Zusammenfassung
- CEOs benötigen mehr Kontext für Cybersicherheits-Briefings. Sie brauchen Entscheidungsklarheit zur Exposition – das „Warum ist das wichtig?“ hinter den Kennzahlen.
- Effektive Cyberkommunikation übersetzt technische Kennzahlen in geschäftliche Auswirkungen: Umsatz, Reputation und regulatorisches Risikomanagement.
- Risk-Appetite-Frameworks funktionieren nur, wenn sie konsequent angewendet und nicht nur dokumentiert werden.
Die meisten CEOs können ihre vierteljährlichen Benchmarks und Umsätze bis auf die Nachkommastelle nennen. Fragt man sie jedoch nach der Cyberrisiko-Exposition ihres Unternehmens, werden die Antworten ungenauer. Das liegt nicht daran, dass CEOs heute Sicherheit nicht wichtig finden – Cybersicherheit zählt zu den wichtigsten Anliegen von Aufsichtsgremien und Führungsteams. Das Problem liegt tiefer: ein grundlegender Bruch in der Art und Weise, wie Sicherheitsrisiken Führungskräften erläutert werden, bei dem die Auswirkungen auf Geschäftsergebnisse außer Acht bleiben.
Mangelnde Kompetenz ist nicht die Ursache der meisten Kommunikationsprobleme zwischen CISOs und CEOs. Sie entstehen aus einem bekannten Problem: dem Fluch des Wissens. Der Fluch des Wissens ist eine häufige Herausforderung, bei der Fachleute – in diesem Fall Sicherheitsverantwortliche – möglicherweise davon ausgehen, dass alle im Raum ein grundlegendes Verständnis technischer Informationen und Begriffe haben. Deshalb versäumen sie es, komplexe Risiken in verständlicher Sprache aufzuschlüsseln und anhand eines realen Kontexts zu erläutern.
Der 2026 State of Cybersecurity Report von Ivanti unterstreicht diese Diskrepanz. Fast sechs von zehn Sicherheitsexperten geben an, dass ihre Teams nur mäßig effektiv darin sind, die Risikoexposition gegenüber der Unternehmensführung zu kommunizieren.
Wenn CEOs und CISOs nicht dieselbe Sprache sprechen, können kritische geschäftliche Schwachstellen hinter technischem Fachjargon verborgen bleiben. Wenn die Kommunikation scheitert, verschwenden Unternehmen Zeit und Geld für fehlgeleitete Investitionen, während Schutzlücken unbemerkt bleiben, bis ein Sicherheitsvorfall die Diskussion erzwingt.
Angesichts steigender Bedrohungslagen werden KI-gestützte Angriffe immer ausgefeilter, und Datenschutzverletzungen sorgen wöchentlich für Schlagzeilen. Die Bedeutung klarer Kommunikation zwischen CISOs und Unternehmensführung war nie größer.
Um zu verstehen, warum diese Kommunikationslücke fortbesteht, müssen wir sowohl die grundlegenden Herausforderungen als auch die Kennzahlen betrachten, mit denen Erfolg gemessen wird.
Warum die Kommunikation über Cyberrisiken scheitert: der Fluch des Wissens
Diese Diskrepanz zwischen CEOs und CISOs ist nicht auf fehlende Daten zurückzuführen. Wenn überhaupt, ist das Gegenteil der Fall. Aus Sicht des CEO besteht die Herausforderung nicht in fehlender Aufmerksamkeit oder Absicht. Vielmehr sehen sie Dashboards, Kennzahlen, Akronyme und Schweregradbewertungen, ohne zu verstehen, welche Auswirkungen diese Ergebnisse auf das gesamte Unternehmen haben.
Sicherheitsverantwortliche müssen davon ausgehen, dass viele im Raum die Bedeutung von Begriffen wie CVSS-Scores, Angriffsflächen und Zero-Day-Schwachstellen nicht verstehen. CEOs erwarten mehr als Dashboards voller Kennzahlen, Akronyme und Schweregradbewertungen.
Cybersicherheits-Briefings müssen einen Schritt weiter gehen und die finanziellen, rechtlichen und reputationsbezogenen Auswirkungen dieser Ergebnisse auf das Unternehmen aufzeigen. Ein CISO könnte berichten: „In diesem Monat wurden 587 kritische Schwachstellen erkannt.“ Was der CEO tatsächlich wissen muss, ist jedoch: „Welche davon gefährden unsere Fähigkeit, Kunden zu bedienen, und wie sieht unser Plan aus, sie zu beheben?“
Cybersicherheits-KPIs, die für CEOs relevant sind
Nützliche KPIs stellen einen klaren Zusammenhang zwischen Maßnahmen im Schwachstellenmanagement und Geschäftsrisiken her. Unsere Cybersicherheitsforschung zeigt jedoch, dass die von Sicherheitsteams am häufigsten verwendeten KPIs den Risikokontext nicht abbilden.
