Sie sind hier: Home » Fachartikel » Hintergrund

Viele Unternehmen ohne Cybersicherheitsreife


Reifeprüfung für CISOs – Die fünf Stufen zur Cyberresilienz
In Zusammenarbeit mit dem Führungsteam ermittelt der CISO proaktiv die Risikotoleranz des Unternehmens und erstellt Analysen, um Veränderungen im Risikoprofil des Unternehmens aufzuzeigen



Von Javier Dominguez, CISO von Commvault

Der Chief Information Security Officer (CISO) von heute steht vor grundlegenden und kontinuierlich wachsenden Herausforderungen, die maßgeblich für die Sicherheit und Stabilität des Unternehmens sind. Cyberangriffe mit erpresserischem Hintergrund erschweren seinen Arbeitsalltag – da Cybersicherheit trotz aller Maßnahmen keinen vollständigen Schutz gewährleisten kann. Zwangsläufige Lücken in der Defensive erfordern vor allem eines: Eine ausgereifte und belastbare Cyberresilienz und eine Evolution von Datensicherheit: weg von Einzelmaßnahmen hin zu Sicherheit als Design-Grundsatz für die IT.

CISOs tragen laut Check Point immer mehr Verantwortung, da Cyberangriffe Rekordzahlen erreichen. Die Studie ergab, dass die Zahl der globalen Cyberangriffe im dritten Quartal 2024 im Vergleich zum Vorjahr um beeindruckende 75 Prozent gestiegen ist. Es braut sich also immer mehr zusammen, und so scheint es nur eine Frage der Zeit zu sein, bis die Krise in der eigenen Infrastruktur ankommt. Dennoch fühlen sich viele Unternehmen nicht ausreichend für diese sich zuspitzende Situation gerüstet. In einer aktuellen Commvault-Umfrage gaben nur 13 Prozent der befragten Unternehmen an, die nötige Cybersicherheitsreife zu haben, um einen Angriff effektiv abzuwehren und sich davon zu erholen.

Aber wieso sind manche Unternehmen in der Lage, die Wiederherstellung ihrer Systeme und Daten viel schneller umzusetzen als andere? Sie akzeptieren das Scheitern ihrer Sicherheitsarchitektur als reale Option und etablieren entsprechende Maßnahmen. Ihre Sicherheitstools erkennen aktuelle Risiken frühzeitig und ermöglichen es den IT-Teams, gemeldete Vorfälle strukturiert anhand definierter Runbooks, klarer Rollenverteilungen und etablierter Prozesse zu bearbeiten.

Genauso unerlässlich ist eine zuverlässige saubere Dark Site oder ein sekundäres Backup-System in einer isolierten Umgebung, in der Immutable-Kopien kritischer Daten abgelegt sind, sowie fortlaufende Tests der Cyber-Recovery-Praktiken, um die Prozesse funktionstüchtig zu halten. Manche Unternehmen haben sich also auf den Ernstfall vorbereitet und proben ihn regelmäßig.

Den Reifegrad bestimmen
CISOs sind dafür zuständig, solche Maßnahmen umzusetzen und routinemäßig zu prüfen, wie effizient sie greifen. Deren Autorität und Kompetenz variiert jedoch erheblich. Auf einer niedrigen Reifeebene liegt die Sicherheit möglicherweise in den Händen von Mitarbeitenden, die lediglich Anweisungen entgegennehmen, während CISOs in hochentwickelten Strukturen eng mit dem Vorstand kooperieren und sicherstellen, dass Cybersicherheit strategisch im gesamten Unternehmen verankert ist.

Der Reifegrad der Cyberresilienz lässt sich typischerweise anhand von fünf Stufen ermitteln:

1. Sicherheit nach dem Häkchenprinzip
In Unternehmen, die in punkto Cybersicherheit eher unreif sind, sind die Sicherheitsverantwortlichen selten Entscheidungsträger. Die meisten dieser Unternehmen haben keinen eigenen CISO. Stattdessen wird die Cybersicherheit von einem Teil des IT-Teams betreut. Diese Teams sind aber oft mit den täglichen Routineaufgaben ausgelastet, wie beispielsweise die Konfiguration von Servern, die Installation von Software-Updates und die Einrichtung von Laptops.

