Die grösste Herausforderung für CISOs ist nicht das Sammeln von Sicherheitsdaten, sondern deren Übersetzung in eine Sprache, die der Vorstand versteht und für strategische Entscheidungen nutzen kann.
- Verzichten Sie auf Eitelkeits-Metriken wie „abgewehrte Viren“ und fokussieren Sie stattdessen auf quantifizierbare Geschäftsrisiken in CHF.
- Differenzieren Sie klar zwischen operativen Dashboards für das SOC und strategischen Trendanalysen für das Management.
Empfehlung: Behandeln Sie Ihr Dashboard als Übersetzungsinstrument, nicht als Datengrab. Richten Sie jede einzelne Kennzahl konsequent auf die Entscheidungsrelevanz für das Business aus.
Als CISO oder Sicherheitsmanager kennen Sie das Problem: Ihre Systeme generieren ein unaufhörliches Rauschen an Daten. Firewalls blockieren Bedrohungen, Scanner finden Schwachstellen und Endgeräte melden verdächtige Aktivitäten. Sie haben alle Informationen, die Sie brauchen, doch wenn Sie diese dem CEO oder dem Verwaltungsrat präsentieren, ernten Sie leere Blicke. Diagramme voller technischer KPIs und Listen mit Hunderten von Alerts verfehlen ihr Ziel, weil sie die entscheidende Frage nicht beantworten: „Was bedeutet das für unser Geschäft?“
Die gängige Antwort darauf ist oft, noch mehr Daten zu sammeln oder die Visualisierungen bunter zu gestalten. Man investiert in teure Tools, die beeindruckende, aber letztlich unverständliche Live-Ticker an die Wand projizieren. Doch was, wenn der Schlüssel nicht in der Menge der Daten liegt, sondern in deren radikaler Reduktion und kontextbezogener Übersetzung? Was, wenn das perfekte CEO-Dashboard weniger ein technisches Instrument und vielmehr ein strategisches Kommunikationswerkzeug ist?
Dieser Artikel bricht mit der traditionellen Sicht auf Security-Dashboards. Wir zeigen Ihnen, wie Sie den Fokus von operativen Details auf strategische Relevanz verlagern. Sie lernen, technische Metriken in handfeste Geschäftsrisiken zu übersetzen und eine Reporting-Kultur zu etablieren, die Sicherheit als integralen Bestandteil der Unternehmensstrategie verankert – eine Anforderung, die im Schweizer Kontext durch neue Regulierungen wie die Meldepflicht für Cyberangriffe immer wichtiger wird.
Der folgende Leitfaden bietet Ihnen eine klare Struktur, um von überladenen Datengräbern zu aussagekräftigen, auf das Management zugeschnittenen Entscheidungsgrundlagen zu gelangen. Wir beleuchten, welche Metriken wirklich zählen, wie Sie Daten aus unterschiedlichen Quellen zusammenführen und wie Sie Sicherheit fest in der Strategie Ihres Unternehmens verankern.
Inhaltsverzeichnis: Vom Datenrauschen zur strategischen Klarheit
- Warum „Anzahl abgewehrter Viren“ eine Eitelkeits-Metrik ist und nichts über echte Sicherheit sagt?
- Trendanalyse oder Live-Ticker: Welche Daten brauchen Sie wirklich auf dem grossen Screen?
- Wie bringen Sie Daten aus der Türsteuerung und der Firewall auf eine gemeinsame Oberfläche?
- Das Risiko, wenn zu viele Mitarbeiter sehen, wo die Sicherheitslücken klaffen
- Wann löst eine rote Ampel im Dashboard automatisch einen Prozess aus?
- Wie übersetzen Sie technische KPIs in Risiken, die ein Verwaltungsrat versteht?
- Warum Schwachstellen-Scanner allein Ihnen eine falsche Sicherheit vorgaukeln?
- Wie verankern Sie IT-Sicherheit in der Unternehmensstrategie, statt sie an die IT zu delegieren?
Warum „Anzahl abgewehrter Viren“ eine Eitelkeits-Metrik ist und nichts über echte Sicherheit sagt?
