Viele Vorstände und Geschäftsführer fühlen sich heute sicher, weil viel in Sicherheit investiert wurde, nämlich in HW, SW, Security-Services, Audits und Reports. Sie haben auch im Unternehmen eine(n) professionelle(n) Sicherheitsbeauftragte(n) CISO oder/und CIO. Das alles ist wichtig, richtig und notwendig. Aber eines ist genauso klar: Es reicht nicht. Und damit meine ich nicht automatisch noch mehr Investitionen.
Ein Sicherheitsvorfall ist selten nur ein IT-Problem. Die eigentlichen Folgen treffen das Unternehmen auf Management-Ebene:
- Betriebsunterbrechung
- Vertrauensverlust
- Reputationsschaden
- regulatorische Folgen
- persönliche Haftung des Managements
Genau hier beginnt das eigentliche Missverständnis: Viele Geschäftsführer oder Vorstandsmitglieder delegieren Security vollständig (und zu gutgläubig) an CIO und CISO. Sie unterschätzen dabei ihre eigene Führungs- und Entscheidungsverantwortung. Genau das kann im Ernstfall teuer werden. Denn Security ist nicht nur eine operative Aufgabe. Security ist vor allem eine Frage von Führung. Aus meiner Sicht geht es dabei nicht primär um Technik, sondern um:
- Governance
- Risikobereitschaft
- klare Verantwortlichkeiten
- Entscheidungsfähigkeit im Ernstfall
Ein CISO kann Risiken sichtbar machen. Die IT kann Maßnahmen umsetzen.
Aber die Entscheidung, welches Risiko bewusst akzeptiert wird – und welches nicht, liegt nicht bei der IT. Sie liegt beim Management. Delegieren ist erlaubt. Haftung nicht.
Meine klare Empfehlung an Geschäftsführungen und Vorstände lautet daher: Stellen Sie nicht zuerst die Frage, welche Tools Sie noch kaufen sollen. Stellen Sie zuerst diese fünf Management-Fragen:
- Welche Risiken akzeptieren wir bewusst – und welche nicht?
- Welche Geschäftsprozesse dürfen unter keinen Umständen stillstehen?
- Wer entscheidet im Ernstfall innerhalb der ersten 30 Minuten?
- Wie messen wir Sicherheit – mit Wirkung oder nur mit Maßnahmen?
- Sind Verantwortlichkeiten und Eskalationswege wirklich klar definiert?
Wer diese Fragen nicht klar beantworten kann, hat meist kein Technikproblem – sondern ein Steuerungsproblem. Mein Rat an das Top-Management ist einfach:
Warten Sie nicht auf den Sicherheitsvorfall, um zu erkennen, dass Security eine Führungsaufgabe ist. Klare Entscheidungen vor der Krise sind immer günstiger als hektische Entscheidungen in der Krise.
Genau darüber spreche ich in meinem Executive-Workshop:
Executive Security & Governance
Risiko. Haftung. Resilienz. Entscheidungsfähigkeit.
Mein Ziel ist nicht, Technik zu erklären. Mein Ziel ist, Führungskräften zu zeigen, wie sie Security so steuern, dass das Unternehmen auch im Ernstfall handlungsfähig bleiben. Wenn Sie Interesse an einem kompakten Executive-Format für Geschäftsführung, Vorstand oder obere Führungsebene haben, freue ich mich über den Austausch