Warum so viele Manager die Cybersicherheit lieber beiseite schieben, statt anzugehen, analysiert PwC-Profi Jörg Asma

Warum nehmen deutsche Manager das Thema Cybersicherheit immer noch nicht so ernst, wie sie es sollten? Es liegt am zersplitterten Anbietermarkt und an der Komplexität des Themas. Jörg Asma, Leiter des Bereichs Cyber Security & Privacy bei der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC – von Hause aus studierter Elektorechniker – hat die Gefechtslage analysiert 

 

Mehr als zwei Drittel der deutschen CEOs (68 Prozent) sind wegen möglicher Cyber-Angriffe auf ihr Unternehmen besorgt. Im Umkehrschluss: Für das verbleibende Drittel scheint zumindest im Moment Cybersicherheit nicht im Fokus zu stehen. Das belegt eine Umfrage Wirtschaftsprüfungs- und Beratungsgesellschaft PwC. Warum das so ist? Ein Deutungsversuch auf Basis praktischer Erfahrungen nach über 20 Jahren als Cyber-Sicherheitsexperte.

Jörg Asma, Security Leader PwC Deutschland (Foto: PwC)

 

Erstens: Fokussierung auf Innovation und Wachstum:

In den vergangenen Jahren des Wachstums haben sich Unternehmenschefs vor allem auf Innovation und Geschäftsentwicklung fokussiert. Sicherheit sehen sie dagegen eher als Störfaktor an, der die Kosten in die Höhe treibt und belassen ihn auf der technischen Ebene.

 

Zweitens: Fehlende kommunikative Basis:

Während es Digitalisierungs-Spezialisten geschafft haben, aus der Nerd-Ecke herauszukommen und heute als hip zu gelten, sind Cybersicherheits-Experten in der Wahrnehmung des Managements häufig noch die Kellerkinder. Das liegt auch an vielen Cyber-Experten selbst, denen es bis heute nicht gelingt, die Sprache des Managements zu sprechen und die eher technisch als betriebswirtschaftlich argumentieren.

 

Drittens: Kein Gefühl für Wertbeitrag:

Sicherheit wird als anstrengend, teuer und teils unnötig empfunden. Da sollte sich jeder ganz individuell selbst hinterfragen, ob er wirklich alles macht, um sich und seine Daten zu schützen. Jede Statistik besagt das Gegenteil: Passwörter sind nach wie vor trivial, doppelte Identifikation in Online-Diensten wird nicht eingeschaltet, wichtige Daten werden ungeschützt abgelegt.

So sehen es auch CEOs: Cybersicherheit ist ein notwendiges Übel, dem sie nicht mehr Zeit widmen als nötig. Das liegt auch am ‚Business Case‘: Wenn Cyber-Experten verdeutlichen würden, dass sich über Sicherheit auch Vertrauen aufbauen und damit Kunden gewinnen lassen, wäre es sicherlich leichter, dem Chef zu verdeutlichen, sich neu zu fokussieren. Das passt heute aber noch viel zu wenig und hängt eng mit dem oben erwähnten Kommunikationsproblem zusammen.

 

Viertens: Intransparenter Anbietermarkt in Europa:

Die Weltzentren für Cyber-Sicherheit liegen überall – nur nicht in Europa. Der Markt er Cybersicherheitsanbieter ist zerklüftet: Zwischen Einzelberatern, internationalen Großanbietern und mittelständischen Anbietern, die teils exzellente Technologien haben, aber unbekannt sind.

Manager, die sich zum ersten Mal mit dem Thema Cybersicherheit auseinandersetzen, haben das Problem, dass sie die Qualität von Beratung, Software und Betrieb kaum evaluieren können. Es gibt fast keine anerkannten Standards und Marken. Weil das alles so kompliziert ist, überlassen die Top-Manager das Thema oft einfach den nachgeordneten Hierarchieebenen. Zumal: Das Thema ist auch seltener an sie herangetragen worden als die oben erwähnten Wachstums- und Innovationsoffensiven.

 

Fünftens: Ob Vorstände schon haftbar gemacht wurden, ist unveröffentlicht:

Es gibt sie, die Fälle, bei denen Manager wegen Cyberattacken ihre Jobs verlieren. Aber das ist bisher noch nie öffentlich passiert, vor allem nicht auf der Top-Ebene. In Deutschland gibt es kein einziges prominentes Beispiel, bei dem ein Vorstand wegen mangelnhaftem Umgang mit Cybersicherheit seinen Job verloren hat. Auch wenn die Anwaltskanzleien und D&O-Versicherer davon bereits seit Jahren sprechen. Auch hinter den Kulissen ist die wahrscheinlichere Variante, dass Sicherheits- und/oder IT-Chef ihren Job los werden. Hier den verschlossenen Türen diskutieren sie immer öfter, dass ihre Jobs zum Feuerstuhl, zum ‚Hot Seat‘, geworden sind.

Damit fehlt beim Top-Management häufig die persönliche Betroffenheit und das spürbare persönliche Risiko. Ich warne jedoch davor: Der Tag wird kommen, an dem es Top-Manager treffen könnte – das sehe ich so wie die Anwälte. Und dann wünsche ich niemanden, selbst in der Haut desjenigen zu stecken, der zum öffentlichen Präzedenzfall wird.

 

Blogger-Relevanz-Index 2018

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*