Der CISO war schon immer für Sicherheitsverletzungen verantwortlich. Daran hat sich nichts geändert, und das sollte es auch nicht. Was sich geändert hat, ist Folgendes: Wir haben die Verantwortung erhöht, ohne den CISOs mehr Kontrolle zu geben.
Die Rolle ist näher an den Mittelpunkt des Geschäfts gerückt. CISOs sind stärker in die Reaktion auf Sicherheitsvorfälle eingebunden, unterliegen einer stärkeren Prüfung auf Vorstandsebene und sind enger an regulatorische Ergebnisse gebunden.
Auf den ersten Blick sieht das nach Fortschritt aus. Sicherheit wird jetzt als geschäftliche Angelegenheit behandelt, nicht nur als technisches Problem. Aber ein Platz am Tisch bedeutet keine Kontrolle.
In den meisten Organisationen sind die CISOs weder für die Systeme, die sie sichern, noch für die Entscheidungen, die das Risiko prägen, verantwortlich. Die Verantwortung liegt beim CISO. Die Kontrolle ist organisationsweit verteilt.
Diese Diskrepanz macht die Rolle zunehmend untragbar.
Allein durch Verantwortlichkeit wird die Sicherheit nicht verbessert
Würde Verantwortlichkeit allein zu besseren Sicherheitsergebnissen führen, sähe die Diskussion ganz anders aus. Doch das ist nicht der Fall. Häufigkeit und Auswirkungen von Cyberangriffen nehmen weiter zu.
Organisationen reagieren. Unsere Untersuchungen zeigen, dass 94 % Veränderungen als Reaktion auf die zunehmende CISO-Verantwortlichkeit vorgenommen haben. Die Frage ist nicht, ob sie handeln – sondern wie. Viele der Änderungen zielen auf die Risikominimierung ab: mehr Dokumentation, mehr Kontrolle, mehr rechtlicher Schutz. Verantwortlichkeit führt oft zu defensivem Verhalten – man schützt die Organisation im Nachhinein, anstatt die Wahrscheinlichkeit einer Störung von vornherein zu verringern.
Vielmehr sollte die Verantwortlichkeit die Abstimmung vorantreiben. Sie sollte klare Gespräche mit der Geschäftsleitung darüber erzwingen, worin die tatsächlichen Risiken bestehen. Sie sollte zu einer stärkeren Eigenverantwortung führen und sicherstellen, dass Budgets und Ressourcen der Bedrohungslage angemessen sind. In vielen Fällen ist dies nicht der Fall, wodurch es schwieriger ist, auf bereits identifizierte Risiken zu reagieren.
Warum die Lücke immer größer wird
Dieses Modell – bei dem Verantwortlichkeit zentralisiert und die Kontrolle verteilt ist – funktioniert nur, wenn die Organisation als Einheit agiert. In der Praxis kommt das selten vor.
Und je schneller sich Unternehmen bewegen, desto schwieriger wird es, diese Diskrepanz zu verwalten. Sicherheitsteams können Risiken identifizieren, aber deren Behandlung hängt von Entscheidungen anderer Teams ab. Die Lücke wächst also nicht, weil Sicherheitsverantwortliche ihre Arbeit nicht machen, sondern weil das System um sie herum nicht darauf ausgelegt ist, sie zu unterstützen.
Was fehlt, ist nicht die Fähigkeit, zu handeln, wenn Sicherheitsverletzungen auftreten. Es sind Transparenz und Durchsetzung. Auf einer grundlegenden Ebene haben viele Organisationen immer noch Schwierigkeiten, zu erkennen, was in ihrer Umgebung läuft – welche Tools verwendet werden, wohin Daten fließen oder wie umfangreich etwas eingesetzt wird.
Selbst wenn Risiken erkennbar sind, hängt das Ergreifen entsprechender Maßnahmen von der Koordination, der Eigenverantwortung und der Fähigkeit ab, Veränderungen teamübergreifend durchzusetzen – und genau hier scheitern viele Unternehmen.
Bei einer Sicherheitsverletzung werden CISOs nicht nur danach beurteilt, was passiert ist, sondern auch danach, ob sie die Transparenz und die Befugnis hatten, zu handeln. In der Praxis bedeutet dies, nachzuweisen, dass die Risiken verstanden wurden und dass die Organisation in der Lage war zu handeln, selbst wenn die Umsetzung von anderen Teams abhing.
