Wie Sie Ihr Board dazu bringen, sich um Sicherheit zu kümmern (Bevor eine Sicherheitsverletzung das Thema erzwingt)

Wenn Sie jemals einen dieser Artikel über „Board Reporting Templates für CISOs“ gelesen und gedacht haben: „Ah ja, mein Vorstand wird sicherlich 25 Minuten meinem Security-Dashboard widmen und Folgefragen zur Abbaugeschwindigkeit des Vulnerability-Backlogs stellen“, dann habe ich wunderbare Neuigkeiten für Sie: Sie haben noch nicht genügend Vorstände kennengelernt.

Die meisten Unternehmensvorstände wollen kein Security-Dashboard. Sie wollen keine Metriken zur Sicherheitslage. Sie wollen keine Heatmap, die wie ein NASA-Risikobriefing für einen Start aussieht. Was sie wollen, ob sie es explizit sagen oder nicht, ist Entscheidungsunterstützung.

Sie wollen eine vertretbare Möglichkeit, zwischen konkurrierenden Risikodarstellungen zu wählen. Sie wollen wissen, ob sie in Mitigation A oder B investieren sollen. Sie wollen Unsicherheit reduzieren. Sie wollen eine karrierebeendende Überraschung vermeiden, und hier ist der Teil, den die meisten Security-Verantwortlichen nicht hören wollen:

Vorstände finanzieren Sicherheit nicht, weil sie wichtig ist. Sie finanzieren Sicherheit, wenn die Entscheidung rational, begrenzt und vertretbar erscheint.

Sprechen wir darüber, wie das gelingt.

Warum Vorstände sich nicht für Sicherheit interessieren

Vorstände sind nicht gegen Sicherheit. Sie sind nicht rücksichtslos und sie sind nicht dumm. Sie sind lediglich strukturell, kulturell und psychologisch auf Ergebnisdiskussionen optimiert.

Sicherheit ist eine eigenartige Disziplin, denn das bestmögliche Ergebnis ist, dass nichts passiert. Keine Schlagzeilen. Keine Störungen. Keine Notfallsitzungen. Keine Lösegeldverhandlungen. Keine plötzlichen Anrufe mit der Frage: „Wie konnte das passieren?“

Und „nichts ist passiert“ ist kein Ergebnis, das der Vorstand leicht bewerten kann. Es ist eine Leere. Es ist hypothetisch. Es ist kontrafaktisch. Es ist eine Geistergeschichte. So verfällt der Vorstand natürlich der Denkweise, der jeder Mensch verfällt:

„Bisher ist nichts passiert.“

Das ist eine tragisch verführerische Logik. Es ist auch einer der teuersten Sätze in der Unternehmensgeschichte. Das Problem ist, dass das Fehlen von Beweisen kein Beweis für Abwesenheit ist. Es ist vielmehr ein Beweis für Glück, Unbekanntheit oder schlechte Erkennung. Vorstände handeln hier nicht irrational. Sie wenden die gleiche Argumentation an, die sie auch anderswo verwenden:

• Wenn wir liefern, sehen wir Umsatz.
• Wenn wir vermarkten, sehen wir Pipeline.
• Wenn wir einstellen, sehen wir Durchsatz.
• Wenn wir Kosten senken, sehen wir Marge.

Aber Sicherheit? Die Erfolgsmetrik ist ein negativer Raum. Wenn Sie ihnen also nicht helfen, die Entscheidung als konkret und begrenzt zu empfinden, wird Sicherheit immer nur ein „nice to have“ bleiben.

Warum „Vertrauen Sie mir, das ist wichtig“ niemals funktioniert

Es gibt zwei gängige Security-Präsentationen auf Vorstandsebene:

Beide Ansätze sind unwahr und beide Ansätze scheitern. Vorstände reagieren nicht gut auf Panik, denn Panik ist kein Plan. Panik ist eine Bitte um emotionales Vertrauen, und Vorstände sind explizit nicht darauf ausgelegt, von Emotionen geleitet zu werden.

Und Vorstände reagieren nicht gut auf „alles ist bestens“, denn dann stellt sich die Frage, warum mehr Geld benötigt wird. Der CISO steckt in der Klemme und versucht, einen Drahtseilakt zu vollführen, zwischen dem Klang von Chicken Little und dem eines überfinanzierten Bürokraten. Man möchte nicht, dass der Vorstand Angst empfindet. Man möchte, dass er Klarheit und Vertrauen spürt.

