benachrichtigen. Die Nichteinhaltung dieser Meldepflichten kann zu schweren Strafen führen und die Folgen eines Angriffs verschärfen.

Die finanziellen Folgen sind jedoch nur ein Aspekt des Schadens. Der durch eine Datenschutzverletzung verursachte Reputationsschaden hat weitreichende Konsequenzen, darunter ein geschwächtes Kundenvertrauen, sinkende Mitarbeitermoral und fallende Aktienkurse. Viel beachtete Fallstudien unterstreichen diese Realität. So dient beispielsweise die Datenschutzverletzung bei Equifax im Jahr 2017 weiterhin als warnendes Beispiel dafür, wie schwerwiegend die Auswirkungen sein können. Der unsachgemäße Umgang des Unternehmens mit der Situation führte zu einem Verlust des Verbrauchervertrauens und einem erheblichen Rückgang des Aktienwerts.

Betrachten Sie zudem die berüchtigte Datenpanne bei Target im Jahr 2013. Die Systeme des Unternehmens wurden kompromittiert, was zum Diebstahl von Millionen von Kreditkartendaten von Kunden führte. Der Sicherheitsvorfall kostete den Einzelhändler über 200 Millionen US-Dollar an Anwaltskosten und Vergleichszahlungen, und der Reputationsschaden hielt jahrelang an und beeinträchtigte die Kundenbindung und das Vertrauen.

Persönliche Haftung

In den letzten Jahren sind CISOs zunehmend unter Beobachtung geraten, wobei einige für Cybersicherheitsvorfälle persönlich haftbar gemacht wurden. Die Maßnahmen der SEC gegen SolarWinds und dessen CISO im Jahr 2023 sind ein Paradebeispiel für diesen Trend. Die Behörde klagte SolarWinds und dessen Sicherheitsbeauftragten wegen Betrugs und Versäumnissen bei der internen Kontrolle an und warf dem Unternehmen Diskrepanzen zwischen seinen öffentlichen Aussagen zu Cybersicherheitspraktiken und seinen internen Bewertungen vor.

Solche Fälle verdeutlichen die prekäre Lage von CISOs, die sich in komplexen organisatorischen und regulatorischen Umfeldern zurechtfinden müssen und gleichzeitig sicherstellen müssen, dass ihre Handlungen und Entscheidungen einer genauen Prüfung standhalten. Dieses wachsende Risiko hat viele CISOs dazu veranlasst, Schutzmaßnahmen zu ergreifen, wie beispielsweise die Führung detaillierter Unterlagen und die Gewährleistung der Übereinstimmung zwischen internen Praktiken und öffentlichen Erklärungen.

Aufsehenerregende Rechtsfälle haben zudem die Rolle des CISO für manche weniger attraktiv gemacht, was zu höheren Fluktuationsraten und Herausforderungen bei der Rekrutierung qualifizierter Kandidaten beiträgt. Für diejenigen, die in diesen Positionen verbleiben, hat sich der Fokus nicht nur auf die Abwehr von Cyberbedrohungen verlagert, sondern auch auf die Minderung persönlicher und organisatorischer rechtlicher Risiken.

Ein zukunftsorientierter Ansatz

Für CIOs und CISOs liegt der Schlüssel zum Erfolg in ständiger Wachsamkeit und proaktiven Maßnahmen, anstatt ständig in der Defensive zu sein. Dazu gehören Investitionen in fortschrittliche Cybersicherheits-Tools, die Durchführung regelmäßiger Risikobewertungen und die Förderung einer Kultur des Sicherheitsbewusstseins im gesamten Unternehmen.

Indem wir zukünftige Bedrohungen antizipieren und uns darauf vorbereiten, können wir sicherstellen, dass unsere Organisationen Cyberkriminellen stets einen Schritt voraus sind. Die Nutzung von Bedrohungsinformationen, die Durchführung regelmäßiger Simulationen und die Zusammenarbeit mit Branchenkollegen können uns allen helfen, aufkommende Bedrohungen zu antizipieren und ihnen entgegenzuwirken.

Da sich die Landschaft der Sicherheitsbedrohungen ständig weiterentwickelt, müssen wir agil, anpassungsfähig und entschlossen in unserer Mission bleiben, unsere Organisationen vor Schaden zu bewahren. Diese Widerstandsfähigkeit ermöglicht es uns, jeder Herausforderung mit Zuversicht zu begegnen.

Rik Wright ist Global Technology Leader und Executive Advisor. Bis 2025 war er CISO bei The Channel Company und teilt seine Erfahrungen in einer Kolumne unserer Schwester-Publikation MES Computing..