Chief Cyber Security Officer im Vorstand

Von Paul Holland, Consulting Partner bei Signium Irland.

6 Billionen Dollar. Oder anschaulicher: $ 6.000.000.000.000. Jedes Jahr.

Diesen Schaden wird Cyber-Kriminalität laut einer Vorhersage weltweit im Zeitraum bis 2021 verursachen.

Als Nachwirkung des US-Präsidentschaftswahlkampfs wurde die Dimension der bereits existierenden Gefahren auf diesem Feld in einer bisher nicht gekannten Weise publik. Eine neue Front zwischen den Weltmächten entwickelt sich, nachdem die USA als Reaktion auf den mutmaßlich von staatlich organisierten Hackern gestörten Nominierungsparteitag der Demokratischen Partei Gegenmaßnahmen einleiten. Währenddessen stellen wir hier in Irland fest, dass unser Premierminister nur eines von 164 Millionen Mitgliedern von LinkedIn ist, deren persönliche Zugangsdaten wir über illegale Kanäle käuflich erwerben könnten.

In der Geschäftswelt sind dramatische Veränderungen im Gange. Die digitale Revolution schreitet immer schneller voran und macht uns immer abhängiger von vernetzten Wertschöpfungsketten, und dies in einem globalen Maßstab. Im selben Maße nimmt die Zahl der Angriffspunkte zu und komplexe Netzwerke mit kritischen Daten, die zudem häufig in der Cloud gespeichert sind, erhöhen das Risiko auf exponentielle Weise.

Das Risiko verlagert sich dabei aktuell von verhältnismäßig gut geschützten PCs und Laptops zu Mobilgeräten und dem Internet der Dinge, die zunehmend von Angriffen mit Malware betroffen sind. Und die Attacken, von denen Unternehmen, öffentliche Stellen und Verbraucher im gleichen Maße betroffen sind, werden immer raffinierter. Ein Beispiel ist die Spielart der sogenannten Verschlüsselungstrojaner, die Computer und Netzwerke infizieren, sperren und dann Geld für die Entsperrung verlangen. Statistiken des Dienstleisters BeazleyBreach Response Services, der Kunden gegen solche Delikte absichert, zeigen eine Zunahme der Fälle alleine im letzten Jahr um 400 %.

Analysten prognostizieren im Gegenzug ein durchschnittliches jährliches Wachstum der Ausgaben für Cyber-Sicherheit von 12-15 % im Zeitraum bis 2021. Ausgaben für die Sicherheit werden einen größeren Anteil am IT-Budget ausmachen, insgesamt erwartet man Kosten von ca. einer Billion Dollar in diesem Bereich während der nächsten fünf Jahre.

Die Kosten nehmen schnell ungeahnte Dimensionen an

Zurück zum Beispiel der Verschlüsselungstrojaner: Das „Lösegeld“ mag im Falle eines solchen Angriffs verhältnismäßig gering erscheinen. Die Gesamtkosten liegen jedoch weit höher – hinzu kommen der entstandene “Reparaturaufwand” und die Störung des Tagesgeschäfts. Sicherheitssysteme müssen überprüft  und aktualisiert werden, verbesserte Abwehrmechanismen sind eine notwendige und kostspielige Folge.

Diese Kosten werden jedoch von den potentiellen Verlusten, die ein Leck in der Datensicherheit durch den darauffolgenden Reputationsverlust auslösen kann, bei weitem in den Schatten gestellt. Es wäre interessant, die gesamten Verluste des „Seitensprungportals“ Ashley Madison zu erfahren, die infolge eines Datenlecks entstanden sind, bei dem die Nutzerdaten von über 30 Millionen Kunden in das Dark Web gezogen wurden. Es geht noch schlimmer: Es wurde kürzlich berichtet, dass über 400 Millionen User-Accounts des ähnlichen Portals „Adult Friend Finder“ gehackt wurden – dagegen erscheint das vorher genannte Beispiel tatsächlich unbedeutend. Die Bedrohung durch Cyber-Kriminalität kann existentiell werden.