Eine der häufigsten und zugleich irreführendsten Kennzahlen in Sicherheitsberichten ist die Anzahl der blockierten Viren oder abgewehrten Angriffe. Diese Zahlen wirken auf den ersten Blick beeindruckend, sind aber klassische Eitelkeits-Metriken (Vanity Metrics). Sie suggerieren Aktivität, sagen aber absolut nichts über die tatsächliche Sicherheitslage oder die Reduzierung des Geschäftsrisikos aus. Eine hohe Zahl kann sogar auf eine schlecht konfigurierte vorgelagerte Abwehr hindeuten und lenkt von den wirklich kritischen Bedrohungen ab – jenen, die es schaffen, die ersten Verteidigungslinien zu durchbrechen.
Echte Sicherheit misst sich nicht an der Menge des abgewehrten „Lärms“, sondern an der Fähigkeit, gezielte und hochentwickelte Angriffe zu erkennen und zu neutralisieren. Es geht um die Qualität der Abwehr, nicht um die Quantität. Die entscheidende Frage ist nicht „Wie viele Angriffe haben wir gestoppt?“, sondern „Welche kritischen Schwachstellen haben wir proaktiv geschlossen, bevor sie ausgenutzt werden konnten?“. Der Fokus muss auf der Verbesserung der Widerstandsfähigkeit (Resilienz) und der Reduzierung der Angriffsfläche liegen.
Ein konkretes Beispiel aus der Schweiz illustriert diesen Unterschied perfekt: Im Rahmen von Bug-Bounty-Programmen werden ethische Hacker dafür bezahlt, echte, bisher unentdeckte Sicherheitslücken zu finden. Diese Programme liefern messbare Ergebnisse, die die Sicherheit direkt verbessern.
Fallbeispiel: Bug-Bounty-Programme in der Schweiz
Im Jahr 2024 wurden im Rahmen der Bug-Bounty-Programme des Bundes insgesamt 371 Schwachstellen gemeldet, von denen 239 validiert wurden. Für diese echten Funde, die von automatisierten Systemen oft übersehen werden, wurden Prämien in Höhe von 250’000 Franken ausbezahlt. Diese Zahl repräsentiert eine konkrete Risikominderung, im Gegensatz zur abstrakten Zahl blockierter Malware.
Anstatt sich auf Eitelkeits-Metriken zu konzentrieren, sollten sich CISOs auf Kennzahlen fokussieren, die den Reifegrad des Sicherheitsprogramms und dessen Beitrag zum Geschäftserfolg widerspiegeln. Dazu gehören beispielsweise die Zeit zur Erkennung und Behebung von Vorfällen (MTTD/MTTR), der Prozentsatz kritischer Systeme mit aktuellem Patch-Status oder die quantifizierte finanzielle Risikoexposition in CHF.
Trendanalyse oder Live-Ticker: Welche Daten brauchen Sie wirklich auf dem grossen Screen?
Ein weit verbreiteter Irrglaube ist, dass ein Management-Dashboard eine Echtzeit-Ansicht aller Sicherheitsereignisse bieten muss. Ein Live-Ticker mit blinkenden Alarmen mag technisch beeindruckend sein, ist für einen CEO oder Verwaltungsrat jedoch pures Rauschen. Die Führungsebene benötigt keine operativen Details, sondern strategische Entscheidungsgrundlagen. Ihre Aufgabe ist die Übersetzungsleistung: die Transformation von granularen Echtzeitdaten in verständliche, langfristige Trends.
Die Bedürfnisse eines Security-Analysten im Security Operations Center (SOC) und die eines Vorstandsmitglieds sind fundamental verschieden. Ein Analyst muss sofort auf einen spezifischen Alarm reagieren, während ein CEO verstehen muss, ob die Sicherheitsinvestitionen die Risikoexposition des Unternehmens über das letzte Quartal gesenkt haben. Ein effektives Reporting berücksichtigt diese Metriken-Hierarchie und stellt für jede Zielgruppe ein massgeschneidertes Dashboard bereit.
Der Zeitdruck auf Führungsebene unterstreicht diese Notwendigkeit. Wie ein Experte treffend bemerkt, ist das Zeitfenster für die Aufnahme von Informationen extrem kurz:
Präsidenten und Vorstandsmitglieder verbringen in der Regel 2–5 Minuten mit der Überprüfung von Sicherheits-Dashboards. In diesem kurzen Fenster müssen sie die allgemeine Sicherheitslage verstehen und Bereiche identifizieren, die Aufmerksamkeit erfordern.
