Das Datensicherheits-Mindset von CEOs und CSOs, Teil I

CEOs & CSOs

Wenn Sie einen Einblick gewinnen möchten, wie unterschiedlich IT-Verantwortliche und Manager auf C-Level Ebene die Welt wahrnehmen, sollten Sie einen Blick in den Cyber Balance Sheet Report 2017 des Cyentia Instituts werfen. Cyntia wurde von dem Vordenker und Experten in Sachen Datenschutzverletzungen Wade Baker gegründet, der auch hinter dem beliebten IOS-Blog steckt. Cyentia hat über 80 Vorstandsmitglieder und IT-Manager befragt und auf dieser Grundlage die unterschiedlichen Blickwinkel der CSOs und der Vorstände (einschließlich CEOs) zum Thema Datenschutz in sechs unterschiedlichen Bereichen analysiert.

Die wichtigste Erkenntnis ist nicht nur, dass die IT nicht dieselbe Sprache spricht wie die kaufmännische Seite, sondern dass sich auch die Wahrnehmung und Auffassung der operativen Manager und der IT-Abteilungen zu grundlegenden Sicherheitskonzepten, Werten und Kennzahlen voneinander grundlegend unterscheiden. Es ist aber äußerst wichtig, dass alle von derselben Sache reden, die Initiative von Cyentia ist daher sehr wertvoll.

Der Bericht und seine Ergebnisse lieferten die Inspiration – dank Wade – für diese Mini-Serie im IOS-Blog. Ich unternehme hier einen bescheidenen Versuch, die Wahrnehmungskluft zu überbrücken und alle auf denselben Stand zu bringen. (Über den Weltfrieden sprechen wir später.)

In diesem ersten Post betrachten wir einige der faszinierenden Ergebnisse und Beobachtungen aus dem Cyber Balance Sheet. Im zweiten und dritten Post versuche ich, als Paartherapeut zu fungieren und die Ideen zu erklären, die die eine Seite über die andere Seite wissen muss.

Wo Welten kollidieren

Lassen Sie uns zunächst eines der besonders „kontra-intuitiven“ Ergebnisse betrachten, welches ich im Bericht entdeckt habe.

Cyentia hat sowohl CSOs als auch Vorstandsmitglieder gebeten, den Wert der Cybersicherheit für ihr Unternehmen in fünf unterschiedlichen Kategorien zu bewerten: Sicherheitsanweisung, Geschäftskatalysator, Verlustvermeidung, Datenschutz und Markenschutz (siehe dazu das Diagramm unten).

CSOs

Source: Cyber Balance Sheet Report, 2017 (Cyentia Institute)

Tja, ich bin ein bisschen überrascht, dass Datenschutz von weniger als 30 % der CSOs aber von über 80 % der Vorstände als wertvoll eingestuft wurde. Vielleicht bin ich ein verrückter Idealist, aber ich hätte angenommen, dass dies der Auftrag Nr. 1 für CSOs wäre!

Die Erklärung, die Cyentia für diesen Punkt liefert, ist bemerkenswert: „CSOs wissen natürlich, dass Datenschutz in ihren Verantwortungsbereich fällt … und haben deshalb gelernt, Datenschutz eher als Geschäftskatalysator zu positionieren und nicht als Cost-Center.“

Cyentia will darauf hinaus, dass CSOs der leidenschaftlichen Meinung sind, dass sie dem Unternehmen echten Mehrwert liefern und nicht nur Verbote – also nicht nur Datenschutz-Service leisten. Und das harmoniert mit der Tatsache, das 40 % der CSOs sagen, dass sie Geschäftskatalysatoren sind. Diese Überzeugung wird allerdings nicht einstimmig vom Vorstand geteilt – nur 20 % vertreten dieselbe Meinung.

Der Schlüssel dafür liegt in einer Analyse des Wertes „Markenschutz“: Über 60 % der Vorstandsmitglieder betrachteten dieses als sehr wichtig, bei den CSOs taucht die Marke mit nur 20 % hingegen kaum auf.

Es überrascht mich nicht, dass die CSOs ihre Aufgabe nicht im Handeln als Markenpolizei sehen. Ich kann ihnen das nicht übelnehmen. Ich kann sie geradezu aufheulen hören: „Ich bin ein IT-Spezialist, kein Marken-Champion.“

Lassen Sie uns diesen Punkt aber aus einer Risikoperspektive heraus betrachten, die von den CEOs und Vorständen eingenommen wird. Im Bericht formuliert einer der Gesprächspartner auf Vorstandsebene es so, dass ihre wichtigsten Sorgen die rechtlichen und geschäftlichen Folgen einer Datenschutzverletzung sind. Sie wissen, dass eine Datenschutzverletzung oder ein Angriff durch einen Insider starke Rufschädigungen verursachen und zu Umsatzeinbußen und Gerichtsverfahren führen kann, die sich alle letztlich in Cash bemerkbar machen. Markenschädigungen sind also ein sehr wichtiges Thema für die Vorstandsebene!