Derzeit erfasst nur die Hälfte der Unternehmen (51 %) Cybersicherheits-Exposure-Scores oder andere risikobasierte Indizes. Viele Sicherheitsteams stützen sich weiterhin auf Prozesskennzahlen wie die mittlere Zeit bis zur Behebung (Mean Time to Remediate, 47 %) oder den Prozentsatz behobener Exposures (41 %).
Kennzahlen wie MTTR, Patch-Geschwindigkeit und Prozentsatz behobener Schwachstellen sind für Sicherheitsteams wichtig, messen jedoch die operative Effizienz, nicht die geschäftliche Exposition oder potenzielle finanzielle Auswirkungen. Isoliert betrachtet können sie beruhigend wirken und gleichzeitig die eigentliche Frage verdecken: Managen wir unser Risiko effektiv?
Diese Kennzahlen, die sich auf Geschwindigkeit und Abdeckung konzentrieren, mögen für sich genommen positiv erscheinen, zeigen aber kaum, ob aktuelle Behebungsmaßnahmen die Risikoposition tatsächlich verbessern. Weniger entscheidend ist, wie schnell Schwachstellen behoben werden und wie viele adressiert werden. Wichtiger ist, ob die richtigen Probleme angegangen werden.
Ein gemeinsames Verständnis zwischen Sicherheitsteams, Vorstand und C-Suite erfordert, schwer verständliche Kennzahlen in reale Auswirkungen einzuordnen. Für CEOs bedeutet das, sich mit dem CISO über die wichtigsten Risiken für das eigene Unternehmen abzustimmen – sind Sie ein Finanzinstitut, das häufig mit ausgefeilten Betrugsschemata, strengen Compliance-Anforderungen wie PCI-DSS und SOX sowie der ständigen Bedrohung durch Ransomware konfrontiert ist, die auf Finanzdaten von Kunden abzielt?Oder sind Sie eine Organisation im Gesundheitswesen, die ein wachsendes Netzwerk vernetzter medizinischer Geräte absichern und zugleich strenge Compliance-Standards zum Schutz sensibler Patientendaten einhalten muss?
Verdeutlichen wir den Unterschied zwischen einem Sicherheitsbriefing für Führungskräfte, das sich ausschließlich auf technische Kennzahlen stützt, und einem, das Kontext und geschäftliche Auswirkungen ergänzt.
Was der CISO sagt:
- „Wir haben 11.000 Schwachstellen entdeckt.“
- „Die MTTR wurde von 25 Tagen auf 15 Tage reduziert.“
- „Wir haben bei kritischen CVEs eine Behebungsrate von 88 % erreicht.“
Was der CEO tatsächlich wissen muss:
- „Wir haben zehn kritische Schwachstellen identifiziert, die sich auf umsatzgenerierende Systeme auswirken könnten.“
- „Bei einem heutigen Angriff können wir kritische Abläufe innerhalb von sechs Stunden wiederherstellen, verglichen mit 48 Stunden im vergangenen Jahr.“
- „Dieser Schutz ermöglicht uns eine Expansion in die EU ohne zusätzliches Compliance-Risiko.“
Aufbau eines Risk-Appetite-Frameworks auf Führungsebene
Kommunikation mit der Unternehmensführung hängt von gemeinsamen Frameworks und einem gemeinsamen Bezugspunkt dafür ab, wie Risiken definiert, gemessen und besprochen werden. Um Inkonsistenzen und Verwirrung zu vermeiden, sollten alle Stakeholder an der Erstellung und Durchsetzung eines Risk-Appetite-Frameworks.
Ein wesentliches Ziel dieser Gespräche besteht darin, Führungskräften zu vermitteln, dass das Ziel des Cybersicherheitsprogramms nicht darin besteht, vollständig „risikofrei“ zu sein – für moderne Unternehmen ist es unmöglich, völlig risikofrei zu werden. Mit anderen Worten: CEOs müssen zwischen ihrer Risikobereitschaft und ihrer Risikoposition unterscheiden können.
1. Risikobereitschaft: wie viel Risiko ihr Unternehmen derzeit bereit ist, bei der Verfolgung seiner übergeordneten Ziele zu tolerieren.
2. Risikoposition: die tatsächliche aktuelle Risikoexposition des Unternehmens.
Die meisten Unternehmen erkennen inzwischen die Notwendigkeit, formal festzulegen, wie viel Cyberrisiko sie zu akzeptieren bereit sind. Ivantis Forschung zeigt, dass mehr als 80 % der Unternehmen über ein dokumentiertes Risk-Appetite-Framework verfügen.