– Fabien Soulis, The Executive Security Dashboard (Medium)
Für den „grossen Screen“ im Sitzungszimmer eignen sich daher keine Live-Daten, sondern aggregierte Trendanalysen. Zeigen Sie die Entwicklung der quantifizierten Risiken, den Fortschritt bei der Umsetzung strategischer Sicherheitsinitiativen oder Benchmarks im Vergleich zur Branche. Operative Details gehören in das SOC-Dashboard.
Die folgende Tabelle verdeutlicht die unterschiedlichen Anforderungen an ein CEO- und ein SOC-Dashboard und hilft Ihnen bei der klaren Abgrenzung.
| Aspekt | CEO-Dashboard | SOC-Dashboard |
|---|---|---|
| Zeitfokus | Trendanalyse (Quartale) | Live-Ticker (Echtzeit) |
| Metriken | Business Impact in CHF | Technische Alerts |
| Visualisierung | High-Level Trends | Granulare Details |
| Aktualisierung | Wöchentlich/Monatlich | Kontinuierlich |
| Zielgruppe | Verwaltungsrat | Security Analysten |
Wie bringen Sie Daten aus der Türsteuerung und der Firewall auf eine gemeinsame Oberfläche?
Moderne Sicherheit ist nicht länger in die Silos „physische Sicherheit“ und „IT-Sicherheit“ getrennt. Ein unbefugter Zutrittsversuch zu einem Serverraum um 3 Uhr morgens ist genauso ein sicherheitsrelevantes Ereignis wie ein Brute-Force-Angriff auf den Login-Server aus dem Internet. Die wahre Stärke eines Sicherheitsprogramms liegt in der Fähigkeit, diese scheinbar getrennten Datenpunkte zu korrelieren. Das Ziel ist die Konvergenz: eine einheitliche Sicht auf alle Sicherheitsereignisse, egal ob digital oder physisch.
Die technische Herausforderung besteht darin, Daten aus heterogenen Systemen zu aggregieren. Dies umfasst Zutrittskontrollsysteme, Videoüberwachung, Brandmeldeanlagen, Firewalls, Intrusion-Detection-Systeme und viele mehr. Der Schlüssel liegt in der Etablierung einer zentralen Plattform – oft ein Security Information and Event Management (SIEM)-System –, die als „Single Source of Truth“ fungiert. Über APIs und standardisierte Protokolle werden die Daten eingespeist, normalisiert und für die Korrelation aufbereitet.
Wie dieses Bild symbolisiert, entsteht durch die Verschmelzung von physischer und digitaler Überwachung ein ganzheitliches Schutzkonzept. Erst durch die Korrelation der Daten können komplexe Angriffsmuster erkannt werden. Ein Beispiel: Ein Alarm der Türsteuerung am Standort Genf, kombiniert mit einem gleichzeitigen Login-Versuch auf sensible Daten aus demselben Netzwerksegment, ist ungleich kritischer als jedes der beiden Ereignisse für sich allein. Auf nationaler Ebene wird dieser Ansatz in der Schweiz bereits erfolgreich praktiziert, um die Cyberresilienz kritischer Infrastrukturen zu stärken.
Fallbeispiel: Cyber Security Hub der Schweiz
Durch den Aufbau des Cyber Security Hubs (CSH) im Bundesamt für Cybersicherheit (BACS) wurde der Informationsaustausch über Cyberbedrohungen stark ausgebaut. Das CSH, das 2024 bereits 1100 Unternehmen umfasste, ermöglicht über Analyseplattformen den Austausch zwischen verschiedenen Branchen und kritischen Infrastrukturen. Dies zeigt den strategischen Wert der Zusammenführung diverser Sicherheitsdatenquellen für ein umfassendes Lagebild.
Für Ihr Unternehmen bedeutet dies: Beginnen Sie damit, die wichtigsten physischen und digitalen Datenquellen zu identifizieren. Definieren Sie Korrelationsregeln, die für Ihr Geschäft von Bedeutung sind, und stellen Sie sicher, dass Ihr Dashboard diese kombinierten Bedrohungen visualisieren kann. Nur so erhalten Sie ein wirklich umfassendes Risikobild.
