Checkmarx-Studie: Viele CISOs sehen Druck, kritische Sicherheitsbefunde zurückzuhalten

Zusammenfassung

Eine aktuelle Studie von Checkmarx zeichnet ein angespanntes Bild der Rolle von Chief Information Security Officers. Für den Bericht „The Future of Application Security in the Era of AI“ befragte das Unternehmen 2.350 Entwickler, Application-Security-Manager und CISOs. Das auffälligste Ergebnis: 95 Prozent der CISOs gaben an, sie fühlten sich unter Druck gesetzt, compliancebezogene Sicherheitsbefunde zu unterdrücken oder ihre Veröffentlichung zu verzögern. Nach Einschätzung von Darren Meyer, Research Advocate bei Checkmarx, überrascht diese Zahl kaum. Er berichtet aus eigener praktischer Erfahrung, dass CISOs häufig zwischen Transparenzpflichten und internen Erwartungen eingeklemmt seien. Der Druck komme dabei nicht nur aus einer Richtung, sondern aus Vorstand, Öffentlichkeitsarbeit sowie Produkt- und Vertriebsteams. Für Unternehmen ist das relevant, weil verzögerte oder abgeschwächte Offenlegungen laut Meyer Folgen für Kunden und Firmen haben können, insbesondere wenn es nach einer Sicherheitsverletzung zu rechtlichen Auseinandersetzungen kommt. Die Studie beschreibt damit weniger ein isoliertes Kommunikationsproblem als einen strukturellen Konflikt zwischen Geschäftsinteressen, Compliance und Sicherheitsverantwortung.

Nach Darstellung von Checkmarx stehen CISOs heute unter mehrfacher Belastung: Sie müssen mit immer ausgefeilteren Angriffen umgehen, auf veränderte Compliance- und Regulierungsvorgaben reagieren und zugleich die Folgen eines möglichen Sicherheitsvorfalls für Unternehmen und eigene Rolle im Blick behalten. Der Bericht beschreibt Stress, Druck, Schuldzuweisungen und Panik als prägende Begleiter der Funktion.

Darren Meyer von Checkmarx sagte gegenüber Dark Reading, auf CISOs wirke Druck in entgegengesetzte Richtungen. Einerseits gebe es die Erwartung zur Offenlegung, andererseits werde signalisiert, man solle noch warten und erst dann etwas sagen, wenn eine wirklich gute Lösung vorliege. Dieser Druck beeinträchtige die Transparenz. In einzelnen Fällen könne eine unterlassene Offenlegung erhebliche Auswirkungen auf Kunden und Unternehmen haben, besonders wenn ein Vorfall später rechtliche Schritte nach sich ziehe.

Meyer zufolge kommt dieser Druck typischerweise aus dem Vorstand, aus PR-Abteilungen sowie aus Produkt- und Vertriebsteams. Teilweise gehe er auch von Führungskräften auf C-Level aus, die vor allem den Zeitpunkt im Blick hätten und davor warnten, ein Thema vor einem Ergebnisgespräch publik zu machen. Nicht immer gehe es dabei um vollständiges Schweigen. Oft werde von CISOs vielmehr verlangt, mit einer Mitteilung zu warten.

Als wichtigen Faktor nennt Meyer den Auslieferungsdruck. Wenn ein Unternehmen ein Produkt in Produktion bringen wolle, könne der CISO aufgefordert werden, mit einer Offenlegung zu warten. Für Sicherheitsverantwortliche entstehe daraus ein ständiger Abwägungsprozess: Kunden dienen, schnell am Markt sein, Angreifer nicht unnötig auf eine Schwachstelle aufmerksam machen und zugleich offen und transparent handeln.

Besonders schwierig würden solche Entscheidungen, wenn eine Schwachstelle aus Sicht des Unternehmens nicht besonders gravierend erscheine. Meyer verweist auf Fälle, in denen Firmen ihren Umgebungs-Schutzmaßnahmen vertrauen oder das Ausnutzungsrisiko als gering einschätzen. Gleichzeitig fehle außerhalb der Sicherheitsfunktion und in anderen Teilen des C-Levels oft das Bewusstsein dafür, dass die Offenlegung einer Schwachstelle nicht automatisch zu negativer Öffentlichkeitswirkung führen müsse. Sie könne auch Verantwortungsbewusstsein zeigen.

Chainguard-CISO John Sapp stimmt der Grundaussage zu, beschreibt den Mechanismus aber etwas anders. Der Druck sei real und spürbar, werde jedoch selten direkt ausgesprochen. Viele CISOs stünden vielmehr zwischen konkurrierenden Geschäftsprioritäten und der Erwartung, mit weniger Ressourcen mehr zu leisten. Unternehmensführer achteten vor allem auf Finanzen und einen reibungslosen Betrieb. Sicherheitsinvestitionen würden dagegen häufig als Kosten betrachtet, während sich die vermiedenen Risiken schwer beziffern ließen, solange kein Vorfall eingetreten sei.

Sapp sagte Dark Reading, CISOs würden zwar eingestellt, um die digitalen Vermögenswerte einer Organisation zu schützen, verfügten aber oft nicht über die nötige Autorität, den Einfluss oder die Ressourcen, um Risiken umfassend zu steuern. Deshalb müssten sie Sicherheitsstrategien und Entscheidungen häufig verteidigen, während Sicherheitsbefunde eher als Hindernis für Geschäftsziele denn als wichtige Erkenntnisse zur Risikoreduzierung und Stärkung der Resilienz wahrgenommen würden.

Ein weiterer Treiber sei laut Sapp die verbreitete Haltung, Compliance als bloße Pflichtübung zum Abhaken zu behandeln statt als Teil betrieblicher Resilienz. Hinzu komme großer Interpretationsspielraum in vielen Regelwerken und eine uneinheitliche Durchsetzung. Das führe zu Streit darüber, was als Compliance gilt, wie Anforderungen auf ein Unternehmen anzuwenden sind und wie Sicherheitsbefunde kommuniziert und priorisiert werden sollten.

Als Gegenmittel nennen Meyer und Sapp vor allem eine stärkere Einbindung von CISOs in strategische Unternehmensdiskussionen auf Ebene der übrigen C-Suite. Nach Sapps Auffassung sollten Organisationen Cybersicherheit nicht länger getrennt von geschäftlichen Prioritäten behandeln. Meyer empfiehlt zudem, schon vor kritischen Vorfällen Vertrauen aufzubauen und Vorstand sowie C-Suite den Wert routinemäßiger Offenlegungen zu vermitteln. Eine stärkere formale Verankerung des CISO im Top-Management könne zwar helfen, werfe laut Meyer aber auch Fragen zur Marktwirkung auf.

Checkmarx-Studie: Viele CISOs sehen Druck, kritische Sicherheitsbefunde zurückzuhalten

Ähnliche Artikel

Neueste Artikel