Wie Vorstände tatsächlich über ROI und Risiko denken

Sicherheitsverantwortliche versuchen oft fälschlicherweise, den „ROI zu beweisen“, wie es Marketing oder Vertrieb tun würden. Vorstände denken nicht über Sicherheit nach, wie sie über Einnahmen denken. Sie denken darüber nach, wie sie über Risiko, Versicherung und Resilienz denken.

Hier ist das mentale Modell des Vorstands, vereinfacht:

• Was machen unsere Wettbewerber?
• Was ist unser erwarteter Verlust?
• Was sind die Kosten, um ihn zu reduzieren?
• Wie hoch ist die Wahrscheinlichkeit?
• Was ist die Auswirkung?
• Was ist die Unsicherheit?
• Was ist das schlimmste plausible operative Ergebnis?

Sicherheits-Frameworks neigen zu einer Präventionsverzerrung. Sie gehen davon aus, dass wir schlimme Dinge verhindern können, wenn wir nur genügend Kontrollen implementieren und genügend Tools kaufen. Vorstände verstehen etwas, das Sicherheitsteams manchmal vergessen: Prävention ist nicht binär. Einige Fehler sind unvermeidlich. Wie das Infosec-Mantra besagt: Es ist nicht die Frage, ob Sie kompromittiert werden, sondern wann. Deshalb finanzieren Vorstände Versicherungen, widerstehen aber erhöhten Ausgaben für Sicherheitstools.

Versicherung ist ein begrenztes Finanzinstrument. Sie hat eine Prämie, eine Police und eine Auszahlung. Auch wenn sie nicht alles abdeckt, ist es eine vertraute Entscheidungsform.

Sicherheitsinvestitionen kommen oft als offene Verpflichtungen daher:

• „Wir brauchen eine Plattform.“
• „Wir brauchen ein Programm.“
• „Wir brauchen eine bessere Posture.“
• „Wir brauchen mehr Tools.“

Vorstände hören: „Wir brauchen einen Blankoscheck, um ewig gegen einen unsichtbaren Feind zu kämpfen.“ Das ist keine vorstandsgerechte Anfrage. Der Vorstand möchte eine Wahlmöglichkeit, um eine Entscheidung treffen zu können.

Die wahren Kosten einer Breach

Die meisten Diskussionen über die Kosten von Sicherheitsverletzungen bleiben an der Oberfläche:

• Bußgelder
• rechtliche Vergleiche
• PR-Schaden

Diese sind wichtig, aber die operative Realität ist schlimmer und relevanter. Die wahren Kosten einer Sicherheitsverletzung sind die erzwungene Umverteilung Ihrer knappsten Ressource: der Fokus des Engineerings. Ein größerer Vorfall kostet nicht nur Geld. Er verdrängt geplante Arbeit. Er stiehlt Entwicklungsquartale.

Incident Response ist nicht „nur IT, die aufräumt.“ Eine echte Incident Response umfasst:

• forensische Untersuchung, die die Außerbetriebnahme von Geräten mit Nachweiskette erfordert
• Hardware-Erneuerung (da kompromittierte Endpunkte nicht vertrauenswürdig sind)
• Notfall-Identitätsresets und Neugestaltung des Zugriffs
• Cloud-Re-Architektur unter Druck
• Neuausstellung von Secrets und Zertifikaten
• Neuvalidierung von Backups (die ebenfalls kompromittiert sein könnten)

Es ist chaotisch, teuer und störend (fragen Sie einfach Caesars oder 23andMe).

Kundenvertrauen und Abwanderung sind ebenfalls nicht theoretisch. Loyalität ist schwer zu gewinnen und leicht zu verlieren, insbesondere bei Unternehmensverträgen, bei denen Verlängerungszyklen eine natürliche Ausstiegsrampe schaffen.

Nach einer Sicherheitsverletzung lautet die Frage nicht: „Wie hat der Angreifer das gemacht?“ Die Frage wird zu: „Wer wusste was und wann?“ Plötzlich wird Ihr Sicherheitsprogramm nicht mehr nach seinen technischen Vorzügen bewertet. Es wird von Besserwissern nach seiner narrativen Verteidigungsfähigkeit beurteilt.