Das Risiko, wenn zu viele Mitarbeiter sehen, wo die Sicherheitslücken klaffen
Ein Sicherheits-Dashboard ist ein mächtiges Werkzeug, aber auch eine potenziell gefährliche Informationsquelle. Die detaillierte Auflistung von Schwachstellen, fehlenden Patches oder fehlgeschlagenen Kontrollen ist für das Sicherheitsteam überlebenswichtig, in den falschen Händen jedoch ein „Wegweiser“ für potenzielle Angreifer. Das Prinzip des „Need-to-know“ ist hier von entscheidender Bedeutung. Nicht jeder im Unternehmen muss wissen, wo die Kronjuwelen unzureichend geschützt sind. Die Kommunikation von Sicherheitsmetriken ist eine Gratwanderung zwischen Transparenz und Vertraulichkeit.
Die Herausforderung der zielgruppengerechten Kommunikation wird durch Studien untermauert: Nur 23% der Unternehmen berichten, dass ihre Metriken von Top-Executives verstanden werden. Dies zeigt, dass oft die falschen Informationen an die falsche Zielgruppe kommuniziert werden. Eine Flut an technischen Details für den Vorstand ist ebenso ineffektiv wie die Offenlegung kritischer Schwachstellen gegenüber der gesamten Belegschaft.
Die Lösung liegt in einem stringenten, rollenbasierten Zugriffskonzept (RBAC) für Ihre Dashboards. Jeder Mitarbeiter, vom CEO bis zum IT-Administrator, sieht nur die Informationen, die für seine Rolle relevant und notwendig sind. Der CEO sieht das aggregierte Geschäftsrisiko in CHF, der Abteilungsleiter die Risiken seiner spezifischen Abteilung und der Systemadministrator die technischen Details der von ihm betreuten Server. Sensible Informationen, wie die genaue Beschreibung einer kritischen Schwachstelle, bleiben dem engsten Kreis des Sicherheitsteams vorbehalten.
Die folgende Tabelle skizziert ein Beispiel für eine solche rollenbasierte Aufteilung der Sichtbarkeit von Kennzahlen in einem Dashboard-System.
| Rolle | Sichtbare Metriken | Verborgene Details |
|---|---|---|
| CEO/Verwaltungsrat | Risiko in CHF, Compliance-Status | Technische Schwachstellen |
| CISO | Alle Sicherheitsmetriken | – |
| Abteilungsleiter | Eigene Abteilungsrisiken | Andere Abteilungen |
| IT-Mitarbeiter | Technische KPIs ihrer Systeme | Finanzielle Auswirkungen |
| Allgemeine Mitarbeiter | Security Awareness Score | Spezifische Schwachstellen |
Wann löst eine rote Ampel im Dashboard automatisch einen Prozess aus?
Ein modernes Security-Dashboard ist mehr als nur ein passives Anzeigegerät. Seine wahre Kraft entfaltet es, wenn es zum Auslöser für automatisierte Aktionen wird. Eine „rote Ampel“ – also das Überschreiten eines kritischen Schwellenwerts – sollte nicht nur eine manuelle Reaktion erfordern, sondern idealerweise einen vordefinierten, automatisierten Prozess anstossen. Dies ist das Kernprinzip von Security Orchestration, Automation and Response (SOAR)-Plattformen.
Die Automatisierung verwandelt das Dashboard von einem reinen Informations- in ein aktives Steuerungsinstrument. Anstatt dass ein Analyst eine kritische Warnung sieht und dann manuell ein Ticket erstellt, einen Host isoliert oder einen Benutzer sperrt, löst das Dashboard diesen Workflow automatisch aus. Dies reduziert die Reaktionszeit (Mean Time to Respond, MTTR) drastisch, minimiert menschliche Fehler und entlastet das Sicherheitsteam von repetitiven Aufgaben, sodass es sich auf die Analyse komplexer Vorfälle konzentrieren kann.
Wie die Präzision eines Schweizer Uhrwerks, das nahtlos in digitale Prozesse übergeht, sorgt Automatisierung für eine schnelle und zuverlässige Reaktion. Im Schweizer Kontext gewinnt diese Fähigkeit durch neue gesetzliche Anforderungen zusätzlich an Bedeutung. Die Einhaltung von Fristen bei Sicherheitsvorfällen wird zur rechtlichen Notwendigkeit.
