Kein Unternehmen kann erfolgreich funktionieren, wenn die Zusammenarbeit zwischen der Geschäftsleitung und den Fachleuten der jeweiligen Abteilungen nicht reibungslos abläuft. Eine solche Zusammenarbeit setzt vor allem eines voraus: Kommunikation! Diese erweist sich jedoch oft als schwierig, da Manager und Fachleute in verschiedenen Informationsblasen arbeiten und meist unterschiedliche Sprachen sprechen. Die Geschäftsleitung denkt an Gewinn, Kosten und Entwicklung, die Spezialisten – und der Informationssicherheitsdienst ist da keine Ausnahme – an ihre spezifischen technischen Aufgaben.
Eine kürzlich von unseren Kollegen durchgeführte Studie ergab, dass das gegenseitige Verständnis zwischen Geschäftsführern und Informationssicherheitsspezialisten zwar grundsätzlich zunimmt, es aber immer noch Probleme gibt. Tatsächlich gaben 98 % der befragten Unternehmensvertreter an, dass sie mindestens einmal ein Missverständnis mit dem Informationssicherheitsdienst hatten. Was die direkten Folgen eines solchen Missverständnisses angeht, so gaben 62 % an, dass es zu mindestens einem Sicherheitsvorfall geführt hat, während 61 % von negativen Auswirkungen auf das Unternehmen berichteten – darunter der Verlust wichtiger Mitarbeiter oder eine schlechtere Kommunikation zwischen den Abteilungen. Gleichzeitig sind sich die Sicherheitsexperten selbst nicht immer der Probleme bewusst: 42 % der Unternehmensleiter wünschen sich eine spezifischere Kommunikation seitens der Sicherheitsspezialisten – doch 76 % dieser Spezialisten sind sich sicher, dass sie von allen perfekt verstanden werden!
Im Allgemeinen haben Manager oft Probleme mit der angewandten Sprache und Ausdrucksweise; sie verstehen beispielsweise nicht alle Begriffe, die Informationssicherheitsdienste verwenden. Die Terminologie ist jedoch nicht das einzige und auch nicht das Hauptproblem bei der Kommunikation der Informationssicherheitsexperten mit dem Management. Werfen wir einen Blick auf den Vortrag von Patrick Miller, Managing Partner bei Archer International, auf der Kaspersky Industrial Cybersecurity Conference 2019, um die anderen Probleme besser verstehen zu können.
Risiken werden anders eingeschätzt
Viele Fachleute für Informationssicherheit haben eine sehr niedrige Risikotoleranzschwelle. In der Wirtschaft hingegen sind Manager oft bereit, mehr Risiken einzugehen, da ohne sie kein Gewinn erzielt werden kann. Für die Chefetage besteht die größte Herausforderung meist darin, das perfekte Gleichgewicht zwischen potenziellem Gewinn und potenziellem Verlust zu finden. Das eigentliche Ziel der Sicherheitsabteilung, so seltsam es auch klingen mag, besteht nicht darin, alle Bedrohungen zu beseitigen, sondern dem Unternehmen zu helfen, den größtmöglichen Gewinn zu erzielen.
Aus Unternehmensperspektive können Risiken eingegangen, vermieden, gemildert oder übertragen werden (z. B. auf eine Versicherungsgesellschaft). Manager versuchen grundsätzlich, so viel Risiko wie möglich einzugehen, um den Gewinn des Unternehmens zu maximieren. Die Informationssicherheit ist für sie wahrscheinlich nur ein minimaler Teil des Gesamtbildes: vermutlich wollen sie nicht einmal darüber nachdenken.
Infolgedessen sollten Sicherheitsspezialisten nicht darüber nachdenken, wie sie alle Lücken schließen können, sondern vielmehr darüber, wie sie diejenigen Bedrohungen identifizieren und neutralisieren können, die dem Unternehmen wirklich ernsthaften Schaden zufügen könnten. Und folglich sollten sie auch darüber nachdenken, wie sie den Managern erklären können, warum es sich lohnt, überhaupt Geld für die Beseitigung solcher Probleme auszugeben.
