Von Compliance zu Resilienz: Wie CISOs die Governance-Lücke schließen
Die 3-Uhr-Warnmeldung: Ein Governance-Versagen im Gewand eines Sicherheitsvorfalls
Maria, CISO eines schnell wachsenden Fintech-Unternehmens, wurde durch eine P1-Warnmeldung aus dem Schlaf gerissen. Eine angeblich isolierte Produktivdatenbank kommunizierte mit einer unbekannten externen IP-Adresse. Ihr SOC-Team war bereits im Einsatz und verfolgte die Verbindung zu einem fehlerhaft konfigurierten Cloud-Speicher-Bucket zurück, den ein Marketing-Analytics-Team beim Test eines neuen Tools zur Kundensegmentierung angelegt hatte. Der unmittelbare Schaden wurde eingedämmt, doch die Nachbetrachtung zeigte ein deutlich gefährlicheres Problem, das weder mit Firewalls noch mit Schadsoftware zu tun hatte.
Der Marketingmanager, der das Tool beauftragt hatte, unterlag keiner formalen Sicherheitsaufsicht. Der DevOps-Engineer, der die Umgebung bereitgestellt hatte, umging die standardmäßigen Sicherheitsprüfungen, um eine enge Frist einzuhalten. Die Daten im Bucket waren zwar anonymisiert, aber sensibel genug, um bei mehreren Schlüsselkunden vertragliche Meldepflichten auszulösen.
Die Ursachenanalyse ergab keine technische Schwachstelle. Es handelte sich um ein gravierendes Governance-Versagen. Maria hatte Richtlinien, Werkzeuge und ein starkes Team. Was ihr fehlte, war ein Governance-Rahmenwerk, das lebte, durchgesetzt wurde und über die Informationssicherheitsabteilung hinaus verstanden wurde. Ihr Unternehmen war auf dem Papier konform, das ISO/IEC 27001:2022-Zertifikat hing noch makellos an der Wand, aber in der Praxis war es nicht resilient.
Genau an dieser kritischen Lücke scheitern viele Organisationen und ihre CISOs. Sie verwechseln Governance-Artefakte, also Richtlinien und Checklisten, mit Governance selbst. Dieser Artikel zeigt, wo dieser Denkfehler entsteht, und liefert einen konkreten Fahrplan, um Compliance auf dem Papier mithilfe des integrierten Clarysec-Toolkits in dauerhafte geschäftliche Steuerung zu überführen.
Jenseits des Ordners: Governance als Tätigkeit neu definieren
Zu lange wurde Governance als Substantiv behandelt: als statische Sammlung von Dokumenten auf einem Server. Echte Governance der Informationssicherheit ist jedoch eine Tätigkeit. Sie umfasst die kontinuierlichen Maßnahmen, mit denen die Leitung Sicherheit als zentrale Geschäftsfunktion steuert, überwacht und unterstützt. Ziel ist ein System, in dem alle Beteiligten, vom Leitungsorgan bis zum Entwicklungsteam, ihre Rolle beim Schutz der Informationswerte der Organisation verstehen.
Rahmenwerke von ISO/IEC 27001:2022 bis NIS2 beginnen mit dieser Erkenntnis: Governance ist eine Managementfunktion, keine technische Funktion. Nach ISO/IEC 27014:2020 muss die oberste Leitung eine Informationssicherheitsstrategie festlegen, die an den Zielen der Organisation ausgerichtet ist. Diese Strategie muss sicherstellen, dass Sicherheitsanforderungen sowohl interne als auch externe Anforderungen erfüllen, einschließlich gesetzlicher, regulatorischer und vertraglicher Verpflichtungen. Zur Bestätigung muss die Leitung unabhängige Audits beauftragen, eine Kultur fördern, die Sicherheit aktiv unterstützt, und sicherstellen, dass Ziele, Rollen und Ressourcen wirksam koordiniert sind.
Das Problem besteht darin, dass dieser „Tone from the Top“ häufig nicht in operative Maßnahmen übersetzt wird. Genau hier kommt die kritischste und oft missverstandene Maßnahme ins Spiel: Verantwortlichkeiten des Managements.
Der Kaskadeneffekt: Warum Sicherheit nicht beim CISO enden darf
Der größte Single Point of Failure in jedem Informationssicherheits-Managementsystem (ISMS) ist die Annahme, dass allein der CISO für Sicherheit verantwortlich ist. In Wirklichkeit ist der CISO der Dirigent, aber die Führungskräfte der einzelnen Geschäftsbereiche sind die Musiker. Spielen sie ihren Part nicht, entsteht Lärm statt Harmonie.
Genau dies adressiert ISO/IEC 27001:2022 in Maßnahme 5.4, „Verantwortlichkeiten des Managements“. Diese Maßnahme verlangt, dass Verantwortlichkeiten für Informationssicherheit in der gesamten Organisation zugewiesen und durchgesetzt werden. Wie unser Zenith Blueprint: An Auditor’s 30-Step Roadmap in Schritt 23 hervorhebt, geht es bei dieser Maßnahme darum sicherzustellen, dass Sicherheitsführung durch jede Ebene der Organisation kaskadiert.