Was uns zu der unbequemen Wahrheit führt:

Der erste Angriff kommt vom Bedrohungsakteur.
Der zweite Angriff kommt von allen anderen.

Wie man über Sicherheitsvorfälle spricht

Erfahrene CISOs beschäftigen sich nicht obsessiv mit der Wahrscheinlichkeit eines Sicherheitsvorfalls. Sie sprechen über die Kadenz von Sicherheitsvorfällen.

Denn die Frage ist nicht, ob Sie jemals einen Vorfall haben werden. Die Frage ist:

• Wie oft werden Sie mit Kompromittierungen konfrontiert sein?
• Wie schnell werden Sie diese erkennen?
• Wie gut können Sie diese eindämmen?
• Wie schnell können Sie den Betrieb wiederherstellen?

Dies ist Resilienzdenken, nicht Präventionsdenken. Und wenn jemand sagt: „Wir wurden noch nie kompromittiert.“ Die richtige Antwort ist nicht zu streiten, sondern sanft umzudeuten. Je ausgereifter Ihre Erkennung ist, desto mehr Vorfälle und Sicherheitsverletzungen entdecken Sie. Dies ist für Führungskräfte zutiefst kontraintuitiv. Mit anderen Worten: Eine verbesserte Transparenz kann Sie zunächst „schlechter“ aussehen lassen, bevor sie Sie sicherer macht.

Angreifer nutzen grundlegende Hygienefehler weitaus häufiger aus als „sexy“ Zero-Days. Der Mythos, dass Sicherheitsverletzungen Elite-Gegner erfordern, ist beruhigend, aber meist falsch. Moderne Angreifer agieren schnell. Die mittlere Zeit bis zur Ausnutzung (Mean-Time-to-Exploitation) wird heute in Minuten und Stunden gemessen, nicht in Tagen und Wochen, insbesondere da KI die Exploit-Entwicklung und Phishing-Skalierung beschleunigt. Ihre Resilienz wird durch Ihre Anpassungsfähigkeit definiert und nicht durch Ihre Fähigkeit, Backups wiederherzustellen und zu einem früheren Zustand zurückzukehren. Denn der frühere Zustand war die anfällige Konfiguration, die überhaupt erst zur Kompromittierung führte.

Die einzigen Sicherheitsmetriken, die Vorstände wirklich interessieren

Vorstände wollen kein Dashboard. Sie wollen ein Lenkrad. Welche Sicherheitsmetriken sind also relevant?

Trends der Risikoexposition

Nicht „Anzahl der Schwachstellen“, sondern wie sich Ihre Exposition verändert und warum. Berichten Sie immer in Prozentangaben und Deltas im Vergleich zu den Sicherheitsmetriken des vorherigen Quartals und nicht in absoluten Zahlen von Schwachstellen.

Zeit bis zur Erkennung und Zeit bis zur Behebung

Dies sind operative Metriken mit direkter Geschäftsrelevanz. Fügen Sie automatisch behobene Metriken aus dem Code-Scanning für geteilte Secrets, anfällige Konfigurationen mit Ihrem CSPM, Konfigurationsdrift und Lieferkettenrisiken wie die jüngsten NPM Shai-Hulud-Angriffe hinzu.

Reduzierung des Ausbreitungsradius

Dies ist das für den Vorstand relevanteste Sicherheitskonzept: Eindämmung. Nicht „können wir jedes Feuer löschen“, sondern „können wir verhindern, dass ein Küchenbrand das ganze Gebäude niederbrennt.“ 

Hier entfaltet das „Was wäre wenn“-Denken seine Wirkung. Googles SRE-Blog popularisierte das „Wheel of Misfortune“ mit wöchentlichen Tabletop-Übungen: wiederkehrende, strukturierte Vorfallsimulationen. Die NASA verwendet ein ähnliches Konzept: das „Pre-Mortem“. Man geht von einem Scheitern aus und arbeitet dann rückwärts, um zu verstehen, wie es dazu kommen wird. Security Chaos Engineering ist die Weiterentwicklung davon: durchdachte Experimente zu Fehlerzuständen, die in der operativen Realität verwurzelt sind, nicht im Theater.