FUD funktioniert nicht
Der Versuch, Manager mithilfe der FUD-Strategie (Fear, Uncertainty and Doubt, englisch für Furcht, Ungewissheit und Zweifel) zu überzeugen, wird nicht funktionieren, denn dafür wird der Informationssicherheitsdienst schlichtweg nicht bezahlt. Spezialisten sind dazu da, Probleme zu lösen – im Idealfall so, dass niemand merkt, dass es überhaupt welche gibt.
Ein weiteres Problem der FUD-Strategie ist, dass Manager bereits unter erheblichem Stress stehen. Denn jeder Fehler, den sie machen, könnte ihr letzter sein. Es gibt viele Menschen, die ihren Platz ohne zu zögern einnehmen würden, sie vertrauen deshalb niemandem usw. Zusätzliche Angstfaktoren sind daher vollkommen fehl am Platz.
Und schließlich zeigt kein Chef gerne, dass er etwas nicht weiß. Daher sind alle Versuche, die Geschäftsleitung mit klug klingenden Begriffen zu bombardieren, zum Scheitern verurteilt.
Denken wie ein Unternehmen
Das Hauptziel eines jeden Unternehmens ist es, Geld zu verdienen. Und alle Manager betrachten Unternehmensangelegenheiten aus dieser Perspektive. Wenn also ein Experte für Informationssicherheit zu ihnen kommt und sagt: „Eine Bedrohung ist aufgetaucht und wir müssen X Geld investieren, um sie zu entschärfen“, hört der Manager nur: „Wenn wir das Risiko eingehen und nichts tun, können wir X Euro sparen.“ So seltsam es klingen mag, aber das ist die Denkweise von Unternehmen.
Für die Unternehmensleitung ist es wichtig, dass jede Maßnahme (oder Untätigkeit), die sie ergreift, zu einer positiven finanziellen Leistung führt. Deshalb müssen wir die Situation so darstellen, dass das Management sie verstehen kann: „Es besteht eine Wahrscheinlichkeit von Z%, dass dem Unternehmen aufgrund einer bestimmten Bedrohung ein Schaden von Y droht. Wir müssen X investieren, um diese zu neutralisieren.“ Das ist eine Gleichung, die für das Unternehmen sinnvoll ist.
Natürlich können die Kosten eines potenziellen Schadens nicht immer realistisch vorhergesagt werden. Es ist daher möglich, bekannte Werte zu verwenden, wie z. B. die Ausfallzeit (der Zeitraum, bis der Vorfall behoben ist), die Menge und die Art der Daten, die verloren gehen oder kompromittiert werden können, der Reputationsschaden, usw. Diese Informationen können dann mit Hilfe von Experten in leicht verständliche Zahlen umgewandelt werden. Es ist jedoch besser, wenn das Informationssicherheitsteam dies selbst tun kann, da dies eine Menge Zeit sparen kann.
Es besteht immer die Möglichkeit, dass die Gleichung nicht zu Gunsten der Informationssicherheit aufgeht. Das ist nicht immer ein Problem der Fehlkommunikation – vielleicht hören und verstehen die Manager alles perfekt, aber es ist einfach profitabler, das Risiko einzugehen. Entweder das oder die Informationssicherheit war nicht in der Lage, ihre Position überzeugend zu vertreten, weil sie nicht gelernt hat, wie ein Unternehmen zu denken.
Entscheidend ist, dass Sie den Stellenwert von Informationssicherheitsdiensten in Ihrem Unternehmen und die damit verbundenen Vorteile kennen. Auf diese Weise lassen sich potenzielle Bedrohungen leichter einschätzen und einordnen, und es wird vermieden, dass Sie und andere Mitarbeiter ihre Zeit mit Initiativen verschwenden, die offensichtlich nicht funktionieren, und generell effizienter arbeiten.