Fallbeispiel: Automatisierung und die Meldepflicht in der Schweiz
Ein entscheidender Treiber für die Automatisierung ist die Einführung einer Meldepflicht für Cyberangriffe auf kritische Infrastrukturen in der Schweiz. Diese trat am 1. April 2025 in Kraft. Betroffene Unternehmen sind gesetzlich verpflichtet, Angriffe innerhalb einer bestimmten Frist an das Nationale Zentrum für Cybersicherheit (NCSC) zu melden. Ein Dashboard, das einen meldepflichtigen Vorfall erkennt und automatisch den Meldeprozess inklusive Beweissicherung und Benachrichtigung der Rechtsabteilung anstösst, wird vom „Nice-to-have“ zum unverzichtbaren Compliance-Werkzeug.
Definieren Sie für Ihre kritischsten Metriken klare Schwellenwerte und die dazugehörigen automatisierten Reaktionspläne (Playbooks). Eine rote Ampel im Dashboard muss immer eine klar definierte Konsequenz haben – sei es die automatische Isolierung eines Systems, die Erstellung eines Prio-1-Tickets oder die Einberufung des Krisenstabs.
Das Wichtigste in Kürze
- Fokus auf Geschäftsrisiko: Übersetzen Sie technische Daten in quantifizierbare Risiken (in CHF), anstatt operative Aktivitäten zu zählen.
- Zielgruppengerechte Darstellung: Ein CEO benötigt strategische Trendanalysen, kein operatives Echtzeit-Dashboard wie das SOC.
- Sicherheit als strategische Aufgabe: Verankern Sie Sicherheits-KPIs in der Unternehmensstrategie und erfüllen Sie rechtliche Anforderungen wie die Schweizer Meldepflicht proaktiv.
Wie übersetzen Sie technische KPIs in Risiken, die ein Verwaltungsrat versteht?
Die effektivste Methode, die Aufmerksamkeit der Geschäftsleitung zu gewinnen, ist, in ihrer Sprache zu sprechen: der Sprache des Geldes und des Risikos. Technische KPIs wie „Anzahl der Patches“ oder „Firewall-Regeln“ sind für einen Verwaltungsrat bedeutungslos. Die entscheidende Aufgabe des CISO ist die Übersetzungsleistung – die Umwandlung dieser technischen Metriken in quantifizierbare Geschäftsrisiken, ausgedrückt in Schweizer Franken. Erst dann wird Sicherheit von einer reinen Kostenstelle zu einer strategischen Investition in die Widerstandsfähigkeit des Unternehmens.
Ein bewährtes Modell für diese Übersetzung ist die FAIR-Methode (Factor Analysis of Information Risk). Sie bietet einen strukturierten Ansatz, um die wahrscheinliche Häufigkeit und die wahrscheinliche Schadenshöhe eines Cybervorfalls zu modellieren und so ein finanzielles Risiko zu berechnen. Anstatt zu sagen „Wir haben 500 kritische Schwachstellen“, lautet die managementtaugliche Aussage: „Basierend auf unserem aktuellen Patch-Status haben wir eine quantifizierte jährliche Risikoexposition von 1,2 Millionen CHF durch potenzielle Ransomware-Angriffe.“ Diese Aussage ist greifbar, vergleichbar und bildet eine solide Grundlage für Investitionsentscheidungen.
Neben der reinen Risikoquantifizierung ist der Kontext entscheidend. Benchmarking mit anderen Unternehmen in der Schweiz oder Ihrer Branche hilft, die eigene Leistung einzuordnen. Zeigen Sie auf, wie sich Ihre Sicherheitslage im Vergleich zum Branchendurchschnitt entwickelt. Visualisieren Sie Trends über Zeit, um den Erfolg von Sicherheitsmassnahmen nachzuweisen, anstatt nur eine Momentaufnahme zu präsentieren.
Plan d’action : Framework zur Übersetzung technischer Metriken in Geschäftsrisiken
- Cybersecurity ROI berechnen: Stellen Sie die vermiedenen Verluste (z.B. durch verhinderte Ausfälle) den Sicherheitsinvestitionen gegenüber, um den Return on Investment nachzuweisen.
