02-13-2025, 09:05 PM
News Jeder fünfte CISO vertuscht Compliance-Probleme
<div id="remove_no_follow">
<div class="grid grid--cols-10@md grid--cols-8@lg article-column">
<div class="col-12 col-10@md col-6@lg col-start-3@lg">
<div class="article-column__content">
<section class="wp-block-bigbite-multi-title"><div class="container"></div></section>
<div class="extendedBlock-wrapper block-coreImage undefined"><figure class="wp-block-image size-large"><img loading="lazy" decoding="async" src="https://b2b-contenthub.com/wp-content/uploads/2025/02/Roman-Samborskyi_shutterstock_2465359561_16z9.jpg?quality=50&strip=all&w=1024" alt="CISO Cyclops 16z9" class="wp-image-3822706" srcset="https://b2b-contenthub.com/wp-content/uploads/2025/02/Roman-Samborskyi_shutterstock_2465359561_16z9.jpg?quality=50&strip=all 8225w, https://b2b-contenthub.com/wp-content/up...;strip=all 300w, https://b2b-contenthub.com/wp-content/up...;strip=all 768w, https://b2b-contenthub.com/wp-content/up...;strip=all 1024w, https://b2b-contenthub.com/wp-content/up...;strip=all 1536w, https://b2b-contenthub.com/wp-content/up...;strip=all 2048w, https://b2b-contenthub.com/wp-content/up...;strip=all 1240w, https://b2b-contenthub.com/wp-content/up...;strip=all 150w, https://b2b-contenthub.com/wp-content/up...;strip=all 854w, https://b2b-contenthub.com/wp-content/up...;strip=all 640w, https://b2b-contenthub.com/wp-content/up...;strip=all 444w" width="1024" height="576" sizes="(max-width: 1024px) 100vw, 1024px" /><figcaption class="wp-element-caption">Compliance-Verfehlungen unter den Teppich zu kehren, sollte sich für CISOs falsch anfühlen.</figcaption></figure><p class="imageCredit">Roman Samborskyi | shutterstock.com</p></div>
<p>CISOs befinden sich zunehmend in der Zwickmühle, wenn es darum geht, eine gesunde Balance zwischen Loyalität zu ihrer Organisation und ihren rechtlichen Verantwortlichkeiten zu finden. Zumindest legt das <a href="https://www.splunk.com/en_us/campaigns/ciso-report.html">eine aktuelle Studie des Sicherheitsanbieter Splunk</a> nahe, in deren Rahmen 600 CISOs weltweit befragt wurden. Demnach:</p>
<ul class="wp-block-list">
<li>geben <strong>21 Prozent</strong> der befragten Sicherheitsentscheider an, schon einmal von anderen Führungskräften oder Vorstandsmitgliedern unter Druck gesetzt worden zu sein, Compliance-Verstöße nicht zu melden.</li>
<li>würden <strong>59 Prozent</strong> der Befragten in Erwägung ziehen, zum <a href="https://www.csoonline.com/article/3560281/der-verschmahte-ransomware-whistleblower.html">Whistleblower</a> zu werden, falls Compliance-Erfordernisse ignoriert werden – die CISOs sind sich also der damit verbundenen Risiken bewusst.</li>
</ul>
<h2 class="wp-block-heading" id="alarmierend-aber-nicht-ueberraschend">“Alarmierend, aber nicht überraschend”</h2>
<p>Diese Ergebnisse lassen bei unabhängigen Sicherheitsexperten die Alarmglocken schrillen. Zum Beispiel bei Sam Peters, Chief Product Officer beim Compliance-Spezialisten ISMS.online: „Druck auf den CISO auszuüben, damit er Compliance-Probleme unter den Teppich kehrt, ist nicht nur unethisch – es erhöht auch drastisch das Risiko, dass Sicherheitsentscheider persönlich haften müssen, und ist der langfristigen Resilienz einer Organisation massiv abträglich“, warnt der CPO.</p>