Zeitfaktor und Deadlines
Für die Sicherheit ist der Zeitfaktor entscheidend: Einige Bedrohungen müssen sofort abgewehrt werden. Aber auch für Unternehmen ist Zeit wichtig, denn für sie ist Zeit Geld. Sie können heute den erwähnten Betrag X ausgeben, aber wenn Sie dies in einem Monat tun, dann wird X in geschickten Händen zu X*n, und X*(n-1) bleibt auf der Bank.
Selbst wenn die Unternehmensleitung das Problem gut versteht und weiß, dass es angegangen werden muss, wird sie es nicht eilig haben, Geld auszugeben, wenn sie keine Frist mit einer klaren Begründung erhält. Sie muss auch darüber informiert werden, dass sie automatisch für die geltend gemachten Risiken verantwortlich ist, da die Informationssicherheit nach Ablauf der Frist mögliche Folgen nur noch reduzieren kann.
Diese Frist sollte so realistisch wie möglich sein. Wenn die Informationssicherheit fordert, dass eine Entscheidung lieber gestern als heute getroffen werden muss, wird die Geschäftsleitung auf taube Ohren stellen. Auch wenn die Abteilung für Informationssicherheit zu laszive Fristen wählt (sagen wir, eine Deadline von 12 Monaten), wird sie nach dem nächsten Vorfall vermutlich gefeuert (oder als überflüssig angesehen). Es ist wichtig, dass man in der Lage ist, die tatsächliche Deadline zu beurteilen und festzulegen und die potenziellen Risiken aufzuzeigen.
Nur wenige Unternehmen haben Reserven auf ihren Konten, um mögliche Investitionsratschläge der Sicherheitsbeauftragten zu befolgen. Die Mittel zur Problemlösung müssen irgendwoher genommen oder geliehen werden, und das kann einige Zeit dauern. Um zu verstehen, wie lange das dauert, muss man übrigens auch wissen, wie das Unternehmen funktioniert und finanziert wird.
Spielen Sie den Vermarkter
Um effektiv zu kommunizieren, sollten Informationssicherheitsspezialisten über einige Marketingkenntnisse verfügen; dann können sie der Chefetage ihre Lösungen besser vermitteln.
- Bieten Sie eine Lösung an, kein Problem. Ein Problem kann man nicht verkaufen.
- Wann immer möglich, sollten Sie sich auf reale und leicht überprüfbare Präzedenzfälle stützen. Manager lieben sie – sie verringern die Unsicherheit.
- Verwenden Sie anstelle von Fachbegriffen eine ansprechende Verkaufssprache und Präsentationen mit bunten Diagrammen.
- Bieten Sie mehrere Optionen an – auch solche, die eindeutig nicht machbar sind.
- Fassen Sie das gesamte Angebot auf einer Seite zusammen.
- Verwenden Sie Synonyme für den Begriff „Informationssicherheit“: Risikominderung, Gewährleistung der Widerstandsfähigkeit/Kontinuität von Arbeitsprozessen, Aufrechterhaltung der betrieblichen Effizienz, Reduktion von Ausfallzeiten, Schadensvermeidung und so weiter.
- Beschränken Sie die emotionale Sprache auf ein Minimum und pflegen Sie einen professionellen Kommunikationsstil.
Nächste Schritte
Soft Skills sind der Schlüssel zu einer erfolgreichen Unternehmenskommunikation. Sie müssen aus ihrer technischen Seifenblase heraustreten und lernen, in der Sprache und in dem Kontext zu sprechen, den Manager bevorzugen. Selbst wenn sie wollten, wären sie nicht in der Lage, sich mit den technischen Details jeder Abteilung des Unternehmens zu befassen. Es ist wichtig, dass die Informationssicherheitsdienste erkennen, dass sie nur ein Teil des Unternehmens sind, dennoch wissen, wie es funktioniert, und dazu beizutragen, mit minimalen Kosten ein Maximum an Einnahmen zu erzielen.
Erwähnenswert sind auch die Ergebnisse unserer aktuellen Studie „Fluent in InfoSec: Are c-level executives and IT security managers on the same page?„.