Bekannte Unbekannte vs. blinde Flecken

Vorstände können Unsicherheit verstehen. Sie können nicht verstehen: „Wir haben 13.492 kritische Schwachstellen.“ Aber sie können verstehen:

• „Wir wissen nicht, ob eine laterale Bewegung zwischen diesen Umgebungen möglich ist.“
• „Wir haben keine objektive Validierung unserer externen Angriffsfläche.“
• „Wir wissen nicht, ob unsere Erkennungspipeline Credential Stuffing erkennen kann.“

Deshalb sind Penetrationstests durch Dritte, wenn sie richtig eingesetzt werden, unglaublich wertvoll. Nicht als reine Abhakeübung, sondern als objektiver Mechanismus zur Risikoerkennung und -validierung.

Sicherheitsmetriken, die Ihrem Anliegen schaden

Sprechen wir nun über die Metriken, die Vorstände und die obere Führungsebene das Interesse verlieren lassen.

Anzahl der Tools

Mehr Tools bedeuten nicht mehr Sicherheit. Jedes Tool ist effektiv ein privilegierter Benutzer. Jedes wird Teil der Angriffsfläche. Jedes erhöht die betriebliche Komplexität. Eine hohe Reife mit wenigen Tools ist besser als oberflächliche Implementierungen von Dutzenden von Tools.

Anzahl der Schwachstellen

Nicht alle kritischen und hohen Schwachstellen sind gleich. Das Aufkommen des EPSS-ähnlichen Denkens macht dies offensichtlich: Nur ein kleiner Prozentsatz der Schwachstellen wird jemals in tatsächlichen Sicherheitsvorfällen ausgenutzt. Volumenbasierte Metriken erschweren die Priorisierung.

Gesamtzahl der CVE-Schweregrade

Schweregrad ist nicht gleich Ausnutzbarkeit. Erreichbarkeit und Kontext sind wichtiger. Vorstände wollen keinen Krieg gegen Zahlen finanzieren, weil dieser einfach nicht gewonnen werden kann.

Compliance-Erfüllungsquoten

Jedes Unternehmen, das einen Breach erlitten hat, hatte Audits und Compliance-Berichte. Compliance ist eine niedrige Hürde. Echte Sicherheit ist das Ziel. Wenn CISOs diese Metriken dem Vorstand vorlegen, tun sie dies oft, weil es die am einfachsten zu erstellenden Metriken sind. Aber einfach ist nicht gleich überzeugend.

POCs nutzen, um hypothetisches Risiko in Beweise zu verwandeln

Eines der effektivsten Werkzeuge, das ein Security Leader hat, ist der bezahlte Proof-of-Concept. Nicht als Feature-Vergleich, sondern als strukturiertes Erkundungsexperiment. Ein guter POC ist vorstandssicher, da er Beweise liefert, ohne Angst zu schüren. Er kann:

• unbekannte kritische Probleme aufdecken
• validieren, ob eine Risikodarstellung real ist
• Unsicherheiten bezüglich aktueller Kontrollen reduzieren
• eine vertretbare Grundlage für Investitionen bieten

Der Schlüssel ist, es wie ein Geschäftsexperiment zu behandeln:

• Die Hypothese definieren.
• Die Erfolgskriterien definieren.
• Den Zeitrahmen definieren.
• Definieren, wie ein „Nein“ aussieht.

Dann können Sie zum Vorstand zurückkehren und sagen: „Wir haben eine begrenzte Evaluierung durchgeführt. Hier ist, was wir gelernt haben. Hier sind die Entscheidungsoptionen.“ Vorstände lieben begrenzte Entscheidungen.

Budgetzuweisungen nach einem Breach

Es gibt ein tragisches Muster in der Security-Führung: Breach → „Ich hab’s ja gesagt“ → Budget freigegeben.

Aber das ist ein vergiftetes Geschenk. Denn der CISO nach dem Breach erhält oft die Ressourcen, die der CISO vor dem Breach flehentlich erbeten und verweigert bekommen hat. Und dem CISO vor dem Breach wird oft die Tür gezeigt. Das ist nicht nur unfair, sondern auch organisatorisch schädlich. Denn durch den zweiten Angriff – die Besserwisser, Ermittler, Versicherer, Regulierungsbehörden – wird die Glaubwürdigkeit des CISO oft zerstört, selbst wenn er den Vorfall gut bewältigt hat.