„Letztlich unterstreicht Maßnahme 5.4, dass Sicherheitsführung nicht beim CISO endet. Sie muss durch jede Ebene des operativen Managements kaskadieren, denn Erfolg oder Scheitern Ihres ISMS hängt häufig nicht von Richtlinien oder Werkzeugen ab, sondern davon, ob Führungskräfte Sicherheit in ihren eigenen Verantwortungsbereichen aktiv vorantreiben.“ Zenith Blueprint
In Marias Fall betrachtete der Marketingmanager Sicherheit als Blocker, nicht als gemeinsame Verantwortung. Der DevOps-Engineer sah eine Frist, nicht eine Sorgfaltspflicht. Ein gelebtes Governance-Rahmenwerk hätte Sicherheitsprüfpunkte in den Projektinitiierungsprozess und in die Leistungskennzahlen des DevOps-Teams eingebettet. Damit wird Governance von einer Compliance-Last zu einem Instrument, um schwerwiegende Vorfälle zu vermeiden.
Von der Theorie zur Praxis: Governance mit umsetzbaren Richtlinien aufbauen
Eine Richtlinie im Regal ist ein Artefakt; eine in das Tagesgeschäft integrierte Richtlinie ist eine Kontrolle. Um Governance operativ wirksam zu machen, benötigen Organisationen eine eindeutige Definition der Pflichten. Unsere Governance Roles & Responsibilities Policy ist genau dafür konzipiert. Eines ihrer Kernziele lautet:
„Ein Governance-Modell aufrechterhalten, das Funktionstrennung durchsetzt, Interessenkonflikte beseitigt und die Eskalation ungelöster Sicherheitsprobleme ermöglicht.“ Governance Roles & Responsibilities Policy
Diese Aussage überführt ein abstraktes Prinzip in eine konkrete, auditierbare Anforderung. Sie schafft einen Rahmen für gestufte Rechenschaftspflicht, in dem jede Managementebene nachweislich ihren Teil des Sicherheitsprogramms verantwortet. Für kleinere Organisationen vereinfacht die Governance Roles & Responsibilities Policy - SME dies und stellt in Abschnitt 4.3.3 unmittelbar klar, dass jeder Mitarbeiter „Vorfälle und Compliance-Fragen unverzüglich an den General Manager melden muss“. Diese Klarheit beseitigt Mehrdeutigkeit und befähigt alle, zu handeln.
Kehren wir zu Marias Vorfall zurück und betrachten wir, wie sie mit dem Clarysec-Toolkit ihren Governance-Ansatz neu aufbauen könnte, um aus einem reaktiven Versagen ein proaktives, resilientes System zu machen.
Richtlinie als Grundlage: Zunächst würde sie die Governance Roles & Responsibilities Policy umsetzen. Gemeinsam mit HR würde sie spezifische Sicherheitsaufgaben in die Stellenbeschreibungen aller Führungskräfte integrieren, vom Marketing bis zum Finanzbereich. Damit wird Sicherheit formaler Bestandteil ihrer Rolle und kein nachgelagerter Gedanke.
Das „Wie“ festlegen: Anschließend würde sie die Richtlinie nutzen, um einen klaren Prozess einzurichten. Abschnitt 7.2.2 der Richtlinie lautet: „Governance-related risks must be reviewed by the ISMS Steering Committee and validated during internal audits.“ Dadurch entsteht ein formales Gremium, in dem das neue Projekt des Marketingmanagers geprüft worden wäre, bevor eine Cloud-Umgebung erstellt wurde; die ursprüngliche Fehlkonfiguration wäre dadurch verhindert worden.
Cross-Compliance-Intelligence nutzen: Um den vollständigen Umfang ihres neuen Governance-Modells zu verstehen, würde Maria Zenith Controls: The Cross-Compliance Guide heranziehen. Diese Ressource zeigt, dass „Verantwortlichkeiten des Managements“ (ISO 5.4) keine isolierte Aufgabe ist, sondern ein zentraler Knotenpunkt mit Verbindungen zu anderen kritischen Maßnahmen. So zeigt sie beispielsweise die direkte Verbindung zwischen 5.4 und 5.8 („Informationssicherheit im Projektmanagement“) und stellt sicher, dass das Management die notwendige Aufsicht bereitstellt, um Sicherheit in alle neuen Initiativen einzubetten.
Dieser proaktive Ansatz verlagert Governance von einer reaktiven Analyse nach einem Vorfall zu einer geschäftsbefähigenden Funktion. Er sorgt dafür, dass die erste Frage eines Managers beim Start eines neuen Tools nicht lautet: „Wie bekomme ich das an Security vorbei?“, sondern: „Mit wem im Sicherheitsteam muss ich zusammenarbeiten?“
Der Auditor kommt: Nachweisen, dass Ihre Governance real ist
Ein erfahrener Auditor ist darauf geschult, Nachweise für die Umsetzung zu suchen, ein Konzept, das der Zenith Blueprint als Abgleich der Richtlinie mit der „Realität“ beschreibt. Wenn ein Auditor Ihr Governance-Rahmenwerk beurteilt, liest er nicht nur Dokumente; er prüft das organisatorische Muskelgedächtnis. Er sucht Nachweise dafür, dass Governance lebendig, aktiv und reaktionsfähig ist.