<p>Matthias Held, technischer Programmmanager bei Bugcrowd und ehemaliger CISO, erkennt in den Studienergebnissen von Splunk vor allem tiefere, systemische Probleme in der Wahrnehmung von IT-Sicherheit auf Führungsebene: „Die Ergebnisse sind alarmierend, aber leider nicht überraschend“, konstatiert er und verweist auf den Fall <a href="https://www.csoonline.com/article/3495007/nach-schuldspruch-fur-ex-uber-cso-personliche-haftung-ist-fur-cisos-realitat.html">des ehemaligen Uber-CISOs Joe Sullivan</a>. „Auch hier wurde die rechtliche Verantwortung dem CISO zugeschustert, anstatt die Wurzel des Übels zu beheben: Business-Entscheidungen, die der Außendarstellung Vorrang vor der Sicherheit einräumen.“</p>
<p>Auch Bryan Marlatt, Chief Regional Officer beim Sicherheitsanbieter CyXcel, beschleicht das Gefühl, dass Vorstände sich oft mehr um das Reputationsmanagement als um regulatorische Vorgaben sorgen: „Das führt dazu, dass CISOs zunehmend dazu angehalten werden, Stillschweigen zu bewahren oder Vorfälle falsch zu klassifizieren, um Aufsichtsbehörden und Aktionäre nicht zu alarmieren.“</p>
<p>Seine Einschätzung kann Marlatt mit persönlichen Erfahrungswerten untermauern: „In meiner Zeit als CISO habe ich schon einmal die Anweisung erhalten, bestimmte Risiken gegenüber <a href="https://www.computerwoche.de/article/2761566/10-wege-in-die-it-audit-hoelle.html">Auditoren</a> falsch darzustellen. Daraufhin habe ich mich dazu entschieden, die Organisation zu verlassen.“</p>
<p>Auch James Hughes, Enterprise CTO beim Sicherheitsanbieter Rubrik, sieht zwischen der Security-Realität und dem Verständnis der Vorstandsebene eklatante Lücken: „Während die Regulierungsbehörden <a href="https://www.csoonline.com/article/3494286/nis2-dora-data-act-co-die-wichtigsten-security-gesetze-im-uberblick.html">immer strenger werden</a>, sind viele CISOs der Überzeugung, dass ihre Budgets den Compliance-Erfordernissen nicht gerecht werden. Diese Diskrepanz gefährdet nicht nur die Sicherheitslage der Unternehmen, sondern auch ihre Fähigkeit, sich an die wandelnden, regulatorischen Anforderungen anzupassen.“</p>
<p>Eine <a href="https://www.thalesgroup.com/en/worldwide/security/press_release/2024-thales-data-threat-report-reveals-rise-ransomware-attacks">aktuelle Studie des Sicherheitsabieters Thales</a> belegt, wie stark Compliance und betriebliche Widerstandsfähigkeit zusammenhängen: Demnach erleben 43 Prozent der Unternehmen, die in den vergangenen zwölf Monaten ein Compliance-Audit nicht bestanden haben, mit deutlich höherer Wahrscheinlichkeit einen Security Breach.</p>
<p>Für Joe Hubback, CISO bei der Technologieberatung Elixirr, ist die Zielsetzung klar: „Sicherheitsentscheider müssen risikobewusstes Verhalten und Verantwortlichkeit im gesamten Unternehmen <a href="https://www.csoonline.com/article/3493061/positiv-denken-fur-sicherheitsentscheider-6-mindsets-die-sie-sofort-ablegen-sollten.html">fördern</a>. Dazu sollten sie insbesondere auf eine offene Kommunikation setzen, in deren Rahmen selbstverständlich auch Compliance-Bedenken gemeldet werden.“ (fm)</p>
<p><strong>Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? </strong><a href="https://www.csoonline.com/de/newsletters/signup/"><strong>Unser kostenloser Newsletter</strong></a><strong> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.</strong></p>
</div></div></div></div>