Viele CISOs überleben den zweiten Angriff nicht. Und dann führt die Nachfolgeplanung oder deren Fehlen zu einem völlig neuen Angriffsfenster. Bedrohungsakteure wissen das. Sie legen nach. Sie nutzen das Chaos eines Führungswechsels aus. Man kann am Ende einen Krieg an zwei oder drei Fronten führen:

• opportunistische Angreifer
• organisiertes Verbrechen
• interne organisatorische Instabilität

Der Weg, diese Falle zu vermeiden, ist, vor dem Breach eine Entscheidungsunterstützung auf Vorstandsebene aufzubauen.

Wie man mit häufigen Einwänden umgeht

Führungskräfte und Vorstände haben eine kleine Reihe vorhersehbarer Einwände. Der Fehler ist, sie wie in einer Debatte zu widerlegen. Der richtige Schritt ist, sie als Entscheidung neu zu formulieren. Sie sollten auch sicherstellen, dass Sie „Anhang A: Fragen, die der Vorstand dem Management zur Cybersicherheit stellen sollte“ aus dem NACD 2017 Board Handbook gelesen haben und darauf vorbereitet sind, jede dieser Fragen zu beantworten.

„Es ist zu teuer.“

„Teuer“ im Vergleich wozu? Im Vergleich zum erwarteten Verlust? Im Vergleich zu den Kosten von Ausfallzeiten? Im Vergleich zu den Opportunitätskosten umgeleiteter Engineering-Sprints und Deliverables?

„Wir haben bereits etwas.“

Dies ist ein Einwand aufgrund eines blinden Flecks und bezieht sich meist auf gebündelte Dienste Ihres Microsoft 365-Abonnements. Argumentieren Sie nicht über einen Ersatz, sondern sprechen Sie darüber, dass Microsoft Defender notwendig, aber nicht ausreichend ist. Sprechen Sie über Ergebnisse:

• Was können wir erkennen?
• Was können wir verhindern?
• Was können wir eindämmen?
• Was wissen wir nicht?

„Wir sind bereits compliant.“

Compliance ist keine Risikoreduzierung. Sie ist der Nachweis, dass Sie eine Checkliste abgehakt haben. Sie ist kein Nachweis, dass Sie einen Vorfall überstehen können.

„Wir werden es intern entwickeln.“

Entscheidungen für eine interne Entwicklung müssen Folgendes umfassen:

• Wartungsaufwand
• Schulungskosten für neue Mitarbeiter
• Opportunitätskosten
• langfristiges Betreiberrisiko

Die Build-versus-Buy-Entscheidung sollte sicherstellen, dass die Frage der Kernkompetenz berücksichtigt wird. Security-Tooling ist kein „Einmalprojekt“. Es ist eine operative Verpflichtung und ein fortlaufender Prozess. Viele Jahre lang wurde der Betrieb von Unternehmens-E-Mail-Systemen von einem mehrköpfigen IT-Team übernommen. Heute ist dies weitgehend an Microsoft und Google ausgelagert, mit deutlich besseren Sicherheitsergebnissen und geringeren Kosten. Phil Venables erwähnte mir gegenüber einmal, dass sein größtes Bedauern bei der Leitung der Sicherheit bei Goldman Sachs war, dass sie viel zu viele ihrer Fähigkeiten intern aufgebaut haben, nur weil sie es konnten, nicht weil es das Richtige war.

„Wir werden Open Source nutzen.“

Open Source ist zweifellos exzellent und vertrauenswürdig. Aber Vorstände sollten den Unterschied verstehen zwischen:

• Fähigkeit
• Zuverlässigkeit
• Verantwortlichkeit

Open Source liefert Ihnen Code. Es bietet Ihnen keine Servicegarantie oder einen klaren Verantwortlichen.

„Pentests sind ausreichend.“

Pentests sind Momentaufnahmen, die oft nur eine Woche pro Jahr durchgeführt werden. Vorstände sollten ein kontinuierliches Risikomanagement fordern.

„Das wird uns nicht betreffen / Wir werden nie gehackt.“

Vertrauen ist eine Annahme. Annahmen müssen validiert werden. Hier ist die Leitlinie der Unternehmensführung entscheidend. Der Vorstand muss nicht technisch werden. Aber er muss entscheidungsfähig in Bezug auf IT-Risiken und Geschäftsunterbrechungen werden, um die Natur von Cybersicherheitsrisiken als systemisches Risiko zu verstehen.