2. Der richtige Zeitpunkt für einen CISO
Mit dem Wachstum eines Unternehmens vergrößert sich auch seine Angriffsfläche. Mehr Beschäftigte, Kunden, Partner und Lieferanten bedeuten zusätzliche Prozesse und Anwendungen, die wiederum mehr Schwachstellen für Angreifer schaffen.

An diesem Punkt stellen viele Unternehmen einen Cybersicherheitsexperten (CISO) ein. Die Position wird mit der Erwartung verknüpft, dass der Stelleninhaber einen Teil seiner Zeit gemeinsam mit den Entwicklungsmitarbeitern in die Programmierung investiert. Für den CISO bleibt oft wenig Spielraum für die Planung und Umsetzung einer übergreifenden Cyberstrategie.

IT und Sicherheit sollten effektive Kommunikationskanäle etablieren, um sicherzustellen, dass die Sicherheitsziele gemeinsam vereinbart und eine Kluft zwischen den beiden Funktionen vermieden wird. Eine regelmäßige Interaktion zwischen CISO und CIO fördert eine produktive Zusammenarbeit ihrer Teams.

3. Mehr als ein technischer CISO
Auf dieser Reifestufe wird klar, dass der CISO mehr Autonomie benötigt, um Sicherheitskontrollen und -verfahren unternehmensweit zu bewerten und einzusetzen. CISOs brauchen die Befugnis, umfassendere Maßnahmen zum Schutz von Bereichen wie der Cloud-Sicherheit zu implementieren und den Zugriff auf alle Unternehmenssysteme mithilfe von Zugriffsmanagementlösungen zu kontrollieren. Auch wenn andere Führungskräfte Bedenken hinsichtlich der Sicherheitsinitiativen äußern, die möglicherweise die Markteinführungszeit verlangsamen, müssen Führungskräfte den CISO unterstützen und wichtige neue Cybersicherheitsinitiativen fördern.

Obwohl IT und Sicherheit nun getrennte Teams sind, sollten CIO und CISO weiterhin eng zusammenarbeiten, um IT-Ziele mit Sicherheitsanforderungen in Einklang zu bringen. Diese kontinuierliche Abstimmung ist für die Sicherheit und einen reibungslosen Geschäftsbetrieb unerlässlich.

4. Der bevollmächtigte CISO
Bei Unternehmen mit hohem Resilienzgrad nimmt der CISO an strategischen Meetings mit dem Vorstand teil und berät zu Cybersicherheitsrisiken, Resilienz und Wiederherstellungsfähigkeiten. In Zusammenarbeit mit dem Führungsteam ermittelt der CISO proaktiv die Risikotoleranz des Unternehmens und erstellt Analysen, um Veränderungen im Risikoprofil des Unternehmens aufzuzeigen. Darüber hinaus entwickelt er die passende Strategie und Sicherheitsrichtlinien, um die vereinbarten Toleranzen einzuhalten.

Auf dieser Stufe beraten CISOs den Vorstand auch über die Vorteile bzw. Risiken neuer Technologien wie KI. Cybersicherheit ist ein fester Bestandteil der strategischen und operativen Planung.

5. Sicher durch Design
In Unternehmen, die die höchste Stufe erreichen, ist Sicherheit fest in der Organisation verankert. Nach den Grundsätzen von "Secure by Design" halten sich die Beschäftigten unternehmensweit an Sicherheitsprozesse und -richtlinien. Cybersicherheit ist damit die Grundlage aller Unternehmensaktivitäten. Kontinuierliche Tests der Unternehmenssysteme werden erwartet, und die Teams sind gut in der Vorfalls- und Datenwiederherstellung geübt.

Den Reifezyklus beschleunigen
In Sachen Cybersicherheit gleicht kein Unternehmen dem anderen. Jedes hat seine eigene technische Infrastruktur, Arbeitsweise und strategischen Ziele. Daher ist es nicht einfach, die Geschwindigkeit des Fortschritts im Cybersicherheits-Reifezyklus zu berechnen. Durch das Verständnis der Merkmale der einzelnen Stufen können CIOs und Führungskräfte jedoch die Entwicklung interner Kandidaten oder die Rekrutierung eines CISO mit den richtigen Fähigkeiten und Qualitäten für ihre spezifischen Bedürfnisse besser aufeinander abstimmen. Dies trägt dazu bei, einen Reifegrad zu erreichen, der der Risikotoleranz der eigenen Organisation entspricht. Die Analyse des Reifegrads hilft auch, Lücken bei Kompetenzen und dem Rollenverständnis zu finden. Wer diese Lücken findet, kann sie schließen und somit eine höhere Cyberresilienz erreichen. (Commvault: ra)

