Wenn die eingesetzten Cyber-Security-Maßnahmen zu kurz greifen oder es den IT-Teams nicht gelingt, ihre Sicherheitsinitiativen an den Gesamtzielen des Unternehmens auszurichten, hat dies auch direkte Auswirkungen auf die Geschäftsführung. Dies ist das Ergebnis einer aktuellen Befragung des PAM-Spezialisten Thycotic: 61 Prozent der befragten IT-Sicherheitsexperten stimmen demnach zu, dass auch ihre CEOs den Preis für verpasste IT-Security-Ziele zahlen – teils mehr als sie selbst.
Wie die Befragung von mehr als 500 Sicherheitsentscheidern weltweit zeigt, zählen zu den negativen Folgen für die Geschäftsführung unter anderem längere Arbeitszeiten bzw. Überstunden (50 Prozent) sowie Druck von Seiten der Aktionäre (44 Prozent). 41 Prozent sind überdies der Meinung, dass sich schlechte IT-Security-Maßnahmen negativ auf Bonuszahlungen auswirken, während 44 Prozent gar den Job ihres CEOs gefährden sehen.
Die Auswirkungen auf die eigene Person bzw. Position schätzen die befragten IT-Manager interessanterweise als weniger negativ ein: Längere Arbeitszeiten als Folge ineffektiver IT-Sicherheit oder Security-Vorfällen fürchten demnach nur 38 Prozent und um ihre Bonuszahlungen sorgen sich nur 27 Prozent der Security-Spezialisten.
„Sicherheitslücken, Cyber-Angriffe und vor allem Datenschutzverletzungen fallen nicht erst seit Inkrafttreten der DSGVO in die Verantwortung von Geschäftsführung und Vorstand. Auch die ISO27001-Zertifizierung schreibt die Gewährleistung der IT-Sicherheit eines Unternehmens der obersten Leitungsebene zu“, so Markus Kahmen, Regional Director DACH bei Thycotic. „Tatsache ist, wenn Cyber-Sicherheitsteams heute einen schlechten Job machen und ihre Ziele nicht erreichen, wirkt sich das auch negativ auf den CEO aus – sei es auf seine Arbeitszeiten oder das Verhältnis zu den Aktionären. Im schlimmsten Fall gefährdet dies sogar seinen Job.“
Die Geschäftsführung müsse deshalb eine aktive Zusammenarbeit mit den Cyber-Security-Teams forcieren, sicherstellen, dass die Sicherheitsinitiativen die Gesamtziele des Unternehmens unterstützen und natürlich ein angemessenes Budget bereitstellen. „Nur wenn abteilungsübergreifend und fortwährend kommuniziert wird“, so Kahmen weiter, „kann IT-Sicherheit proaktiver gestaltet werden, was bedeutet, dass Risiken frühzeitig identifiziert werden bevor sie zum Problem werden.“
Im Auftrag von Thycotic befragte das unabhängigen Marktforschungsunternehmen Sapio Research im August 2019 insgesamt mehr als 500 IT-Sicherheitsentscheider aus Unternehmen mit jeweils mehr als 500 Mitarbeitern, wie sie Erfolge und ihren Einfluss auf den allgemeinen Geschäftserfolg messen. Die Stichprobe ist branchenübergreifend und enthält Unternehmen aus Deutschland (100), UK (102), USA (203), Australien (100) und Neuseeland (50). Die Interviews wurden online in einem strengen mehrstufigen Screening-Verfahren durchgeführt, um sicherzustellen, dass nur geeignete Kandidaten die Möglichkeit zur Teilnahme hatten. (rhh)
Hier geht es zu den Report-Ergebnissen.