Jeder fünfte CISO vertuscht Compliance-Probleme – Source: www.csoonline.com

CISOs befinden sich zunehmend in der Zwickmühle, wenn es darum geht, eine gesunde Balance zwischen Loyalität zu ihrer Organisation und ihren rechtlichen Verantwortlichkeiten zu finden. Zumindest legt das eine aktuelle Studie des Sicherheitsanbieter Splunk nahe, in deren Rahmen 600 CISOs weltweit befragt wurden. Demnach:

• geben 21 Prozent der befragten Sicherheitsentscheider an, schon einmal von anderen Führungskräften oder Vorstandsmitgliedern unter Druck gesetzt worden zu sein, Compliance-Verstöße nicht zu melden.
• würden 59 Prozent der Befragten in Erwägung ziehen, zum Whistleblower zu werden, falls Compliance-Erfordernisse ignoriert werden – die CISOs sind sich also der damit verbundenen Risiken bewusst.

“Alarmierend, aber nicht überraschend”

Diese Ergebnisse lassen bei unabhängigen Sicherheitsexperten die Alarmglocken schrillen. Zum Beispiel bei Sam Peters, Chief Product Officer beim Compliance-Spezialisten ISMS.online: „Druck auf den CISO auszuüben, damit er Compliance-Probleme unter den Teppich kehrt, ist nicht nur unethisch – es erhöht auch drastisch das Risiko, dass Sicherheitsentscheider persönlich haften müssen, und ist der langfristigen Resilienz einer Organisation massiv abträglich“, warnt der CPO.

Matthias Held, technischer Programmmanager bei Bugcrowd und ehemaliger CISO, erkennt in den Studienergebnissen von Splunk vor allem tiefere, systemische Probleme in der Wahrnehmung von IT-Sicherheit auf Führungsebene: „Die Ergebnisse sind alarmierend, aber leider nicht überraschend“, konstatiert er und verweist auf den Fall des ehemaligen Uber-CISOs Joe Sullivan. „Auch hier wurde die rechtliche Verantwortung dem CISO zugeschustert, anstatt die Wurzel des Übels zu beheben: Business-Entscheidungen, die der Außendarstellung Vorrang vor der Sicherheit einräumen.“

Auch Bryan Marlatt, Chief Regional Officer beim Sicherheitsanbieter CyXcel, beschleicht das Gefühl, dass Vorstände sich oft mehr um das Reputationsmanagement als um regulatorische Vorgaben sorgen: „Das führt dazu, dass CISOs zunehmend dazu angehalten werden, Stillschweigen zu bewahren oder Vorfälle falsch zu klassifizieren, um Aufsichtsbehörden und Aktionäre nicht zu alarmieren.“

Seine Einschätzung kann Marlatt mit persönlichen Erfahrungswerten untermauern: „In meiner Zeit als CISO habe ich schon einmal die Anweisung erhalten, bestimmte Risiken gegenüber Auditoren falsch darzustellen. Daraufhin habe ich mich dazu entschieden, die Organisation zu verlassen.“

Auch James Hughes, Enterprise CTO beim Sicherheitsanbieter Rubrik, sieht zwischen der Security-Realität und dem Verständnis der Vorstandsebene eklatante Lücken: „Während die Regulierungsbehörden immer strenger werden, sind viele CISOs der Überzeugung, dass ihre Budgets den Compliance-Erfordernissen nicht gerecht werden. Diese Diskrepanz gefährdet nicht nur die Sicherheitslage der Unternehmen, sondern auch ihre Fähigkeit, sich an die wandelnden, regulatorischen Anforderungen anzupassen.“

Eine aktuelle Studie des Sicherheitsabieters Thales belegt, wie stark Compliance und betriebliche Widerstandsfähigkeit zusammenhängen: Demnach erleben 43 Prozent der Unternehmen, die in den vergangenen zwölf Monaten ein Compliance-Audit nicht bestanden haben, mit deutlich höherer Wahrscheinlichkeit einen Security Breach.

Für Joe Hubback, CISO bei der Technologieberatung Elixirr, ist die Zielsetzung klar: „Sicherheitsentscheider müssen risikobewusstes Verhalten und Verantwortlichkeit im gesamten Unternehmen fördern. Dazu sollten sie insbesondere auf eine offene Kommunikation setzen, in deren Rahmen selbstverständlich auch Compliance-Bedenken gemeldet werden.“ (fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.