- Risiken in CHF ausdrücken: Nutzen Sie standardisierte Methoden wie FAIR, um technische Schwachstellen in eine klare finanzielle Risikoexposition zu übersetzen.
- Benchmarking mit Peers: Vergleichen Sie Ihre wichtigsten Sicherheitskennzahlen (z.B. Zeit zur Behebung) mit dem Branchendurchschnitt in der Schweiz, um die eigene Position objektiv zu bewerten.
- Business-Impact-Kategorien nutzen: Gliedern Sie Risiken nach ihren Auswirkungen auf das Geschäft: Reputationsrisiko, regulatorisches Risiko (z.B. Bussen nach DSG) und operatives Risiko (z.B. Produktionsausfall).
- Trend-Visualisierung: Zeigen Sie die Entwicklung der wichtigsten Risiko-KPIs über die letzten Quartale, um den Fortschritt und die Wirksamkeit Ihrer Strategie zu belegen.
Checkliste: Ihr 5-Schritte-Audit zur Management-Tauglichkeit Ihrer Metriken
- Relevanz prüfen: Gehen Sie jede einzelne Metrik auf Ihrem aktuellen Dashboard durch und fragen Sie: „Welche konkrete Geschäftsentscheidung kann der CEO auf Basis dieser Zahl treffen?“ Wenn die Antwort „keine“ ist, streichen Sie die Metrik.
- Übersetzung durchführen: Nehmen Sie eine rein technische Metrik (z.B. „Anzahl offener Ports“) und formulieren Sie diese in ein Geschäftsrisiko um (z.B. „Erhöhte Angriffsfläche für unautorisierten Datenzugriff“).
- Kontext herstellen: Konfrontieren Sie eine Ihrer Kennzahlen (z.B. „Patching-Geschwindigkeit“) mit einem Branchen-Benchmark oder einer gesetzlichen Anforderung (z.B. der Schweizer Meldepflicht).
- Finanziell quantifizieren: Versuchen Sie, für einen Ihrer Top-3-Risiken eine grobe finanzielle Schätzung nach der FAIR-Methode (Häufigkeit x Schadenshöhe) vorzunehmen.
- Szenario formulieren: Erstellen Sie eine einzige Folie, die ein plausibles Angriffsszenario (z.B. Ransomware) mit den potenziellen operativen und finanziellen Folgen für das Unternehmen beschreibt.
Warum Schwachstellen-Scanner allein Ihnen eine falsche Sicherheit vorgaukeln?
Schwachstellen-Scanner sind ein unverzichtbarer Bestandteil jedes Sicherheitsprogramms. Sie durchsuchen Netzwerke und Systeme automatisiert nach bekannten Sicherheitslücken (CVEs) und erstellen Berichte, die oft direkt in Dashboards einfliessen. Sich jedoch allein auf diese Tools zu verlassen, erzeugt eine trügerische Sicherheit. Scanner haben signifikante blinde Flecken und können die tatsächliche Risikoexposition eines Unternehmens nur unzureichend abbilden. Sie liefern eine Liste von Problemen, aber selten den notwendigen Kontext für eine korrekte Priorisierung.
Das erste Problem ist die schiere Menge an neuen Schwachstellen. Mit durchschnittlich 150 neu veröffentlichten CVEs pro Tag ist es unmöglich, alles sofort zu beheben. Ein Scanner, der tausende „kritische“ Lücken meldet, ohne zu bewerten, welche davon in der spezifischen Umgebung des Unternehmens tatsächlich ausnutzbar sind, erzeugt mehr Lärm als Klarheit. Ohne den Business-Kontext – also welche Systeme die Kronjuwelen des Unternehmens schützen – ist eine effektive Priorisierung unmöglich.
Das zweite, noch gravierendere Problem ist, dass Scanner nur bekannte Schwachstellen und Fehlkonfigurationen finden. Sie sind blind für Zero-Day-Lücken, logische Fehler in Anwendungen oder komplexe Angriffsketten, die menschliche Kreativität erfordern. Die effektivsten Angreifer nutzen oft nicht eine einzelne, per Scanner auffindbare Lücke, sondern eine Kombination aus mehreren, scheinbar unkritischen Schwachstellen. Genau hier zeigen manuelle Tests wie Penetration-Tests oder Bug-Bounty-Programme ihre Stärke, indem sie Schwachstellen aufdecken, die automatisierte Tools systematisch übersehen.
