Führungskräfte erhalten eine Perspektive für die Cybersicherheit

Druckfreundlich, PDF & E-Mail

Es war schon immer eine Herausforderung, Führungskräfte von mehr Investitionen in die Cybersecurity zu überzeugen – selbst in den besten Zeiten. Eine von PwC durchgeführte Umfrage unter 722 Führungskräften der obersten Ebene zeigt jedoch, dass sich die Zeiten für Cybersecurity endlich ändern.

Die Umfrage ergab, dass fast die Hälfte der Befragten (49 %) ihre Investitionen in Cybersecurity und Datenschutz erhöhen. Mehr als drei Viertel (79 %) gaben außerdem an, das sie das Cyberrisikomanagement überarbeiten oder verbessern. Insgesamt 84 % gaben auch an, dass sie potenzielle regulatorische Änderungen entweder genau beobachten oder darauf reagieren, so die Umfrage.

Die PwC-Umfrage lässt jedoch die Schlussfolgerung zu, dass trotz aller Cybersecurity-Bedrohungen 51 % der Antwortenden höchstwahrscheinlich entweder ihre aktuellen Cybersecurity-Investitionen beibehalten oder versuchen, sie vollständig zu reduzieren.

Natürlich besteht während eines Konjunkturabschwungs immer die Versuchung, die Budgets für Cybersecurity zu kürzen, aber es ist klar, dass Cybersecurity jetzt in einem größeren geschäftlichen Kontext betrachtet wird. In der Vergangenheit wurde Cybersecurity hauptsächlich als Geschäftskosten angesehen, die als Teil des gesamten IT-Budgets finanziert wurden. Die meisten IT-Budgets machen etwa zwei bis drei Prozent des Jahresumsatzes aus, so dass der Prozentsatz des für die Cybersecurity bereitgestellten Budgets als Prozentsatz des Umsatzes in jeder Hinsicht relativ vernachlässigbar war.

Was die Denkweise von Unternehmensleitern über Cybersecurity geändert hat, sind die höheren Investitionen in Initiativen zur digitalen Geschäftstransformation im Anschluss an die COVID-19 Pandemie, wodurch mehr Führungskräften bewusst wurde, welches Maß an Risiken Cyberangriffe darstellen. Ein Anstieg der Ransomware-Angriffe, der mit dieser digitalen geschäftlichen Umorientierung einherging, fügte eine weitere Sichtweise hinzu, da klar wurde, dass ein gesamtes Unternehmen so sehr lahmgelegt werden könnte, dass es tatsächlich scheitern würde. Wenn man die potenzielle globale Cyberkriegführung als Folge der Invasion der Ukraine dazu nimmt, dann war es für Cybersecurity-Experten noch nie einfacher, die Aufmerksamkeit von Führungskräften der obersten Ebene zu erhalten.

Die Herausforderung besteht natürlich darin, dass viele Cybersecurity-Experten nicht immer verstehen, wie Führungskräfte denken. Vom ersten Tag ihres Betriebswirtschaftsstudiums an werden sie darin geschult, Risiken im Vergleich zu Ertrag zu bewerten. Nur weil etwas riskant ist, folgt daraus nicht immer, dass man es nicht versuchen sollte. Nichts gewagt bedeutet immer noch, nichts gewonnen. Führungskräfte implementieren möglicherweise einige zusätzliche Maßnahmen, um Risiken zu verringern, aber sie werden praktisch nie eine Geschäftsmöglichkeit aufgrund von Cybersecurity-Bedenken vollständig ignorieren. Daher ist es für Cybersecurity-Experten von entscheidender Bedeutung, daran zu denken, wenn sie mit einer Führungskraft auf der obersten Ebene interagieren, dass diese in der Regel nicht die gleiche Angst vor Risiken hat. Jede Entscheidung ist für sie ein Abwägen von Wahrscheinlichkeiten mit Risikoabstufungen. In den meisten Fällen möchten sie, dass Cybersecurity-Teams nicht jedes Risiko verhindern, sondern die Wahrscheinlichkeit stärker zugunsten des Geschäfts verringern.

Angesichts des chronischen Mangels an Cybersecurity-Kompetenz, genießen Cybersecurity-Experten im Allgemeinen das Privileg, entscheiden zu können, für welche Art von Organisation sie arbeiten möchten. Es ist nicht sinnvoll, für eine Organisation zu arbeiten, die Cybersecurity nicht ernst nimmt, insbesondere wenn das Cybersecurity-Team dafür verantwortlich gemacht wird, wenn unweigerlich etwas furchtbar schiefgeht.

Dennoch sollten sich Cybersecurity-Experten – bevor sie aufgeben – fragen, ob sie den Grad der Cybersecurityrisiken, die das Unternehmen eingeht, so darstellen, dass eine Führungskraft dies wirklich nachvollziehen kann. Leider ist die Antwort auf diese Frage häufiger nein, als viel zu vielen Cybersecurity-Experten bisher bewusst ist. Insofern wird immer dann, wenn sich ein Cybersecurity-Vorfall ereignet, ein gewaltiges Maß an Schuld zugewiesen – vielleicht kann man mehr erreichen, wenn man das Gespräch neu beginnt, diesmal jedoch aus einer viel verständnisvolleren Perspektive.

Nach oben scrollen
Twittern
Teilen
Teilen