In der turbulenten Cybersicherheitslandschaft von heute ist die Rolle von Chief Information Security Officers (CISOs) immer wichtiger und wird intensiver hinterfragt als je zuvor. Die kürzlich von der SEC erlassenen Vorschriften zur Offenlegung von Cybersicherheitsverletzungen – eine regulatorische Reaktion auf Ereignisse wie den massiven SolarWinds-Hack im Jahr 2020 und die persönliche Inhaftungnahme des ehemaligen Chief Security Officers Joe Sullivan für die Vertuschung einer Cyberverletzung bei Uber – haben die Besorgnis der CISOs in den USA über ihre Verantwortlichkeiten verstärkt. Ebenso haben neue Vorschriften auf der ganzen Welt, wie NIS2 und DORA in Europa und Australiens Privacy Legislation Amendment von 2022, den Druck auf CISOs und andere Sicherheitsexperten erhöht.

Der zunehmende Druck hat deutlich gemacht, dass CISOs in der Lage sein müssen, enger mit den Mitgliedern des Führungsgremiums zusammenzuarbeiten. Angesichts des Gegenwinds wünschen sich viele Direktoren eine engere Beziehung zu ihren CISOs, um sicherzustellen, dass sie ein solides Verständnis für das Sicherheitsprogramm ihres Unternehmens haben. Die Stärkung der Beziehung zwischen Führungsgremium und CISO zahlt sich aus: Jüngste Untersuchungen von Diligent Institute und Bitsight zeigen, dass eine mangelnde Verbindung zwischen den Führungsgremien und dem CISO die Gesamtleistung des Unternehmens beeinträchtigen kann.

Bei einem Abendessen, das Diligent während der RSA Conference 2024 veranstaltete, hatte ich die Gelegenheit, mich im Gespräch mit mehreren Direktoren und CISOs über die Dynamik der Beziehung zwischen Führungsgremien und CISOs zu informieren. Eine Erkenntis war, dass viele CISOs meinen, dass sie keinen wirklichen Einfluss haben und nicht in der Lage sind, Risiken und Strategien effektiv mit den Mitgliedern der Führungsgremien zu kommunizieren. Die Mitglieder der Führungsgremien bemängelten diesen Mangel an Kommunikation ebenso. Angesichts verschärfter regulatorischer Anforderungen und Haftungsfragen ist diese Herausforderung für CISOs noch akuter. Aus den Aussagen der beim Abendessen anwesenden Direktoren ging klar hervor, dass sie die Meinung von CISOs hören möchten und die Cybersicherheit als strategisches Thema für ihr Unternehmen betrachten.

Was lässt sich also gegen die gestörte Kommunikation unternehmen?

Basierend auf meinen Gesprächen mit CISOs und Direktoren habe ich die fünf besten Maßnahmen zusammengestellt, wie Führungsgremien ihre CISOs unterstützen und eine solidere Partnerschaft fördern können, indem sie ihr Engagement für die Cybersicherheit demonstrieren und dem Fachwissen und den Erkenntnissen der CISOs die notwendige Aufmerksamkeit entgegenbringen. Die Befolgung dieser fünf Maßnahmen kommt den Führungsgremien, dem CISO und dem Unternehmen als Ganzes zugute.

1. Angemessenen Schutz der CISOs gewährleisten

Eine der grundlegenden Möglichkeiten, wie Führungsgremien ihre CISOs bestärken können, besteht darin, sicherzustellen, dass sie den notwendigen Schutz und die notwendige Unterstützung erhalten. Dabei sollten die Direktoren zwei wichtige Aspekte berücksichtigen:

