Die Kunst des Verkaufens von IT-Sicherheit

Jedes Jahr aufs Neue müssen CISOs und CIOs für die IT-Sicherheit um Geld verhandeln. Wenn es keine Vorfälle gibt, hat sich das Geld gelohnt. Aber wie erklären Sie das dem Vorstand? In diesem Blogeintrag liefern wir Ihnen einige Strategien und Hintergründen für erfolgreiche „Schlachten am Konferenztisch“, die Sie als IT-Verantwortliche unterstützen können.

Wenn man Vorstandsmitgliedern die Aufgabe gibt, eine Liste mit Unternehmenssegmenten nach Priorität zu sortieren, so landet Cybersecurity regelmäßig in den Top 4 der wichtigsten Aufgaben. Lässt man Vorstände jedoch selbst eine Liste mit wichtigen Geschäftsbereichen erstellen, so nennt nur eines von fünf Vorstandsmitgliedern Cybersecurity als Prio-Thema. Dies geht aus einer McKinsey-Studie aus dem Jahr 2020 hervor. Vorstandsmitglieder wissen um die Wichtigkeit von IT-Sicherheit, aber sie scheinen es oft nicht als Teil ihres eigenen Geschäftsbereiches und somit auch nicht als eigens zu tragendes Risiko zu sehen.

Jedoch haben die Migration ins Home-Office seit 2020 sowie die immer noch grassierende Ransomware-Epidemie aufgezeigt, dass ohne ausreichenden Schutz der IT-Systeme ein geregelter Geschäftsbetrieb nahezu unmöglich ist. Allerdings kostet Cybersecurity Geld und ein CISO, bzw. auch ein CIO, muss wachsende Budgets vom Vorstand abnicken lassen. Um dieses „Battle of the Boardroom“ erfolgreich zu schlagen, sollten einige Vorkehrungen getroffen sein, welche wir Ihnen hier kurz umreißen.

Wir haben im Digital Compliance Blog schon öfter über eine „Kultur der Cybersicherheit“ gesprochen, und auch bei diesem Thema muss dieses zuerst erwähnt werden. Übungen zum Thema können hier einen großen Beitrag zur Schaffung einer Unternehmenskultur, besonders im Vorstand, leisten, welche IT-Security offen gegenübersteht. Lernerfahrungen und ein Verständnis dafür, dass IT-Sicherheit eben nicht nur im Bereich des CIOs anzusiedeln ist, sondern u.a. auch Personalwesen, Rechtsabteilung, Operation und Finanzen betrifft, helfen bei der Zustimmung zu einem erhöhten Etat. Die amerikanische FTC erwies durch eine Umfrage, dass 89% aller Vorstandsmitglieder das Thema allein beim CIO sehen – dieses Denken muss durch Einbezug der Abteilungsverantwortlichen geändert werden.

Wer seinen Arbeitsbereich kennt, der kann selbstbewusst darüber sprechen. Als CISO sollten Sie sich regelmäßig einen Überblick über Ihre IT-Sicherheitslandschaft verschaffen. Dies funktioniert unter anderem via Self-Assessments, welche auch Complion oft mit Unternehmen durchführt. Dazu sollten regelmäßig Penetration-Tests veranstaltet werden, welche spezifische Verwundbarkeiten in der Organisation aufzeigen können. Zudem ist Wissen über die Datenlandschaft im Unternehmen unabdingbar. Zu wissen, welche Daten besonderen Schutz benötigen und welche Daten zu den „Kronjuwelen“ gehören, zeigt klar auf, wo besondere Absicherung eingekauft werden muss.

Regelmäßige Briefings an den Vorstand zur „IT-Security Großwetterlage“ können das Bewusstsein für IT-Sicherheit schärfen. Berichte zu erfolgreich kompromittierten Wettbewerbern oder zu derzeit laufenden Kampagnen können auch angeblich unbeteiligten Kolleg:innen verdeutlichen, warum ein Investment in IT-Sicherheit sein Geld wert ist. Wichtig ist hierbei, dass keine Horrorgeschichten mit Extrembeispielen hervorgeholt werden. Bewiesenermaßen schreckt das eher ab und führt nicht zum gewünschten Erfolg. Der Fokus sollte also klar auf Bildung und nicht auf dem Schüren von Ängsten liegen. Complion veröffentlicht wöchentlich in Zusammenarbeit mit Voice e.V. die Lageberichte des Cyber Security Competence Centers, welche von den teilnehmenden CISOs u.a. für genau diesen Zweck eingesetzt werden.

Neben Informationen zu den Umtrieben der Hackergruppen sollten weiterhin geltende Cybersecurity-Regulatoriken sowie verpflichtende Standards aufgezeigt werden, welche zu befolgen sind. Oft sind diese mit erheblichen Investments in die IT-Sicherheitslandschaft verbunden. Beispiele hierfür sind VAIT im Versicherungssektor sowie der verpflichtende BSI IT-Grundschutz für den Kritis-Bereich in Deutschland.

Vage Umschreibungen von möglicherweise in der Zukunft benötigten Personalressourcen wirken unorganisiert und spekulativ. Um nicht den Eindruck zu erwecken, Sie wollten sich für schlechte Zeiten noch eine weitere Vollzeitstelle in Ihrer Abteilung sichern, sollten Sie bei Anforderungen von IT-Sicherheitspersonal so spezifisch wie möglich sein. Kommunizieren Sie, wofür die angeforderten Personen benötigt werden und warum deren Einstellung unumgänglich ist. Spezifische Rollenbeschreibungen sind hier wichtig. Dennoch sollten Sie hierbei auch auf die Kommunikation achten.  Tech-Jargon wirkt abschreckend und kann zu Irritationen oder Missverständnissen führen.

Zu guter Letzt sollten Sie vor dem Budgetgespräch noch einen Blick auf den Wettbewerb richten und in Erfahrung bringen, was bei ähnlich angesiedelten Unternehmen für IT-Sicherheit ausgegeben wird und welche Systeme im Einsatz sind. Diese Informationen können als Richtwert dienen, um den Stand der Industrie zu ermitteln, sollten jedoch nicht als spezifisches Ziel übernommen werden.

IT-Security kann weiterhin auch ein Business Enabler sein. Über dieses Thema haben wir bereits in diesem Blogeintrag geschrieben. Kurzgesagt können Automatisierungen in der IT-Sicherheit, zum Beispiel durch klügere Authentifizierungsmechanismen, den Nutzer:innen Zeit und Frust ersparen, was sich sowohl positiv auf die Wahrnehmung von IT-Sicherheit als auch auf die Effizienz des Unternehmens auswirken kann.

All diese Aspekte können die Diskussionen um IT-Security-Budget zugunsten von CIOs und CISOs erleichtern. Complion ist spezialisiert auf die Analyse von IT-Landschaften und die anschließende Schnittstellenkommunikation zum Vorstand. Für weitere Informationen zu unseren Dienstleistungen im Bereich Cybersicherheit, klicken Sie hier.

Verfasser: Tobias Philipsen