Warum Du als CISO scheiterst

Warum viele CISOs im Vorstand verlieren

‍

‍Du sitzt im Vorstandstermin. Du hast technisch recht. Du kennst das Risiko. Und trotzdem verlierst du die Budget-Diskussion.

Nicht, weil Cybersecurity unwichtig ist. Sondern weil du in Tools argumentierst, während der Vorstand in Entscheidungen denkt.

Dieser Begleitartikel zur Folge mit Florian Jörgens (CISO, Vorwerk Gruppe) aus CISO unscripted (ein Podcast von digital defenders) bündelt das Kernmuster hinter vielen Budget- und Prioritäten-Blockaden: Security gewinnt in Gremien nicht über technische Detailtiefe, sondern über Entscheidungslogik – besonders bei Third-Party-Risiken (Lieferanten/Dienstleister), NIS2 und Security Awareness (Human Firewall).

‍

Kurz zusammengefasst

‍

• Wenn du Budget willst, liefere Entscheidungsvorlagen statt Tool-Debatten.

• Third-Party-Risiken gehören ins Board, weil der Reputations- und Business-Schaden beim Markeninhaber landet.

• NIS2 ist ein Governance-Hebel, der Ownership und Priorisierung erzwingt.

• Human Firewall und BCM werden wirksam, wenn sie in Impact, Optionen und Kosten übersetzt sind.

‍

Drei Themen ziehen sich durch das Gespräch und durch diesen Artikel:

‍

• Board-Kommunikation: Szenario, Schadenshöhe, Optionen, Preisschild.

• Struktur statt Chaos: Ownership, Priorisierung, Governance.

• Teams & Rollen: Warum Recruiting-Probleme oft ein Rollenproblem sind.

‍

‍Grundlage: Board-tauglich in 5 Minuten (Szenario, Schadenshöhe, Optionen, Preisschild)

‍

Wenn du nur eine Sache mitnimmst, dann diese: Vorstände entscheiden nicht über Security. Sie entscheiden über Risiken.

Und Risiken werden erst dann entscheidbar, wenn du sie in vier Bausteine übersetzt.

‍

Das 4‑Punkte-Framework (das im Board funktioniert)

‍

• Szenario: Was passiert konkret. Nicht „Ransomware“, sondern „Produktionsstillstand“ oder „Datenabfluss aus Kundensystem X“.

• Schadenshöhe: Was kostet uns das. In Umsatz, Vertragsstrafen, Reputationsschaden, Steuerungsfähigkeit.

• Optionen: Welche 2 bis 3 realistischen Handlungswege gibt es, mit klaren Pro/Contra.

• Preisschild: Was kostet es und bis wann ist es umsetzbar.

‍

Key Takeaways

‍

• CISOs gewinnen im Vorstand mit Entscheidungsvorlagen, nicht mit Tools.

• Szenario → Schadenshöhe → Optionen → Preisschild.

• Wenn du Budget willst, übersetze Cyber-Risiken in Entscheidungssprache.  

‍

‍

Third-Party-Risiken (Lieferantenrisiken): warum Dienstleister ein zentrales Einfallstor sind

‍

Third-Party-Risiken sind kein Security-Nebenschauplatz. Sie sind eine strategische Entscheidung: Welche Abhängigkeiten geht das Unternehmen ein, welche Daten und Prozesse werden an Dienstleister ausgelagert, und welches Risiko wird dafür bewusst akzeptiert.

‍

Die unbequeme Wahrheit: Der Schaden landet bei dir

‍

Angreifer wählen selten das bestgeschützte Ziel. Sie wählen das angeschlossene Ziel.

Wenn ein Dienstleister fällt, fällt das Vertrauen trotzdem auf dich zurück. In der Öffentlichkeit gibt es keinen Unterschied zwischen „bei uns“ und „bei unserem Partner“.

‍

Board-tauglich in 60 Sekunden: so rahmst du Third-Party-Risiken

‍

• Szenario: Was kann über Partner X passieren. (Datenabfluss. Ausfall. Manipulation.)

• Impact: Was bedeutet das fürs Geschäft. (Umsatz. Lieferfähigkeit. Vertragsstrafen. Reputation.)

• Optionen: Was sind 2–3 realistische Wege. (Absichern. Wechseln. Risiko akzeptieren.)

• Preisschild: Was kostet es und bis wann.

‍

Priorisieren statt 1.000 Lieferanten auditieren

‍

Der häufigste Fehler ist nicht „zu wenig Audit“, sondern keine klare Priorisierung. Wer alle Lieferanten gleich behandelt, verschwendet Ressourcen bei Unkritischem und übersieht genau die Partner, die tief in Prozesse und Systeme integriert sind.

‍

Eine pragmatische Priorisierung funktioniert entlang weniger, board-tauglicher Kriterien:

‍

• Wirtschaftliche Abhängigkeit: Auftragsvolumen, Wechselkosten, Single Point of Failure.

• Datenklassen: Berührt der Partner personenbezogene Daten, Finanzdaten, IP, Quellcode.

• Prozesskritikalität: Welche geschäftskritischen Abläufe hängen an diesem Dienstleister.

NIS2 als Hebel für Budget, nicht nur Bürokratie

‍

Was NIS2 für Vorstände wirklich ändert

‍

NIS2 schiebt Informationssicherheit aus der Komfortzone der Delegation in den Bereich persönlicher Verantwortung. Es geht um nachweisbare Steuerung: Governance, Ressourcen und Entscheidungswege müssen so gebaut sein, dass Risiken beherrschbar sind.

‍

Wie du dein Board mit Fakten und Szenarien abholst

‍

Budgets bekommst du selten, weil du technisch recht hast. Du bekommst sie, wenn du Szenario + Impact + Entscheidungsoptionen sauber lieferst.

‍

Drei Hebel funktionieren dabei besonders gut:

‍

• Tabletop-Übungen

• Real-Cases anderer Unternehmen

• Return on Damages Not Incurred (RODNI) als Kommunikationsbild

Die Human Firewall: warum Menschen dein stärkster Hebel sind

‍

90 % „Mensch“ heißt nicht: Schuld. Es heißt: Potenzial.

‍

Wenn Menschen wissen, woran sie Angriffe erkennen, wie sie melden und was sie im Zweifel tun sollen, wird aus Human Risk eine Human Firewall.

‍

Drei Formate, die Awareness „wirksam“ machen (statt nur Pflichtschulung)

‍

1. Erfahrbar statt erklärbar (Live-Hacking + echte Szenarien)

2. Zielgruppen statt Einheitsbrei (Blue Collar ≠ Office)

3. Privatnutzen statt Unternehmensregel (Family & Kids als Brücke)

‍

Asset-Transparenz & BCM/Resilienz: warum Resilienz kein Gefühl sein darf

‍

BCM: So wird Resilienz zur CFO-Entscheidung

‍

BCM übersetzt Technik-Ausfälle in Zeit und Geld.

Kernfrage: Wie lange überlebt unser Kerngeschäft ohne Prozess X?

Fazit - Das sind die harten Learnings (die im Board zählen)

‍

1. Third-Party-Risiken sind oft dein eigentliches Einfallstor.

2. NIS2 ist ein Hebel für Ownership, Entscheidungswege und Ressourcen.

3. Human Firewall ist Risikoreduktion dort, wo Angriffe starten.

4. Ohne Asset-Transparenz und BCM ist Resilienz nur ein Gefühl.

5. Technik gewinnt keine Vorstände. Du gewinnst mit Szenario, Schadenshöhe, Optionen, Preisschild.

‍