• D&O-Versicherung: Die Führungsgremien sollten sicherstellen, dass CISOs durch die D&O-Versicherung (Haftpflichtversicherung für Führungskräfte) des Unternehmens abgedeckt sind. CISOs sind häufig nicht abgedeckt, da diese Position in der Vergangenheit nicht vom Führungsgremium bestellt wurde. Diese Versicherung bietet CISOs finanziellen Schutz im Falle von Klagen oder Ansprüchen, die sich aus der Ausübung ihrer Tätigkeit ergeben. Der Schutz durch die D&O-Versicherung ist ein Beweis des Führungsgremiums für ihr Engagement und ihre Unterstützung der CISOs, da sie so die Bedeutung und das inhärente Risiko ihrer Position anerkennen. Die CISOs erhalten so ein ähnliche Form der rechtlichen Absicherung, wie sie auch CEO, CFO und Chefsyndikus üblicherweise genießen.
• Entschädigungsdeckung: Führungsgremien können darüber hinaus in Erwägung ziehen, CISOs durch eine Entschädigungsvereinbarung schadlos zu halten. Diese Vereinbarungen schützen CISOs vor persönlicher Haftung und geben ihnen die Gewissheit, dass sie im Falle rechtlicher Anfechtungen im Zusammenhang mit ihrer Verantwortung für die Cybersicherheit unterstützt werden. Haftungsfreistellungsvereinbarungen können dazu beitragen, Bedenken zu zerstreuen und CISOs in die Lage zu versetzen, sich auf ihre wichtige Aufgabe zu konzentrieren, ohne persönliche Konsequenzen befürchten zu müssen. Eine Freistellungsvereinbarung ist möglicherweise nicht erforderlich, je nachdem, ob der CISO durch die D&O-Versicherung des Unternehmens abgedeckt ist und welche Bedingungen für diese Versicherung gelten.

2. Regelmäßige Treffen zwischen Führungsgremien und CISO

Oftmals isolieren Führungsteams den CISO unbeabsichtigt vom direkten Austausch mit den Mitgliedern des Führungsgremiums. Auch wenn das Managen der Interaktionen zwischen dem Vorstand und dem Aufsichtsrat gut gemeint sein mag, kann dies für CISOs ein tatsächliches oder vermeintliches Hindernis darstellen, Risiken und Strategien direkt mit dem Führungsgremium zu besprechen. Um die Kluft zwischen CISOs und den Mitgliedern des Boards zu überbrücken, ist es entscheidend, regelmäßige Kommunikationskanäle zwischen dem Führungsgremium und dem CISO einzurichten. Das Mitglied, das für die Aufsicht über die Cybersicherheit zuständig ist – sei es der Vorsitzende des Prüfungs- oder Risikoausschusses, der leitende Direktor oder Vorsitzende oder das Mitglied, das als „Cyber Champion“ fungiert – sollte proaktiv monatliche oder vierteljährliche Besprechungen mit dem CISO einrichten.

Durch die ausdrückliche Erlaubnis und die Förderung regelmäßiger Interaktionen ermächtigen die Führungsgremien ihre CISOs, ihr Fachwissen, ihre Erkenntnisse und ihre Bedenken direkt mit ihnen zu teilen, während sie das Gremium in Fragen der Cybersicherheit auf dem Laufenden halten. Diese Zeit wird für offene Diskussionen, Aktualisierungen von Cybersicherheitsinitiativen und die Möglichkeit für den CISO genutzt, Anregungen und Ratschläge einzuholen. Dieses Engagement trägt auch dazu bei, die Prioritäten des CISO mit den strategischen Zielen des Unternehmens abzustimmen, um einen kohärenten Ansatz für die Cybersicherheitssteuerung zu gewährleisten.

CISOs haben aber möglicherweise nicht die Möglichkeit oder das nötige Vertrauen, um Mitglieder des Führungsgremiums um Treffen anzuhalten. Die Mitglieder des Führungsgremiums sollten daher den ersten Schritt tun, um diesen regelmäßigen Kommunikationskanal einzurichten und etwaige Hindernisse zu beseitigen.

3. Richtung vorgeben und der Cybersicherheit bei Sitzungen des Führungsgremiums Priorität einräumen

Vorstände haben die Macht, intern die Richtung vorzugeben und der Cybersicherheit innerhalb des Unternehmens die gebührende Priorität einzuräumen. Es ist wichtig, dass die Führungsgremien erkennen, dass Cybersicherheit nicht nur ein IT-Thema ist, sondern eine wichtige Geschäftsangelegenheit. Indem sie die Bedeutung der Cybersicherheit auf Leitungsebene hervorheben, senden die Direktoren eine klare Botschaft an das gesamte Unternehmen, wie wichtig der Schutz sensibler Informationen und die Minderung von Cyberrisiken sind.