Es besteht großer Handlungsbedarf in Sachen Cyber-Sicherheit

Es steht außer Frage, dass die meisten Unternehmen ihre Schutzmaßnahmen verbessern müssen. Im Rahmen einer Studie von RSA, der Cyber Security Division des IT-Konzerns EMC, an der IT-Profis aus 30 Ländern teilgenommen haben , stellte sich heraus, dass ein Drittel der Befragten nicht einmal über einen Notfallplan für den Fall eines Cyber-Angriffs verfügten. 57 % derer, die über einen Plan verfügten, gaben an, dazugehörige Szenarien selten oder nie zu updaten.

Während die meisten Verantwortlichen der Meinung sind, dass mögliche Cyber-Angriffe in die Zuständigkeit der regulären IT-Abteilung fallen, empfiehlt RSA die Einrichtung eines spezialisierten Cyber Security Teams. “Cyber Security und IT-Sicherheit ähneln einander zwar, sind aber im Grunde zwei verschiedene Disziplinen”, führt der Report weiter aus. “Beide schützen digitale Systeme, aber der Zuständigkeitsbereich von Cyber Security geht über die rein physischen Netzwerke hinaus und erstreckt sich auf solche Gebiete, die man als die strategische Infrastruktur des Unternehmens bezeichnen kann. Cyber Security ist auch pro-aktiver. Experten der Cyber Security müssen somit über strategische Qualifikationen verfügen, die oft nicht im Anforderungsrahmen klassischer IT-Führungskräfte enthalten sind, z.B. ein vertieftes Verständnis für Geschäftsprozesse, erhöhte analytische Fähigkeiten sowie ein tiefes Wissen über alle Geschäftsbereiche der Organisation und ihre spezifischen Herausforderungen und Bedürfnisse.“

Ein eigener Platz in der Geschäftsführung für die Cyber-Sicherheit?

Die Folge all der beschriebenen Entwicklungen ist, dass das Thema Cyber-Sicherheit auch auf Geschäftsführungsebene eine immer größere Rolle spielt, oder zumindest spielen sollte. Die Frage ist, ob die bestehenden Ressorts das sensible und wichtige Thema ausreichend abdecken können – oder ob es an der Zeit ist, den Bereich Cyber Security mit einem eigenen Posten in die Vorstandsetage zu holen. Ein Chief Cyber Security Officer gewinnt in einer Zeit an Bedeutung, die Unternehmen neue Möglichkeiten aber auch neue Gefahren bringt. Das Geschäft erfordert es, im Hinblick auf die digitale Revolution, offener und flexibler zu werden, gesucht ist also eine gesunde Balance zwischen Risiko und Verantwortung – ein Chief Cyber Security Officer kann für Sicherheit sorgen, ohne die Agilität des Unternehmens zu behindern. Diese Ausgewogenheit ist umso schwerer herzustellen, je weniger die verantwortliche Person in die Prozesse und Entscheidungen auf Geschäftsführungsebene involviert ist.

Aus diesem Grunde ist es meine Schlussfolgerung, dass die Position des Chief Cyber Security Officer bereits in Kürze Normalität in den Vorstandsetagen international führender Unternehmen sein wird. Als Executive Search Profis sehen wir unsere Aufgabe darin, zusammen mit unseren Klienten die fachlichen und persönlichen Schlüsselqualifikationen herauszuarbeiten, die einen erfolgreichen CCSO ausmachen. Wir leisten die Identifikation, Auswahl und Entwicklung von Talent, dass die Voraussetzung zum wirksamen Schutz einer Organisation im digitalen Zeitalter ist.

Paul Holland ist Partner bei Signium International – einer weltweit führenden Personalberatung mit 40 Büros in 30 Ländern. In Dublin beheimatet, berät Paul internationale Klienten aus einer Vielzahl von Branchen, darunter Konsumgüter, Technologie, Professional Services, Industrie, Energie sowie Lebensmittel und Getränke.

Sie erreichen Paul unter [email protected]

* Quelle: Cybersecurity Ventures