Ein ganzheitlicher Ansatz zur Sicherheitsbewertung kombiniert daher automatisierte Scans mit manueller Überprüfung. Attack Surface Management, Phishing-Simulationen zur Bewertung des „Faktors Mensch“ und die Überprüfung der Sicherheit in der Lieferkette (Third-Party Risk) sind ebenso wichtige Puzzleteile für ein realistisches Risikobild. Ein Dashboard, das nur die Ergebnisse eines Schwachstellen-Scanners anzeigt, lügt durch Auslassung.
Wie verankern Sie IT-Sicherheit in der Unternehmensstrategie, statt sie an die IT zu delegieren?
Der grösste strategische Fehler, den ein Unternehmen machen kann, ist, Cybersicherheit als reines IT-Problem zu betrachten und an die IT-Abteilung zu delegieren. In einer digitalisierten Welt ist Sicherheit eine Grundvoraussetzung für den Geschäftserfolg und muss fest in der Unternehmensstrategie verankert sein. Sie ist kein Kostenfaktor, sondern ein Enabler für Innovation, Kundenvertrauen und operative Stabilität. Die Verantwortung dafür liegt letztlich beim Verwaltungsrat und der Geschäftsleitung, nicht beim IT-Administrator.
Diese Erkenntnis setzt sich zunehmend auf höchster Ebene durch. Eine Gartner-Analyse zeigt, dass über 40% der Verwaltungsräte mittlerweile ein Mitglied mit ausgewiesener Cyber-Expertise haben. Der Verwaltungsrat erkennt, dass Sicherheitsmetriken entscheidend sind, um die Leistung des Programms mit dem Geschäftswachstum und der Strategie in Einklang zu bringen. Ein effektives Dashboard ist das wichtigste Instrument, um diesen Dialog zu führen und Sicherheit als Business-Thema zu etablieren.
Die Verankerung in der Strategie bedeutet, Sicherheitsziele direkt aus den Geschäftszielen abzuleiten. Wenn das Unternehmen plant, in einen neuen digitalen Markt zu expandieren, muss die Sicherheitsstrategie die damit verbundenen Risiken proaktiv adressieren. Wenn die Marke auf Vertrauen und Zuverlässigkeit basiert, ist ein nachweisbar hohes Sicherheitsniveau ein entscheidender Wettbewerbsvorteil. In der Schweiz wird dieser ganzheitliche Ansatz auch auf nationaler Ebene verfolgt.
Fallbeispiel: Nationale Cyberstrategie (NCS) der Schweiz
Mit der Nationalen Cyberstrategie (NCS) verfolgt der Bund einen ganzheitlichen Ansatz, um die Cyberresilienz der Schweiz zu stärken. Im Zentrum stehen strategische Ziele wie die Sicherheit kritischer Infrastrukturen, die Abwehr von Angriffen und die Bekämpfung von Cyberkriminalität. Unternehmen, die ihre eigene Sicherheitsstrategie an diesen nationalen Zielen ausrichten, positionieren sich nicht nur als verantwortungsbewusste Akteure, sondern profitieren auch vom Informationsaustausch und den Schutzmechanismen, die der Bund bereitstellt.
Ihr Dashboard wird so zum strategischen Steuerungsinstrument. Es zeigt nicht nur, ob die IT ihre Arbeit macht, sondern ob das Unternehmen auf Kurs ist, seine strategischen Ziele sicher zu erreichen. Es ermöglicht einen Dialog auf Augenhöhe, bei dem der CISO nicht als technischer Bedenkenträger, sondern als strategischer Partner der Geschäftsleitung agiert.
Um diese Prinzipien erfolgreich in die Praxis umzusetzen, müssen Sie den Wandel von einem reinen Datenlieferanten zu einem strategischen Berater vollziehen. Bewerten Sie Ihre aktuellen Reporting-Prozesse kritisch und richten Sie sie konsequent auf die Bedürfnisse der Geschäftsleitung aus. Nur so wird Sicherheit zu dem, was sie sein sollte: ein integraler Bestandteil des unternehmerischen Erfolgs.