Sicherheitsverantwortliche sollten mehr kommunizieren

Mehr Aufmerksamkeit für das Thema Security schaffen

Oftmals sieht das Unternehmensmanagement IT-Sicherheit nur als Kostenfaktor an. Daher sollten Security-Verantwortliche den Nutzen für die Unternehmensziele regelmäßig kommunizieren.

Immer öfter sind Unternehmen Angriffen auf ihre IT-Infrastruktur und Firmendaten – sowohl von außen als auch von innen – mit stetig ausgefeilteren Methoden ausgesetzt. Wollen die Verantwortlichen für IT-Sicherheit mit ihren Abwehrstrategien Erfolg haben, reicht es nicht aus, wenn sie losgelöst vom Rest des Unternehmens ihrer Arbeit nachgehen. Stattdessen müssen sie unbedingt die Führungskräfte in ihrem Haus einbinden und regelmäßig mit ihnen kommunizieren - sei es, um den aktuellen Sicherheitsstatus zu diskutieren, Sicherheitsrisiken zu bewerten oder Bedrohungsmodelle zu analysieren.

Gerade einmal zwei Prozent der Sicherheitsverantwortlichen in deutschen Unternehmen sprechen jede Woche mit dem Management.
Gerade einmal zwei Prozent der Sicherheitsverantwortlichen in deutschen Unternehmen sprechen jede Woche mit dem Management.
Foto: FotolEdhar - Fotolia.com

In der Realität zeigt sich aber oft folgendes Bild: Security-Spezialisten und das Management reden wenig miteinander. Das verdeutlicht eine vor kurzem von Websense zusammen mit dem Ponemon Institute durchgeführte weltweite Studie. Die Ergebnisse für Deutschland sind ernüchternd: 20 Prozent der Security-Spezialisten tauschen sich überhaupt nie mit Management-Vertretern über Cyber-Sicherheit aus. Und diejenigen die es tun, führen derartige Gespräche nur sehr selten. Gerade einmal zwei Prozent sprechen jede Woche mit dem Management.

Dieser Mangel an Kommunikation ist vor allem deshalb ein Problem, weil das Management die IT-Sicherheit häufig nur als reinen Kostenfaktor wahrnimmt. Darum ist es von entscheidender Bedeutung, der Führungsspitze die Relevanz des Themas zu demonstrieren und aufzuzeigen, wie es dem Unternehmen dabei helfen kann, seine Ziele zu erreichen. Das geht aber nur mit Kommunikationsarbeit. So können die IT-Security-Admins zum Beispiel mit Sicherheits-Business-Plänen darstellen, wie die Sicherheitsziele für das laufende und die kommenden Jahre aussehen. In festen, regelmäßigen Sitzungen mit Verantwortlichen aus sämtlichen Bereichen des Unternehmens sollten sie das Feedback der Führungskräfte einholen und deren Priorisierungen mit den eigenen abgleichen. Besonders wichtig dabei: Da die Führungskräfte nur Programme unterstützen, die sie auch verstehen, sollte der Nutzen in nicht-technischen Worten verdeutlicht werden.

Eine generelle Regel dafür, wie häufig dieser Austausch stattfinden sollte, gibt es nicht. Der Turnus ist stark von Unternehmensgröße und Geschäftsumfeld abhängig. Dabei gilt: Je größer ein Unternehmen, desto komplexer sind in der Regel seine Strukturen, und desto häufiger sollte deshalb auch kommuniziert werden.