Wie ein vorstandsfähiger Security-Investitionsfall aussieht

Wie sieht also eine glaubwürdige Security-Investition tatsächlich aus?

Klare Risikoeinordnung und ein relevantes Framework

Die Wahl des Frameworks ist entscheidend. Einige Frameworks sind veraltet und schlecht für Cloud-native Unternehmen geeignet. Eines der schlimmsten Dinge, die man tun kann, ist, die Organisation sich auf einen überholten Maßstab festlegen zu lassen. Die CIS Top Controls gehören zu den besten Cybersecurity-Frameworks, da sie regelmäßig aktualisiert werden und mit Cloud-basierten Innovationen und Techniken Schritt halten.

Messbare Reduzierung von Unsicherheiten

Bei Security geht es nicht nur um Kontrollen. Es geht darum, Ambiguität zu reduzieren. Und hier ist das Zitat zur Führung, das sich jeder Executive merken sollte:

„Als Manager führen wir einen Plan aus,
als Leader managen wir Knappheit, und
als Executives managen wir Ambiguität.“

Vorstände managen Ambiguität. Ihre Aufgabe ist es, ihnen dabei zu helfen, diese durch die Präsentation von Kontext und Daten zu reduzieren.

Zeitlich begrenzte Evaluierung mit qualitativem ROI

Nicht übermäßig mathematisch werden. Halten Sie es konzeptionell. „Wie sieht Erfolg in 90 Tagen aus? In 6 Monaten?“ Wann amortisiert sich die Lösung durch Kostenvermeidung oder die Außerbetriebnahme eines Legacy-Tools, das keine effektiven Security-Kontrollen und Risikovermeidung mehr bietet?

Definierte Erfolgskriterien

Funktionale und nicht-funktionale Anforderungen:

• Verfügbarkeit
• Vertraulichkeit
• Integrität
• Operativer Overhead
• Auswirkungen auf die Resilienz

So verpacken Sie die Anforderung in etwas, das der Vorstand genehmigen kann, ohne das Gefühl zu haben, sich auf Hoffnung und Gebet zu verlassen.

Der eine Fehler, den CISOs im Gespräch mit Vorständen machen

Der größte Fehler, den CISOs machen, ist zu denken, der Vorstand würde Security finanzieren, weil sie wichtig ist. Vorstände finanzieren keine Wichtigkeit. Sie finanzieren vertretbare Entscheidungen. Das Ziel ist also nicht, sie mit der Komplexität der Bedrohungslandschaft zu beeindrucken.

Das Ziel ist, ihnen einen begrenzten, rationalen Trade-off zu präsentieren:

• Hier sind die konkurrierenden Risikodarstellungen.
• Das wissen wir.
• Das wissen wir nicht.
• Hier sind die Optionen.
• Hier sind die Kosten.
• Hier ist, was sich ändert, wenn wir handeln.
• Hier ist, was unsicher bleibt, wenn wir es nicht tun.

Wenn Sie das tun, kann der Vorstand seine Aufgabe erfüllen. Und ironischerweise ist das der Zeitpunkt, an dem sie sich um Sicherheit kümmern.

Pace Layering und warum Governance sich langsam bewegt

Gute Sicherheitsprogramme arbeiten über mehrere Veränderungsebenen hinweg. Stuart Brands Pace-Layering-Modell ist hier nützlich:

• Mode
• Handel
• Infrastruktur
• Governance
• Kultur
• Natur

Technologie bewegt sich an der Peripherie schnell, wie die Mode. Governance bewegt sich langsam, und diese Langsamkeit ist kein Problem, das gelöst werden muss. Sie ist die Stabilitätsebene, die Unternehmen vor unkontrollierten Schwankungen bewahrt. Wenn Sie den Vorstand bewegen wollen, müssen Sie in Governance-Begriffen sprechen: begrenzte Entscheidungen, reduzierte Mehrdeutigkeit, vertretbare Kompromisse. Denn mit dem Vorstand zu sprechen, ist der einfache Teil.

Schwierig ist es, ihrem Denken einen Mehrwert zu verleihen.