https://www.csoonline.com/article/382270...bleme.html
<div id="remove_no_follow">
<div class="grid grid--cols-10@md grid--cols-8@lg article-column">
<div class="col-12 col-10@md col-6@lg col-start-3@lg">
<div class="article-column__content">
<section class="wp-block-bigbite-multi-title"><div class="container"></div></section>
<div class="extendedBlock-wrapper block-coreImage undefined"><figure class="wp-block-image size-large"><img loading="lazy" decoding="async" src="https://b2b-contenthub.com/wp-content/uploads/2025/02/Roman-Samborskyi_shutterstock_2465359561_16z9.jpg?quality=50&strip=all&w=1024" alt="CISO Cyclops 16z9" class="wp-image-3822706" srcset="https://b2b-contenthub.com/wp-content/uploads/2025/02/Roman-Samborskyi_shutterstock_2465359561_16z9.jpg?quality=50&strip=all 8225w, https://b2b-contenthub.com/wp-content/up...;strip=all 300w, https://b2b-contenthub.com/wp-content/up...;strip=all 768w, https://b2b-contenthub.com/wp-content/up...;strip=all 1024w, https://b2b-contenthub.com/wp-content/up...;strip=all 1536w, https://b2b-contenthub.com/wp-content/up...;strip=all 2048w, https://b2b-contenthub.com/wp-content/up...;strip=all 1240w, https://b2b-contenthub.com/wp-content/up...;strip=all 150w, https://b2b-contenthub.com/wp-content/up...;strip=all 854w, https://b2b-contenthub.com/wp-content/up...;strip=all 640w, https://b2b-contenthub.com/wp-content/up...;strip=all 444w" width="1024" height="576" sizes="(max-width: 1024px) 100vw, 1024px" /><figcaption class="wp-element-caption">Compliance-Verfehlungen unter den Teppich zu kehren, sollte sich für CISOs falsch anfühlen.</figcaption></figure><p class="imageCredit">Roman Samborskyi | shutterstock.com</p></div>
<p>CISOs befinden sich zunehmend in der Zwickmühle, wenn es darum geht, eine gesunde Balance zwischen Loyalität zu ihrer Organisation und ihren rechtlichen Verantwortlichkeiten zu finden. Zumindest legt das <a href="https://www.splunk.com/en_us/campaigns/ciso-report.html">eine aktuelle Studie des Sicherheitsanbieter Splunk</a> nahe, in deren Rahmen 600 CISOs weltweit befragt wurden. Demnach:</p>
<ul class="wp-block-list">
<li>geben <strong>21 Prozent</strong> der befragten Sicherheitsentscheider an, schon einmal von anderen Führungskräften oder Vorstandsmitgliedern unter Druck gesetzt worden zu sein, Compliance-Verstöße nicht zu melden.</li>
<li>würden <strong>59 Prozent</strong> der Befragten in Erwägung ziehen, zum <a href="https://www.csoonline.com/article/3560281/der-verschmahte-ransomware-whistleblower.html">Whistleblower</a> zu werden, falls Compliance-Erfordernisse ignoriert werden – die CISOs sind sich also der damit verbundenen Risiken bewusst.</li>
</ul>
<h2 class="wp-block-heading" id="alarmierend-aber-nicht-ueberraschend">“Alarmierend, aber nicht überraschend”</h2>
<p>Diese Ergebnisse lassen bei unabhängigen Sicherheitsexperten die Alarmglocken schrillen. Zum Beispiel bei Sam Peters, Chief Product Officer beim Compliance-Spezialisten ISMS.online: „Druck auf den CISO auszuüben, damit er Compliance-Probleme unter den Teppich kehrt, ist nicht nur unethisch – es erhöht auch drastisch das Risiko, dass Sicherheitsentscheider persönlich haften müssen, und ist der langfristigen Resilienz einer Organisation massiv abträglich“, warnt der CPO.</p>
