Zwischen Wahrnehmung und Realität liegen oft Welten. Dies trifft auch auf die Rolle der IT-Security-Teams in Unternehmen und deren Leiter zu. Vielerorts werde der Verantwortliche für IT-Sicherheit noch als der Nein-Sager schlechthin wahrgenommen, berichtet Romain Fouchereau, Research Manager bei IDC Europe, während seiner Präsentation zur Eröffnung der IDC Security Conference 2019, die am Dienstag in Zürich diverse Aspekte des Themas Cybersicherheit beleuchtete. Um seinen Punkt zu unterstreichen, zitierte er eingangs die Aussage des Chief Digital Officers einer grösseren europäischen Geschäftsbank, der den IT-Security-Verantwortlichen als «die Person, die ‹Nein› sagt» titulierte.

Auch wenn dieses Image sich hartnäckig hält, ist es doch langsam aber sicher auf dem Rückzug, wie Fouchereau mit neustem Zahlenmaterial aus der aktuellen IDC-Studie zu den «European Security Strategies» zeigen konnte. So sehen derzeit 27 Prozent der befragten Manager das Security-Team als den Blockierer neuer Initiativen. Immerhin: Das sind gemäss der Studie doch etwas weniger als die 31 Prozent der Manager, die vor zwei Jahren dieser Ansicht waren.

Gleichzeitig wird das IT-Security-Team aus Sicht des Management doch zunehmend zum «Enabler», also zum Ermöglicher neuer Vorhaben. Konkret stieg der Anteil von 53 Prozent auf 58 Prozent. Die Wahrnehmung der Security als reiner Kostenfaktor bleibt dagegen fast unverändert bei 15 Prozent, respektive 16 Prozent vor zwei Jahren.

Die Folge: Nach wie vor werde die IT-Security in vielen Firmen (gut 25 Prozent) bei neuen Geschäftsvorhaben gar nicht oder erst sehr spät, sozusagen in letzter Minute, beigezogen, berichtet Fouchereau. Immerhin 40 Prozent der Befragten gaben gemäss der IDC-Umfrage an, dass die IT-Security schon in der Planungasphase einer Neuentwicklung mit von der Partie ist.

Obwohl das Verhältnis zwischen IT-Security-Team und dem Management sich langsam verbessert, bleibt noch viel zu tun. Fouchereau erwähnte in diesem Zusammenhang drei strategische Prioritäten die laut IDC zur Blaupause gehören, mit der CISO (Chief Information Security Officer) den Wert der IT-Sicherheit gegenüber dem Management besser verdeutlichen können.

Zunächst sei es wichtig, dem Management zu vermitteln, dass die IT-Security im Unternehmen rein operationell wie eine gut geölte Maschine läuft, dass also die neusten Techniken und Methoden angewendet werden, um die Sicherheit der Unternehmens-IT zu gewährleisten. Dabei ist ihm zufolge darauf zu achten, dass eine Sprache gewählt wird, welche die Führungsebene auch versteht und somit die formidable operationelle Leistung auch nachvollziehen kann.

Noch wichtiger sei es jedoch, so Fouchereau, dass CISO dem Management erklären könnten, welche Risiken bestünden und wie diese von einer schlagkräftigen IT-Security-Organisation reduziert werden könnten. «Alles dreht sich ums Risiko», zitiert denn der IDC-Analyst in diesem Zusammenhang einen CISO, der betonen wollte, wie er am effizientesten das Gehör des Verwaltungsrats erhalte.

Die Interpretation der Wichtigkeit beruht laut Fouchereau auf Gegenseitigkeit. Denn ein optimiertes Risiko-Management sei auch die wichtigste Leistung, die Firmen von der Security erwarteten. Gemäss der bereits zitierten IDC-Studie verlangen mit 45 Prozent weitaus am meisten der befragten Unternehmen nämlich genau dies von der Security-Abteilung.

Als dritten Punkt auf dem Weg, den Wert der IT-Security gegenüber dem Management besser verdeutlichen zu können, erwähnt Fouchereau in seiner Präsentation den Aufbau von «digitalem Vertrauen». Hintergrund sei die Tatsache, dass fast 90 Prozent der Unternehmen die digitale Transformation als Top-Priorität für ihre Firma sehen. «Diese digitale Transformation benötigt digitales Vertrauen», ist Fouchereau überzeugt. «Und die Security-Abteilung hat hier die einzigartige Möglichkeit, zum Garant für den Erfolg der digitalen Transformation zu werden», schiebt er nach.

Konkret könne digitales Vertrauen aufgebaut werden, indem «Security in jeden Schritt eines Geschäftsvorhabens und auf jeder Ebene der Organisation implementiert» werde. Fouchereau sieht daher, dass dieser «Digital Trust» in Zukunft etwa auch ein Thema auf Verwaltungsratebene sein oder im digitalen Austausch mit Drittfirmen eine wichtigere Rolle einnehmen wird. Schliesslich könne es soweit führen, dass die in der Unternehmens-IT verwendeten Algorithmen von einer unabhängigen dritten Partei inspiziert würden. «Ziel ist es, Security zur Basis des Geschäftserfolgs werden zu lassen», meint Fouchereau zusammenfassend.