Das ist nicht neu, aber es wird schwieriger, da sich die Umgebungen immer schneller verändern und weiterentwickeln.
Gerade als die Sicherheit aufholte, änderte die KI die Spielregeln
Eine Zeit lang hatte man das Gefühl, dass die Sicherheitsteams die Dinge im Griff hatten. Die Kontrollmaßnahmen reiften, die Grundlagen verbesserten sich und man hatte das Gefühl, dass die Kluft zwischen Angreifern und Verteidigern immer kleiner wurde.
Dann gab der Boden erneut nach. Künstliche Intelligenz hat die Umgebung quasi über Nacht verändert. Neue Tools werden schnell eingesetzt, und die Angriffsfläche wächst. Die Nutzung verbreitet sich, bevor die Richtlinien nachziehen. In einigen Fällen verstehen Sicherheitsteams das Risiko erst vollständig, wenn es bereits vorhanden ist. Und selbst wenn die Transparenz verbessert wird, ist die Durchsetzung nicht garantiert.
Viele Sicherheitsteams befinden sich wieder in einer vertrauten Position: Sie versuchen, aufzuholen. Gleichzeitig wurden die Erwartungen nicht zurückgesetzt. Wenn überhaupt, sind sie gestiegen.
Dies zeigt sich noch deutlicher in KI-orientierten Organisationen, wo die Zuständigkeit für die Reaktion auf Sicherheitsvorfälle oft unklar ist und das Änderungstempo höher ist. Mehr als die Hälfte der KI-orientierten Organisationen berichten von Verwirrung in Bezug auf die Eigentümerschaft – mehr als doppelt so viele wie bei herkömmlichen Organisationen.
Was muss sich ändern?
Die Antwort ist nicht, die Verantwortlichkeit zu verringern. CISOs sollten rechenschaftspflichtig sein. Das steht nicht in Frage.
Aber Verantwortlichkeit ohne Kontrolle verbessert die Sicherheit nicht, sie schafft Reibung. Organisationen machen eine einzelne Rolle für Ergebnisse verantwortlich, die vom gesamten System abhängen.
Sicherheit muss von Anfang an in den Entscheidungsprozess integriert werden und darf nicht erst nachträglich hinzugefügt werden. Wenn sich das Geschäft schnell weiterentwickelt – insbesondere im Bereich der KI –, muss sich auch die Sicherheit anpassen.
Das erfordert Abstimmung auf Führungsebene. Es erfordert Klarheit über die Eigentumsverhältnisse und Ressourcen, die das tatsächliche Ausmaß des Risikos widerspiegeln. Und solange die Kontrolle nicht mit der Verantwortlichkeit übereinstimmt, wird die Kluft weiter wachsen.
Wie Fastly hilft
Sicherheitsteams benötigen Transparenz darüber, welche Werkzeuge verwendet werden und ob sie Risiken in die Umgebung bringen.
Die Produkte für Web-App- und API-Schutz von Fastly helfen Teams, den Traffic ihrer App zu verstehen und schädliche Aktivitäten schneller zu erkennen. Die Tools sind so konzipiert, dass sie False Positives reduzieren, damit Teams weniger Zeit mit der Verfolgung harmloser Aktivitäten und mehr Zeit mit der Reaktion auf echte Bedrohungen verbringen.
Mit der Verbreitung von KI-Tools in Unternehmen steigt auch die betriebliche Komplexität. Fastly vereint Fähigkeiten wie WAF, Bot-Management und DDoS-Schutz auf einer Plattform, was den operativen Aufwand reduziert und die Koordination der Reaktion auf Vorfälle erleichtert.
Wenn Ihr Sicherheitsteam mit der zunehmenden Verbreitung von KI, wachsenden Angriffsflächen und steigendem Verantwortungsdruck Schritt halten will, erfahren Sie, wie die Sicherheitsprodukte von Fastly dazu beitragen können, Informationsüberflutung zu reduzieren, die Transparenz zu verbessern und die Reaktionszeiten zu beschleunigen.