eingetragen: 13.07.25

CommVault: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Hintergrund

  • IAM-Compliance ist kein IT-Solo

    Unternehmen sehen sich mit einer Vielzahl regulatorischer Vorgaben konfrontiert - von europäischen Rahmenwerken wie DSGVO, DORA und NIS2 bis hin zu internationalen Standards wie ISO 27001 oder dem NIST Cybersecurity Framework. Was sie eint: Alle verlangen belastbare Prozesse für das Management digitaler Identitäten und Zugriffsrechte. Zu jeder Zeit muss nachvollziehbar sein, wer Zugriff auf welche Systeme hat, mit welcher Berechtigung und zu welchem Zweck. Ohne belastbare Prozesse im Identity- und Accessmanagement (IAM) geraten IT- und Sicherheitsabteilungen schnell ins Hintertreffen.

  • Finanzabteilung kann nicht länger isoliert agieren

    Die Zeiten, in denen CFOs lediglich Bilanzen verwalteten und für die Einhaltung von Budgets sorgten, sind vorbei. Der CFO von heute ist ein dynamischer Stratege im Zentrum der Unternehmensausrichtung und des Wachstums. Über die reine Budgetkontrolle hinaus sind sie Architekten finanzieller Resilienz: Sie sichern Ressourcen für die Gewinnung von Talenten, technologische Fortschritte, Stabilität in der Lieferkette und Innovation.

  • Nachhaltigkeit durch KI-Lieferkettenoptimierung

    Produzieren, erwerben, entsorgen: Die globale Wirtschaft ist stark rohstoffabhängig, wobei ein großer Teil dieser Ressourcen vorzeitig im Müll landet. Die Folgen: Übernutzung natürlicher Ressourcen und Umweltbelastung durch eine hohe Menge Abfall. Das Prinzip der "Wegwerfgesellschaft" nähert sich langsam seinem Verfallsdatum, eine Entwicklung, die auch die internationale Staatengemeinschaft bereits erkannt hat. Im Jahr 2015 haben sich alle Mitgliedsstaaten der Vereinten Nationen auf die Agenda 2030 geeinigt, mit dem Ziel, eine bessere Lebensgrundlage für kommende Generationen zu schaffen. Darin hat sich die Weltgemeinschaft zu 17 Zielen einer nachhaltigen sozialen, ökologischen und ökonomischen Entwicklung (Sustainable Development Goals, SDGs) verpflichtet, darunter auch nachhaltiger Konsum und Produktion (SDG 12).

  • Was unter IAM-Compliance zu verstehen ist

    Unternehmen sehen sich mit einer Vielzahl regulatorischer Vorgaben konfrontiert - von europäischen Rahmenwerken wie DSGVO, DORA und NIS2 bis hin zu internationalen Standards wie ISO 27001 oder dem NIST Cybersecurity Framework. Was sie eint: Alle verlangen belastbare Prozesse für das Management digitaler Identitäten und Zugriffsrechte. Zu jeder Zeit muss nachvollziehbar sein, wer Zugriff auf welche Systeme hat, mit welcher Berechtigung und zu welchem Zweck. Ohne belastbare Prozesse im Identity- und Accessmanagement (IAM) geraten IT- und Sicherheitsabteilungen schnell ins Hintertreffen.

  • Von Leitbild zu einer gelebten Kultur

    Zwischen digitalen Umbrüchen, wachsender Unsicherheit und steigenden Erwartungen an Kultur und Kommunikation genügt es nicht mehr, auf klassische Führungsmodelle zu vertrauen. Führung befindet sich längst im Wandel. Wer heute Unternehmen steuert, muss Spannungsfelder navigieren und dabei Menschen mitnehmen. Gerade im Mittelstand eröffnen Führungsleitlinien neue Wege: Satt abstrakter Prinzipien liefern sie konkrete Orientierung - vorausgesetzt, sie wirken nicht als Papiertiger, sondern als gelebtes Führungsinstrument. "So ringen Geschwindigkeit und Sicherheit zunehmend um Aufmerksamkeit im Mittelstand", weiß Ben Schulz, Unternehmensberater, Vorstand der Ben Schulz & Partner AG und Spiegel-Beststeller-Autor.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen