Splunk-Report: CISOs gewinnen weltweit an Einfluss in der C-Suite und in den Vorstandsetagen

MÜNCHEN/FRANKFURT – 23. Januar 2025 – Splunk, das führende Unternehmen für Cybersicherheit und Observability, hat heute in Zusammenarbeit mit Oxford Economics den CISO-Report 2025 veröffentlicht. Dieser Ergebnisbericht einer weltweiten Befragung beschreibt detailliert die jeweiligen Ziele, Prioritäten und Geschäftsstrategien von CISOs (Chief Information Security Officers) und ihren Vorständen. 

Der Aufstieg der CISOs in die C-Suite geht einher mit einer stärkeren Einbindung in die Vorstandsetage, direktem CEO-Kontakt und der Möglichkeit, strategische geschäftsrelevante Entscheidungen zu treffen. Beachtliche 82 % der befragten CISOs sind jetzt direkt ihren CEOs unterstellt – ein deutlicher Anstieg gegenüber den 47 % aus dem Vorjahr. Darüber hinaus nehmen 83 % der CISOs relativ oft oder meistens an den Vorstandssitzungen teil. Zwar räumen 60 % ein, dass das Wort von Vorstandsmitgliedern mit Cybersecurity-Hintergrund bei Sicherheitsentscheidungen mehr Gewicht hat; allerdings haben nur 29 % der CISOs jemanden mit Cybersecurity-Fachwissen im Vorstand. 

„Seit Cybersicherheit ein zunehmend entscheidender Faktor des Geschäftserfolgs geworden ist, haben CISOs und Vorstände mehr Möglichkeiten, Differenzen zu überbrücken, sie können sich besser abstimmen, einander besser verstehen und gemeinsam für digitale Resilienz sorgen“, sagt Michael Fanning, Chief Information Security Officer bei Splunk. „Für die CISOs bedeutet das, dass sie verstehen müssen, wie das Geschäft jenseits der IT-Umgebungen funktioniert, und dass sie neue Wege finden müssen, ihren Vorständen den ROI von Sicherheitsprojekten zu vermitteln. Für die Vorstände bedeutet es: sich zu einer Kultur bekennen, die Security-Belangen Vorrang einräumt, und die CISOs bei allen Entscheidungen, die Unternehmensrisiken und Governance betreffen, als primäre Stakeholder zurate ziehen. Damit beide Seiten zusammenkommen, müssen den Vorständen die Details der Cybersicherheit nahegebracht werden, und die CISOs müssen die Sprache und die Notwendigkeiten des Geschäfts verstehen, während sie gleichzeitig Security zu einem Business Enabler machen.“ 

„Die Leitung und Verwaltung der Cybersicherheits- und Datenschutzprogramme an einer Hochschuleinrichtung erfordert enge Zusammenarbeit und Kommunikation mit allen Beteiligten, von den Mitgliedern des Vorstands über die Datenschutzbeauftragten bis hin zu den Mitarbeitern, dem Lehrpersonal und den Studierenden, damit sichergestellt wird, dass Security bei allen Aspekten der Organisation berücksichtigt wird“, erklärt Shefali Mookencherry, Chief Information Security and Privacy Officer an der University of Illinois Chicago. „Da die CISO-Rolle immer komplexer und erfolgsrelevanter wird, müssen CISOs in der Lage sein, die Sicherheitsanforderungen mit den Geschäftszielen und der Kultur der Organisation in Einklang zu bringen und den Wert von Sicherheitsinvestitionen deutlich zu machen. Wenn es ihnen gelingt, zwischen den einzelnen Abteilungen und Interessengruppen starke Beziehungen zu schaffen, können die CISOs Orientierung geben und ihre Cybersecurity- und Datenschutzprogramme auf Erfolgskurs bringen.“ 

Die Vorteile guter Abstimmung zwischen CISO und Vorstand
Vorstandsmitglieder mit CISO-Hintergrund unterhalten engere Beziehungen zu den Security-Teams, setzen mehr Vertrauen in die Sicherheitsmaßnahmen des Unternehmens und äußern weitaus seltener (37 %) als der Durchschnitt (62 %) Bedenken, dass nicht genug für den Schutz des Unternehmens getan wird. Die befragten Vorstände stufen die Arbeitsbeziehungen zu ihren CISOs in den folgenden Bereichen als sehr gut oder ausgezeichnet ein:

• Abstimmung der strategischen Sicherheitsziele (80 % mit CISO im Vorstand, 27 % ohne CISO im Vorstand)
• Kommunikation der planmäßigen Security-Fortschritte (60 % mit CISO im Vorstand, 16 % ohne CISO im Vorstand)
• Bedarfsadäquate Budgetierung (50 % mit CISO mit Vorstand, 24 % ohne CISO im Vorstand)

CISOs, die sich mit ihrem Vorstand gut verstehen, haben auch den Vorteil der besseren Zusammenarbeit im gesamten Unternehmen; konkret nennen sie deutlich öfter (82 %) als die übrigen CISOs (69 %) starke Partnerschaften mit den IT-Operations und mit den Engineering-Teams (74 % statt 63 %). CISOs mit guten Beziehungen zum Vorstand bekommen auch eher die Chance, Use Cases generativer KI weiter zu verfolgen, etwa die Erstellung von Regeln zur Bedrohungserkennung (43 % statt 31 %), die Analyse von Datenquellen (45 % statt 28 %), Incident Response und forensische Untersuchungen (42 % statt 29 %) oder proaktives Threat Hunting (46 % statt 28 %). 