Ponemon hat in seinen eigenen Berichten über Jahre hinweg sowohl die direkten und die enormen indirekten Kosten in Verbindung mit Datenschutzkatastrophen erfasst, und aktuelle Meldungen untermauern diese Daten noch weiter.

Cyentia hat eine enorme Lücke zwischen den Punkten, die von CSOs als wichtig betrachtet werden, und den Einstellungen des Vorstands im Hinblick auf den Wert von Cybersicherheit festgestellt. Das leitet sehr schön zu einem anderen Ergebnis des Berichts in Bezug auf Sicherheitskennzahlen über.

Sprechen wir über Risiken

Die metrischen Kennzahlen im Bericht (siehe Abschnitt 4) sind auch aufschlussreich und enthalten weitere Details zu den unterschiedlichen Blickwinkeln. Die CSOs konzentrieren sich natürlich auf die verschiedenen IT-Kennzahlen, insbesondere in Verbindung zu Sicherheitsvorfällen, Reaktionen, Governance usw.

CSOs

Da zeigt sich ein gewaltiger Unterschied! CSOs vernachlässigen die Wichtigkeit des Risikos. (Quelle: Cyentia Institute)

Cyentia zufolge sind beide Seiten bei zahlreichen IT-Kennzahlen ungefähr im Gleichgewicht. Es klafft aber eine große Kluft zwischen den CSOs und Vorständen bezüglich des Stellenwerts der Kennzahlen zum „Risikoprofil“. Sie wird von 80 % der Vorstände erwähnt, aber nur von 20 % der CSOs. Das ist eine erstaunliche Diskrepanz.

Woran liegt das?

Die IT liebt operative Sicherheitskennzahlen: die oben erwähnten mit Massen an Details über die täglichen Abläufe, inklusive Patch-Status, Statistiken von Malware- und Virenscannern usw.

Aber das finden die Vorstandsmitglieder, die möglicherweise im engen IT-Sinn nicht so technisch versiert sind für ihre Arbeit wiederum nicht so wichtig.

Diese Leute haben enorme Erfahrung im Führen der tatsächlichen Geschäfte. CEOs und ihre Vorstände müssen natürlich vorausplanen, und diese erfahrenen Geschäftsprofis gehen von einem gewissen Grad der Unsicherheit in ihren Plänen aus. Das liegt in der Natur ihrer Tätigkeit.

Was sie von der IT wissen wollen, ist wie schlimm das Ergebnis einer Datenschutzverletzung, eines Insider-Angriffs oder eine unbeabsichtigten Offenlegung in harter Währung wäre, und mit welcher Häufigkeit oder Wahrscheinlichkeit diese Ereignisse eintreten könnten.

Man könnte sie sich als disziplinierte High-Tech-Glücksspieler vorstellen, die alle Wahrscheinlichkeiten aller Ergebnisse kennen und dementsprechend setzen.

Für das nächste Mal

Wenn sich einen Vorsprung verschaffen wollen, werfen Sie einen Blick auf die Präsentation von Evan Wheeler auf der diesjährige RSA-Konferenz. Evan ist ein CISO und Risikomanagementspezialist. Wenn Sie verstehen möchten, was ein Risikoprofil ist, schauen Sie sich seine Ausführungen ungefähr bei Minute 25 an: Sein entscheidender Punkt ist, dass Geschäftslenker sowohl an seltenen Cybersicherheitsereignissen interessiert sind, die enorme Verluste verursachen (denken Sie an Equifax), als auch an wahrscheinlicheren Ereignissen, die aber üblicherweise mit geringeren Kosten einhergehen (z. B. Spam-Mails, mit denen an bei Reisen genutzte Kreditkartennummern gelangt werden sollen). Und sie gehen mit diesen Ergebnissen jeweils auf unterschiedliche Weise um.

Wir werden uns nächstes Mal ein bisschen weiter in diesen Dschungel vorwagen, wenn wir uns die „Überschreitungswahrscheinlichkeiten“ ansehen, die eigentlich eine etwas stärker quantifizierte Version eines Risikoprofils sind. Sie sind ein tolles Thema, mit dem sich CSOs und CISOs vertraut machen sollten.

Es gibt noch andere interessante Statistiken im Cyentia-Bericht. Das Diagramm, das die unterschiedlichen Blickwinkel auf die Effektivität der Sicherheitsvorkehrungen darstellt, wird Sie sicher interessieren. Ich kann Ihnen nur empfehlen, es selbst herunterzuladen und sich in Ruhe mit den Details