<p>Matthias Held, technischer Programmmanager bei Bugcrowd und ehemaliger CISO, erkennt in den Studienergebnissen von Splunk vor allem tiefere, systemische Probleme in der Wahrnehmung von IT-Sicherheit auf Führungsebene: „Die Ergebnisse sind alarmierend, aber leider nicht überraschend“, konstatiert er und verweist auf den Fall <a href="https://www.csoonline.com/article/3495007/nach-schuldspruch-fur-ex-uber-cso-personliche-haftung-ist-fur-cisos-realitat.html">des ehemaligen Uber-CISOs Joe Sullivan</a>. „Auch hier wurde die rechtliche Verantwortung dem CISO zugeschustert, anstatt die Wurzel des Übels zu beheben: Business-Entscheidungen, die der Außendarstellung Vorrang vor der Sicherheit einräumen.“</p>
<p>Auch Bryan Marlatt, Chief Regional Officer beim Sicherheitsanbieter CyXcel, beschleicht das Gefühl, dass Vorstände sich oft mehr um das Reputationsmanagement als um regulatorische Vorgaben sorgen: „Das führt dazu, dass CISOs zunehmend dazu angehalten werden, Stillschweigen zu bewahren oder Vorfälle falsch zu klassifizieren, um Aufsichtsbehörden und Aktionäre nicht zu alarmieren.“</p>
<p>Seine Einschätzung kann Marlatt mit persönlichen Erfahrungswerten untermauern: „In meiner Zeit als CISO habe ich schon einmal die Anweisung erhalten, bestimmte Risiken gegenüber <a href="https://www.computerwoche.de/article/2761566/10-wege-in-die-it-audit-hoelle.html">Auditoren</a> falsch darzustellen. Daraufhin habe ich mich dazu entschieden, die Organisation zu verlassen.“</p>
<p>Auch James Hughes, Enterprise CTO beim Sicherheitsanbieter Rubrik, sieht zwischen der Security-Realität und dem Verständnis der Vorstandsebene eklatante Lücken: „Während die Regulierungsbehörden <a href="https://www.csoonline.com/article/3494286/nis2-dora-data-act-co-die-wichtigsten-security-gesetze-im-uberblick.html">immer strenger werden</a>, sind viele CISOs der Überzeugung, dass ihre Budgets den Compliance-Erfordernissen nicht gerecht werden. Diese Diskrepanz gefährdet nicht nur die Sicherheitslage der Unternehmen, sondern auch ihre Fähigkeit, sich an die wandelnden, regulatorischen Anforderungen anzupassen.“</p>
<p>Eine <a href="https://www.thalesgroup.com/en/worldwide/security/press_release/2024-thales-data-threat-report-reveals-rise-ransomware-attacks">aktuelle Studie des Sicherheitsabieters Thales</a> belegt, wie stark Compliance und betriebliche Widerstandsfähigkeit zusammenhängen: Demnach erleben 43 Prozent der Unternehmen, die in den vergangenen zwölf Monaten ein Compliance-Audit nicht bestanden haben, mit deutlich höherer Wahrscheinlichkeit einen Security Breach.</p>
<p>Für Joe Hubback, CISO bei der Technologieberatung Elixirr, ist die Zielsetzung klar: „Sicherheitsentscheider müssen risikobewusstes Verhalten und Verantwortlichkeit im gesamten Unternehmen <a href="https://www.csoonline.com/article/3493061/positiv-denken-fur-sicherheitsentscheider-6-mindsets-die-sie-sofort-ablegen-sollten.html">fördern</a>. Dazu sollten sie insbesondere auf eine offene Kommunikation setzen, in deren Rahmen selbstverständlich auch Compliance-Bedenken gemeldet werden.“ (fm)</p>
<p><strong>Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? </strong><a href="https://www.csoonline.com/de/newsletters/signup/"><strong>Unser kostenloser Newsletter</strong></a><strong> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.</strong></p>
</div></div></div></div>
https://www.csoonline.com/article/382270...bleme.html