Darüber hinaus sollten die Führungsgremien der Cybersicherheit auf der Tagesordnung Ihrer Sitzungen Priorität einräumen und dafür sorgen, dass sie ausreichend Zeit und Aufmerksamkeit erhält. Viele Gremiumssitzungen stehen vor einer ähnlichen Herausforderung in Bezug auf das Zeitmanagement, so dass geschäftliche, finanzielle und strategische Themen die Tagesordnung dominieren, was zu Lasten von Themen wie Cybersicherheit geht. Die Gremien können diese Herausforderung meistern, indem sie bestimmte Aufgaben an Ausschüsse wie Audit- oder Risikoausschüsse delegieren oder im Tagungskalender des Führungsgremiums regelmäßig Zeit für Themen wie Cybersicherheit reservieren. Eine vierteljährliche Sicherheitsprüfung auf Ausschussebene und eine jährliche Sicherheitsprüfung auf Board-Ebene in Verbindung mit einer Schulung der Mitglieder der Führungsgremien zum Thema Cybersicherheit stellen sicher, dass dieser geschäftskritischen Funktion eine angemessene Bedeutung beigemessen wird und das Führungsgremium seinen Verpflichtungen nachkommt. Indem sie der Cybersicherheit ausreichend Zeit widmen, demonstrieren die Führungsgremien ihr Engagement für die Cybersicherheit und befähigen ihre CISOs, die wichtigsten Probleme effektiv anzugehen.

4. Den Chefsyndikus ermutigen, dem CISO bei der Durchführung effektiver Präsentationen zur Cybersicherheit zu helfen

Natürlich dürfen die Führungsgremien von ihren CISOs erwarten, dass sie effektive Präsentationen zum Thema Cybersicherheit halten. Um sinnvolle Gespräche im Führungsgremium zu erleichtern, sollten CISOs ihre Präsentationen auf bestimmte Themen ausrichten und die relevanten, kontextbezogenen Daten in der Sprache des Führungsgremiums präsentieren.

Der Chefsyndikus bzw. die Leitung der Rechtsabteilung verfügt über umfangreiche Erfahrungen in diesem Bereich und kann so einem CISO, der neu in der Führungsetage ist, orientieren und unterstützen. Der CISO sollte sich auf vier bis fünf Schlüsselfragen oder Problembereiche konzentrieren, über die er sich mit seinem Hauptansprechpartner im Führungsgremium dank regelmäßiger Rücksprachen bereits einig ist. Durch die Zusammenarbeit mit dem Chefsyndiks im Hinblick auf effektive Präsentationstechniken und Strategien im Führungsgremium kann der CISO die Aufmerksamkeit des Führungsgremiumso lenken und wertvolle Beiträge zu den Fragen oder Problembereichen einholen. Dieser Ansatz gewährleistet, dass die Diskussionen zwischen dem Führungsorgan und dem CISO zielgerichtet und produktiv sind.

5. Gemeinsam im Vorfeld einen Wesentlichkeitsrahmen festlegen

Darüber hinaus sollten Führungsgremien und CISOs die Schaffung eines Wesentlichkeitsrahmens für Cybersicherheitsvorfälle in Betracht ziehen. Durch die Festlegung vereinbarter Kriterien für die Offenlegung können sowohl der Vorstand als auch der Aufsichtsrat die Wesentlichkeit von Vorfällen beurteilen, bevor sie eintreten. Eine der vorgeschlagenen bewährten Verfahren, die wir auf der RSA diskutierten, war die Bewertung vergangener Sicherheitsvorfälle mithilfe des o. g. Rahmens, um so wertvolle Erkenntnisse darüber zu gewinnen, was auf der Grundlage der vereinbarten Kriterien offenzulegen gewesen wäre, und so die Transparenz und die Bereitschaft von Aufsichtsrat und Vorstand zu verbessern. Das wiederum stärkt die Beziehung und das Vertrauen zwischen den Führungsgremien und den CISOs noch mehr.

In einer Zeit zunehmender Cyberbedrohungen müssen Führungsgremien sicherstellen, dass die geschäftskritische Funktion der Cybersicherheit auf jeder Ebene des Unternehmens implementiert wird, angefangen bei der Fähigkeit der Führungsgremien, ihre Aufsichtspflichten zu erfüllen. Indem sie ihre CISOs mit einem angemessenen Schutz ausstatten, regelmäßig mit ihnen Rücksprache halten, der Cybersicherheit während und zwischen den Sitzungen der Führungsorgane Priorität einräumen und sich über die Wesentlichkeit abstimmen, bevor es zu einem Sicherheitszwischenfall kommt, können Führungsgremien die Beziehung zwischen Leitungsorgan und CISO stärken und eine Kultur der Cybersicherheit im Unternehmen fördern.

Ein Board-Mitglied hat es besonders treffend formuliert: Führungsgremien möchten von und müssen auf ihre CISOs hören. Durch die Ermächtigung von CISOs können sich Führungskräfte erfolgreicher in der komplexen Cybersicherheitslandschaft zurechtfinden.