Allerdings gibt weniger als die Hälfte der Unternehmen an, dass diese Frameworks im Tagesgeschäft konsequent befolgt werden. Wenn Frameworks zwar auf dem Papier existieren, aber tatsächliche Entscheidungen nicht steuern, ist es sehr wahrscheinlich, dass Risikobereitschaft und Risikoposition Ihres Unternehmens nicht aufeinander abgestimmt sind.
Wie Exposure Management die Kommunikationslücke schließt
Exposure Management ist ein risikobasierter Ansatz, der den Umfang potenzieller Bedrohungen über die gesamte Angriffsfläche hinweg kontinuierlich identifiziert, priorisiert und validiert. Die Praxis des Exposure Managements hilft, Sicherheits- und Führungskräfte auf eine einheitliche, umfassende Strategie auszurichten, die Cybersicherheit auf geschäftskritische Risiken fokussiert.
Anstatt alle Schwachstellen gleich zu behandeln, konzentriert sich Exposure Management darauf, die größten Risiken des Unternehmens zu identifizieren und zu priorisieren, indem es folgende Fragen stellt:
- Welche aktuellen Exposures nutzen Bedrohungsakteure aktiv aus?
- Welche Assets müssen basierend auf den aktuellen Geschäftsabläufen priorisiert werden?
- Welche Assets hätten bei einer Kompromittierung die größten Auswirkungen in Form von Reputations-, Kunden- oder rechtlichen Schäden?
Der Forschungsbericht von Ivanti zeigt, dass inzwischen fast zwei Drittel der Unternehmen in Exposure Management investieren und das Verständnis auf Führungsebene im Jahresvergleich gestiegen ist. Doch die Umsetzung hinkt weiterhin hinterher: Nur etwa ein Viertel der Unternehmen bewertet seine Fähigkeit, Risikoexposition zu bewerten, als ausgezeichnet.
Um diese Lücke zu schließen und Exposure Management effektiv zu operationalisieren, sollten CISOs die Kommunikation mit der Unternehmensführung an drei Prinzipien ausrichten
1. Technische Signale in geschäftlichen Kontext übersetzen. Statt die Anzahl von Schwachstellen zu melden, erläutern Sie, welche Exposures umsatzgenerierende Systeme, Kundendaten oder regulierte Umgebungen betreffen.
2. Neue Bedrohungen nach Auswirkungen priorisieren, nicht nach Volumen. Führungskräfte müssen nicht jede neue Angriffstechnik verfolgen. Sie müssen verstehen, welche Situationen das Geschäft erheblich stören könnten und wie gut das Unternehmen darauf vorbereitet ist, zu reagieren.
3. Szenarien verwenden, keine Tabellen. Datengestützte Narrative, die Ursache, Auswirkung und Ergebnis miteinander verknüpfen, helfen Führungskräften, Risiken zu verinnerlichen und schneller Entscheidungen zu treffen.
Dieser Ansatz verlagert Ihre Strategie zur Risikominderung von reaktiver Verteidigung hin zu proaktiver Entscheidungsfindung.
Der Weg nach vorn
Wenn Führungskräfte und Sicherheitsverantwortliche dieselbe Sprache sprechen, kann der Fluch des Wissens überwunden werden, und Cybersicherheit wird zu einem strategischen Enabler, der Unternehmenswert schützt, Wachstum ermöglicht und Sicherheitsstärke in einen Wettbewerbsvorteil verwandelt.
Der Fluch des Wissens lässt sich überwinden – mit jeder übersetzten Kennzahl, jedem geschäftsorientierten Gespräch und jeder klaren Entscheidung.
FAQs
Was bedeutet der „Fluch des Wissens“ in der Cybersicherheitskommunikation?
Der Fluch des Wissens ist eine kognitive Verzerrung, bei der Cybersicherheitsexperten möglicherweise davon ausgehen, dass Führungskräfte technische Begriffe und Konzepte verstehen. Dies führt zu Missverständnissen, wenn Sicherheitsbegriffe und technische Kennzahlen verwendet werden, ohne sie in einen geschäftlichen Kontext zu übersetzen.
Was ist ein Risk-Appetite-Framework?
Ein Risk-Appetite-Framework ist eine formale Richtlinie, die definiert, wie viel Cyberrisiko ein Unternehmen in verschiedenen Abteilungen und Aktivitäten zu akzeptieren bereit ist. Das Risk-Appetite-Framework eines Unternehmens legt Schwellenwerte und Leitlinien fest, damit alle Stakeholder Entscheidungen konsistent treffen und Schutzmaßnahmen mit Geschäftszielen in Einklang bringen.
