In den letzten fünf Jahren hat sich die Diskussion über Cyberrisiken im Vorstandssaal von einem Thema entwickelt, dem widerwillig Zeit eingeräumt wurde, zu einem Thema, das als zentraler Bestandteil der Geschäftsstrategie eines Unternehmens anerkannt wurde. Die Hälfte der CISOs arbeitet heute mindestens vierteljährlich mit dem Vorstand zusammen, drei Viertel mindestens einmal jährlich [IANS/ARTICO 2025]. Die Herausforderung für CISOs im Vorstandssaal hat sich daher von einer Einladung hin zur Verbreitung einer Botschaft verlagert und als wertvoller Mitwirkender wahrgenommen.
Dies ist nicht auf mangelndes Interesse des Vorstands zurückzuführen, sondern auf eine Reihe gemeinsamer struktureller und kommunikativer Herausforderungen, die dem entgegenstehen.
Egal, ob Sie ein CISO sind, der bereits eine Beziehung zu Ihrem Vorstand aufgebaut hat, oder einer, der sich noch auf diesem Weg befindet, die Bewältigung der folgenden Herausforderungen ist unerlässlich, wenn Cybersicherheit vollständig in die Unternehmensführung und -strategie integriert werden soll.
Die Rolle des Vorstands verstehen
Die erste Hürde für Cybersicherheitsexperten besteht darin, ein klares Verständnis der Rolle des Vorstands zu entwickeln. Direktoren sind strategische Aufseher, die für die Wahrung der langfristigen Interessen des Unternehmens verantwortlich sind. Ihr Hauptaugenmerk liegt darauf, das Umsatzwachstum voranzutreiben, die Rentabilität zu steigern und gleichzeitig die Widerstandsfähigkeit des Unternehmens zu gewährleisten. (Quelle) Sorgfältige Umfrage „Was Direktoren denken“ 2025)
Das heißt, obwohl der Vorstand anerkennt, dass Cybersicherheit wichtig ist, muss er dieses Thema gegen alles andere abwägen, was in und um das Unternehmen herum passiert.
Für CISOs erfordert dies einen Übergang von einer taktischen oder operativen Denkweise, die sich auf Bedrohungsanalysen und technische Probleme konzentriert, zu einer strategischen Denkweise, bei der Cyberrisiken im Hinblick auf geschäftliche Auswirkungen, finanzielle Kosten, Effizienz und Chancen sowie Wettbewerbsvorteile bewertet werden.
Um effektiv zu kommunizieren, müssen Cybersicherheitsverantwortliche ihre Erkenntnisse mit den umfassenderen Geschäftszielen verknüpfen, die für den Vorstand wichtig sind. Anstatt sich mit technischen Details, Listen von Sicherheitslücken oder der Anzahl von Phishing-E-Mails zu beschäftigen, sollten sie hervorheben, wie Cyberaktivitäten Produktinnovationen und eine schnellere Markteinführung ermöglichen, die Kundenreise erleichtern und das Kundenvertrauen schützen oder neue Märkte erschließen.
Wie kann ein CISO also diese umfassenderen Geschäftsziele besser verstehen?
So machen Sie Ihre Vorstandsberichterstattung relevant
CISOs müssen sich die Zeit nehmen, um zu verstehen, wie das Unternehmen Umsatz generiert, was seine aktuellen Prioritäten sind und wie sich dies auf die Sicherheitsstrategie auswirkt. Ob es sich um eine neue Produkteinführung, einen M&A-Deal oder die Expansion in neue Märkte handelt, jedes dieser strategischen Themen wird für den Vorstand von Interesse sein und nützliche Kontaktpunkte sein, um die Relevanz von Sicherheit herauszustellen.
Regelmäßiges Engagement und der Aufbau von Beziehungen zu anderen Führungskräften außerhalb der IT sind unerlässlich, um diese funktionsübergreifende Perspektive zu gewinnen. Außerdem hilft es dabei, Verbündete zu finden, die Sicherheitsnachrichten unterstützen können.
Zum Beispiel könnte der Chief Revenue Officer erklären, wie Kunden und Vertriebsleiter während eines Verkaufsprozesses detaillierte Sicherheitsfragen stellen, und effiziente Antworten hier können den Verkauf beschleunigen. Eine andere Perspektive, wenn Sie darum bitten, die Antworten zur Einhaltung der Vorschriften zu verbessern.
Wenn die Cybersicherheitsberichterstattung mit den Bedenken des Vorstands übereinstimmt und die Cybersituation als eine wichtige Voraussetzung (oder Bedrohung) für die Unternehmensleistung betrachtet, wird sie deutlich wirkungsvoller.
Eine Nachricht in kurzer Zeit landen lassen
Zeitknappheit stellt eine dritte, praktische Herausforderung dar. Die Vorstandssitzungen stehen unter engen Tagesordnungen und behandeln eine Vielzahl von Themen, sodass Cybersicherheit oft nur wenige Minuten zur Verfügung stehen. Diese Kürze erfordert Klarheit und Präzision.
Führungskräfte im Bereich Cybersicherheit müssen ihre Botschaft in aussagekräftige Erkenntnisse umwandeln und der Versuchung widerstehen, zu viel zu erklären.
Viele Vorstandsmitglieder sind offen für Briefings und Gespräche außerhalb formeller Treffen, bei denen Themen eingehender erörtert werden können. Der Aufbau einer Beziehung zu den Vorstandsmitgliedern, die Möglichkeit, Fragen zu Cyberthemen in den Nachrichten zu beantworten, oder die Teilnahme an anderen Aktivitäten wie Risiko- oder Prüfungsausschüssen kann dazu beitragen, die nötige Tiefe zu vermitteln, ohne die Hauptversammlung selbst zu überfordern.
Stellen Sie sicher, dass Ihre Botschaft verstanden wird
Schließlich ist da noch das Problem der technischen Kompetenz. Nur rund die Hälfte der Gremien hat ein Mitglied mit Technologie- oder Cyberexpertise, und Cyber- und Datensicherheit wird durchweg als das am schwierigsten zu überwachende Thema eingestuft.
Dies kann zu Fehlinterpretationen oder Unterschätzungen bestimmter Risiken führen. Es wäre jedoch ein Fehler, dies als Hindernis zu betrachten. Obwohl es sich nicht um Technologieexperten handelt, ist das Fachwissen im Risikomanagement im Sitzungssaal oft gut vertreten. CISOs sollten technischen Jargon vermeiden und sich stattdessen auf Analogien und Beispiele konzentrieren, die Bedrohungen in Geschäftsszenarien umsetzen.
Im Laufe der Zeit wird dies nicht nur das Verständnis des Vorstands in Bezug auf Cyberrisiken verbessern, sondern auch sein Vertrauen in den CISO als strategischen Berater stärken.
Letzte Worte
Zusammenfassend lässt sich sagen, dass ein erfolgreiches Engagement im Vorstand mehr als nur Fachkenntnisse erfordert. Es erfordert Anpassungsfähigkeit, Empathie und ein tiefes Verständnis des Führungskontextes. Cybersicherheitsexperten, die sich diesen Kommunikationsherausforderungen stellen, werden nicht nur ihren eigenen Einfluss erhöhen, sondern auch dazu beitragen, eine widerstandsfähigere und zukunftsorientiertere Organisation zu gestalten.