Die Kluft zwischen CISO und Vorstand überbrücken: Prioritäten, Skills und Messgrößen des Erfolgs
CISOs und Vorstände lassen zwar erkennen, dass sich beide Seiten in Sachen Sicherheitsprioritäten annähern, doch es bleiben weiterhin Lücken. Die größten Diskrepanzen bei den Top-Prioritäten von CISOs und Vorständen sind diese:

• Innovation mit aufkommenden neuen Technologien (eine Priorität für 52 % der CISOs, aber nur für 33 % der Vorstände)
• Upskilling bzw. Reskilling von Sicherheitspersonal (eine Priorität für 51 % der CISOs, aber nur für 27 % der Vorstände)
• Beiträge zu Umsatzwachstumsvorhaben (eine Priorität für 36 % der CISOs, aber nur für 24 % der Vorstände) 

Die Vorstände legen großen Wert darauf, dass ihre CISO sich neue Skills aneignen und Business-Führungsqualitäten entwickeln. Neue Fähigkeiten erweitern die CISO-Rolle aber auch um neue Komplexitäten: 53 % der CISOs sagen, dass ihre Aufgaben schwieriger geworden sind und dass mehr von ihnen erwartet wird, seit sie ihre Stelle angetreten haben. Bei der Frage nach den wichtigsten Skills, die CISOs entwickeln sollten, geht die Einschätzung von CISOs und Vorständen in einigen Punkten deutlich auseinander:

• Geschäftssinn (wichtig für 55 % der Vorstände, 40 % der CISOs)
• Emotionale Intelligenz (wichtig für 45 % der Vorstände, 35 % der CISOs)
• Kommunikation (wichtig für 52 % der Vorstände, 47 % der CISOs)
• Regulierungs- und Compliance-Wissen (wichtig für 57 % der CISOs, 44 % der Vorstände) 

Zwar sind sich Vorstände und CISOs über die Bedeutung der zentralen Cybersecurity-KPIs einig, doch 79 % der CISOs sagen, dass sich die KPIs ihrer Sicherheitsteams in den letzten Jahren erheblich verändert haben. Erreichte Security-Meilensteine sind für 46 % der CISOs eine relevante Messgröße des Erfolgs, aber nur 19 % der befragten Vorstände teilen diese Ansicht. 

Stabile Compliance ist K.o.-Kriterium des Erfolgs
Das regulatorische Umfeld ist komplexer, umfangreicher und strenger geworden, Incidents müssen schneller gemeldet werden, und den CISOs wird mehr Verantwortung aufgebürdet. Obwohl eine stabile Compliance für das Unternehmen von entscheidender Bedeutung ist, wird die Compliance-Lage nur von 15 % der CISOs als eine der wichtigsten Leistungsmetriken genannt – der Abstand zu den Vorständen (45 %) ist mehr als deutlich. 21 % der CISOs sagen, sie seien bereits gedrängt worden, ein Compliance-Problem nicht zu melden, allerdings meinen 59 %, dass sie als Whistleblower aktiv werden würden, falls ihr Unternehmen Compliance-Anforderungen ignorieren würde. 

Mittelkürzungen haben ernsthafte Konsequenzen
Die Cyberbudgets spiegeln inkonsistente Unterstützung und Unstimmigkeiten wider: Nur 29 % der CISOs sagen, dass sie ein angemessenes Budget bekommen, mit dem sie ihre Cybersecurity-Vorhaben umsetzen und ihre Sicherheitsziele erreichen können. Dagegen sind 41 % der Vorstände der Meinung, dass die Cybersicherheitsbudgets angemessen sind. 64 % der CISOs machen sich Sorgen, dass sie angesichts der aktuellen Bedrohungslage und im gegenwärtigen Regulierungsumfeld nicht genug tun können. 18 % sagen, dass sie in den vergangenen zwölf Monaten aufgrund von Budgetkürzungen ein Business-Vorhaben nicht unterstützen konnten, was bei 64 % einen erfolgreichen Angriff zur Folge hatte. Als weitere zentrale Sparmaßnahmen nennen die CISOs weniger Security-Lösungen und -Tools (50 %), Security-Einstellungsstopps (40 %) sowie reduzierte bzw. ganz ausgesetzte Security-Schulungen (36 %). Nahezu alle CISOs (94 %) wurden bereits Opfer eines disruptiven Cyberangriffs. Die Mehrheit (55 %) sagt, dass sie mindestens ein paar Mal betroffen war, weitere 27 % geben an, dass sie viele Male im Fadenkreuz standen. 

Den vollständigen CISO-Report 2025 erhalten Sie auf der Splunk-Website.  

Methodik
Die weltweite Befragung wurde im Juni und Juli 2024 in Zusammenarbeit mit Oxford Economics durchgeführt. Befragt wurden insgesamt 600 Personen: 500 CISOs, CSOs und vergleichbare Security-Verantwortliche sowie 100 Vorstandsmitglieder. Zu den Befragten gehörten auch CISOs, die nach eigenen Angaben einen Sitz im Vorstand haben. Erfasst wurden damit zehn Länder (Australien, Frankreich, Deutschland, Italien, Indien, Japan, Neuseeland, Singapur, das Vereinigte Königreich und die Vereinigten Staaten) sowie 16 Branchen (Landwirtschaft, unternehmensnahe Dienstleistungen, Bauwesen/Ingenieurwesen, Bildung, Energie und Versorgungsunternehmen, Finanzdienstleister, Behörden, Gesundheitswesen, Biowissenschaften, Informationsdienste, Technologie, Fertigung, Einzelhandel, Konsumgüter, Telekommunikation sowie Medien und Kommunikation). Oxford Economics hat außerdem parallel dazu in einem qualitativen Teil acht eingehende Interviews mit CISOs und Vorstandsmitgliedern geführt.