Viel zu lange haben Führungskräfte die Cybersicherheit durch eine enge Perspektive des Risiko- und Bedrohungsmanagements betrachtet. Der Schwerpunkt lag auf dem Input – Investitionen in die neuesten Tools, Mitarbeitende und Kontrollen, um Angriffe abzuwehren. Diese Kapazitäten sind zwar notwendig, aber bei dieser Denkweise gelingt es nicht, die Cybersicherheitsmaßnahmen mit dem tatsächlichen strategischen Geschäftswert zu verbinden.
Sicherheitsteams verfolgen oft einen taktisch reaktiven Ansatz und jagen jeder neuen Art von Malware oder Angriffen hinterher. Sie verrennen sich in der Installation des neuesten KI-Systems oder der modernsten Firewall. Doch selten treten sie einen Schritt zurück und fragen: „Wie helfen uns diese Maßnahmen beim Erreichen unserer wichtigsten Unternehmensziele?“
Wenn diese grundlegende Frage nicht gestellt wird, haben die Sicherheitsteams zuweilen Schwierigkeiten, ihre Ressourcen zu rechtfertigen, eine langfristige strategische Ausrichtung beizubehalten oder einen einflussreichen Platz am Tisch der Geschäftsleitung zu erhalten. Um die strategische Rolle der Cybersicherheit aufzuwerten, müssen die Sicherheitsverantwortlichen ihren Fokus grundlegend verschieben. Sie müssen positive Ergebnisse, die mit den vorrangigen Geschäftszielen übereinstimmen und diese ermöglichen, definieren und erzielen.
Outcomes beziehen sich auf die greifbaren Resultate, die durch effektive Sicherheit entstehen, wie z. B.:
Geringere finanzielle Verluste durch Angriffe
Schnelleres Erkennen und Reagieren auf Vorfälle
Gesteigertes Vertrauen und Treue der Kundschaft
Höhere Produktivität durch Prävention von Ausfallzeiten
Im Gegensatz dazu sind Inputs Investitionen, die für die Sicherheit des Unternehmens getätigt werden, z. B. Werkzeuge, Technologien, Schulungen und Personal. Inputs sind wichtige Bausteine. Aber Outcomes, also die Ergebnisse, sind das, was mit diesen Investitionen tatsächlich erreicht wird.
Stellen Sie sich den Vergleich zwischen Inputs und Outcomes wie Autofahren vor. Moderne Airbags, Bremsen und Navigationsfunktionen sind wertvolle Inputs. Aber wenn Sie nicht wissen, wohin Sie fahren – wenn Sie Ihr Ziel nicht kennen – sind diese Funktionen nicht viel wert. Sicherheitsteams müssen sich über das Ziel des Unternehmens im Klaren sein. Die Outcomes geben diese Richtung vor.
Der effektivste Ansatz, den ich für die Definition strategischer Outcomes im Bereich der Cybersicherheit gefunden habe, ist die Rückwärtsarbeit. Sie stellen sich zunächst Ihr Endziel vor und bestimmen dann Schritt für Schritt, was geschehen muss, um dieses Ziel zu erreichen.
Stellen Sie sich zum Beispiel vor: Es ist ein Jahr vergangen und Sie möchten, dass Ihr Unternehmen durch Cybervorfälle so wenig wie möglich beeinträchtigt wird. Welche messbaren Outcomes würden Ihnen zeigen, dass Sie dieses Ziel erreicht haben? Dazu könnten gehören:
durchschnittlich 20 % schnellere Reaktion auf Vorfälle
Weniger als zwei Stunden Ausfallzeit durch Cyberangriffe pro Quartal
Null Ransomware-Zahlungen
Auf dieser Grundlage können Sie nun rückwärts arbeiten, um die Kompetenzen und Ressourcen zu verstehen, die zur Erreichung dieser Outcomes erforderlich sind. Welche Tools oder Fähigkeiten würden Reaktionszeit und Ausfallzeiten reduzieren? Welche Zugriffskontrolle und Backups würden Lösegeldzahlungen verhindern?
Der Rückwärtsansatz schafft Klarheit und Fokus. Sie beginnen mit dem Geschäftsziel vor Augen und verzetteln sich nicht in reaktiven Taktiken.
Ein häufiges Problem bei der Rechtfertigung von Cybersicherheitsinvestitionen ist die Verknüpfung mit den relevanten Geschäftszielen. Sicherheitsverantwortliche müssen die Outcomes direkt mit den vorrangigen Unternehmenszielen verknüpfen.
Wenn zu den obersten Zielen beispielsweise die schnelle Expansion in neue Märkte und eine beschleunigte Produktentwicklung gehören, könnten folgende Outcomes relevant sein:
Einführung einer sicheren Online-Plattform für neue Märkte in 9 Monaten
Reduzierung der sicherheitsbedingten Verzögerungen bei der Produktfreigabe um 30 %
Dadurch wird gewährleistet, dass die Sicherheitsmaßnahmen als Motor und nicht als Blockade angesehen werden. Mittel für Fähigkeiten, die wichtige Outcomes unterstützen oder vorantreiben, lassen sich weitaus leichter begründen.
Outcomes müssen auch durch Metriken und KPIs quantifizierbar sein. Anstatt zu sagen: „Wir werden das Risiko reduzieren“, definieren Sie das wie folgt: „Senken Sie unseren gesamten Score für Cyberrisiken innerhalb eines Geschäftsjahres von 78 auf 68“. So können Sie den Fortschritt tatsächlich messen.
Ideal sind Metriken, die technische, finanzielle und geschäftliche Faktoren übergreifend berücksichtigen:
Technisch: Schnellere Erkennung von Bedrohungen, weniger Sicherheitslücken in der Software
Finanziell: Geringere Kosten aufgrund von Verstößen und Zwischenfällen
Geschäftlich: Höhere Umsätze dank des Kundenvertrauens und der Betriebszeit
Durch eine Nutzwertanalyse können Sie die Vorteile in Bereichen wie verbesserte Produktivität, Markenreputation und Compliance weiter quantifizieren.
Sobald klare Outcomes definiert sind, beginnt die eigentliche Arbeit: die richtige Mischung aus Personal, Tools und Technologien, um diese Outcomes in die Tat umzusetzen. Dies erfordert eine enge Verknüpfung der Sicherheitsstrategie mit der Umsetzung in der Praxis.
Neue Technologien wie KI und Automatisierung können eine große Hilfe sein, aber nur, wenn sie gezielt auf bestimmte Outcomes ausgerichtet sind, z. B. auf schnellere Reaktionszeiten oder weniger Sicherheitsverletzungen. Andernfalls werden selbst die fortschrittlichsten Tools zu ungenutzten Budgetfressern.
Manchmal empfiehlt es sich, nicht die angesagteste Cyberfunktionalität zu kaufen, sondern Tools, die zur Ablenkung geworden sind, zu rationalisieren oder zu entfernen. Die Konsolidierung doppelter Anbieter auf eine einheitliche Plattform kann Budget und möglicherweise Bandbreite freisetzen, die zuvor für Integration und Wartung verschwendet wurden.
Das kontinuierliche Tracking von Fortschritten anhand von Metriken liefert wichtiges Feedback für die Verfeinerung von Ansätzen und Investitionen. Wenn bestimmte Funktionen die vorrangigen Outcomes nicht vorantreiben, müssen sie eventuell überdacht oder neu zugewiesen werden. Diese Messung fördert eine agile, dynamische Sicherheitsstrategie.
Der Fokus verbleibt auf der Verwirklichung der definierten Ziele, die einen geschäftlichen Mehrwert schaffen. Mit diesem Stern, der die Entscheidungen lenkt, können Sicherheitsverantwortliche zuversichtlich durch die vor ihnen liegende kurvenreiche Straße navigieren.
Die Verlagerung des Schwerpunkts der Cybersicherheit auf die Ermöglichung von Outcomes anstelle der Beschaffung von Inputs ist entscheidend für die Aufwertung der strategischen Rolle der Cybersicherheit. Die Unternehmensleitung muss die Sicherheitsteams für greifbare Ergebnisse, die die Mission des Unternehmens vorantreiben, in die Pflicht nehmen.
Dieser nach außen gerichtete Fokus auf positive Geschäftsauswirkungen führt auch zu wichtigen internen Partnerschaften zwischen IT, Finanzen, Marketing, Rechtsabteilung und anderen Gruppen. Er fördert die Zusammenarbeit, damit die Outcomes der Sicherheit die Ziele des gesamten Unternehmens verbessern.
Schließlich sorgt die Konzentration auf Outcomes auch in chaotischen Zeiten für Klarheit. Neue Bedrohungen werden entstehen, Investitionen werden mit Risiken verbunden sein. Mit diesen definierten Zielen, die in den Geschäftsanforderungen verwurzelt sind, können Sicherheitsverantwortliche zuversichtlich den vor ihnen liegenden Weg beschreiten.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
John Engates — @jengates
Field CTO, Cloudflare
Folgende Informationen werden in diesem Artikel vermittelt:
Der Unterschied zwischen Outcomes und Inputs in der Cybersicherheit
Der wachsende Bedarf, die Rolle der Sicherheit vom Risikomanagement zum strategischen Treiber des Geschäftswerts zu verschieben