Verschiedene Auditoren prüfen Ihr Governance-Rahmenwerk aus unterschiedlichen Blickwinkeln. So würden sie Marias neues, robustes Governance-Modell testen:
Der ISO/IEC 27001:2022-Auditor: Dieser Auditor wird unmittelbar die Nachweise für das in Abschnitt 5.1 geforderte Engagement der Leitung prüfen. Er wird die Protokolle der Managementbewertungen anfordern (Abschnitt 9.3). Er wird nach Tagesordnungspunkten suchen, in denen Sicherheitsleistung besprochen, Ressourcen zugewiesen und Entscheidungen auf Basis von Risikobeurteilungen getroffen wurden. Er will sehen, dass die Leitung nicht nur Berichte erhält, sondern das ISMS aktiv steuert.
Der COBIT 2019-Auditor: Ein COBIT-Auditor denkt in Unternehmenszielen. Er konzentriert sich auf Governance-Ziele wie EDM03 („Ensured Risk Optimization“). Er wird die dem Leitungsorgan vorgelegten Risikoberichte sehen wollen und prüfen, ob das Management zentrale Sicherheitsindikatoren verfolgt und Korrekturmaßnahmen einleitet, wenn sich diese Indikatoren negativ entwickeln. Für ihn bedeutet Governance, sicherzustellen, dass Sicherheit Geschäftswert ermöglicht und schützt.
Der ISACA-Auditor: Geleitet von Rahmenwerken wie ITAF legt dieser Auditor besonderes Gewicht auf den „Tone from the Top“. Er führt Interviews mit der obersten Leitung, um deren Verständnis und Engagement einzuschätzen. Eine langsame oder abwehrende Reaktion des Managements auf eine frühere Audit-Feststellung ist ein deutliches Warnsignal und weist auf eine schwache Governance-Kultur hin.
Die NIS2- oder DORA-Aufsicht: Bei Vorschriften wie NIS2 und DORA sind die Anforderungen höher. Diese Rahmenwerke verankern bei Leitungsorganen unmittelbare persönliche Verantwortung für Cybersicherheitsversagen. Ein Auditor einer zuständigen Behörde wird Nachweise verlangen, dass das Leitungsorgan das Cybersicherheits-Risikomanagementrahmenwerk genehmigt, dessen Umsetzung überwacht und spezialisierte Schulungen erhalten hat. Gesucht wird der Nachweis, dass das Management nicht nur informiert, sondern aktiv eingebunden und rechenschaftspflichtig ist.
Um diesen unterschiedlichen Auditansätzen zu genügen, müssen Sie mehr als nur Richtlinien vorlegen. Sie benötigen ein Nachweisportfolio.
| Audit-Schwerpunkt | Erforderliche Nachweise |
|---|---|
| Einbindung der obersten Leitung | Protokolle der Managementbewertung, genehmigte Budgets, Präsentationen für das Leitungsorgan und strategische Kommunikation. |
| Wirksamkeitsüberprüfungen | Maßnahmenprotokolle zu Managemententscheidungen, nachverfolgte Risikominderungsmaßnahmen aus Risikobeurteilungen. |
| Rechenschaftspflicht und Reaktion | RACI-Matrizen, Stellenbeschreibungen mit Sicherheitsaufgaben, Vorfallsberichte mit Eskalation an das Management. |
| Formale Zuweisung | Unterzeichnete Mandate für Sicherheitsausschüsse, formale Rollenbeschreibungen für Risikoverantwortliche, jährliche Bestätigungen von Abteilungsleitern. |
Wenn Ihre Nachweise nur aus Richtlinien-PDFs bestehen und keine operativen Protokolle enthalten, werden Sie das Audit nicht bestehen. Der Leitfaden Zenith Controls unterstützt Sie dabei, das richtige Portfolio zusammenzustellen, um Nachweise statt bloßer Absicht vorzulegen.
Die Feedbackschleife: Vorfälle in Resilienz überführen
Der stärkste Beleg für ein resilientes Governance-Rahmenwerk ist letztlich die Art, wie die Organisation auf Fehler reagiert. Echte Resilienz bedeutet lernen, anpassen und handeln. Wie der Zenith Blueprint bei der Erörterung von Maßnahme 5.24 („Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen“) feststellt:
„Was eine sichere Organisation ausmacht, ist nicht die Abwesenheit von Vorfällen, sondern die Vorbereitung darauf, mit ihnen umzugehen, wenn sie eintreten … Bei dieser Maßnahme geht es um Verbesserung, nicht nur um Abschluss. Auditoren werden fragen: ‚Was haben Sie aus Ihrem letzten Vorfall gelernt?‘ Sie erwarten Ursachenanalyse, dokumentierte Lessons Learned und vor allem Nachweise, dass sich infolge des Vorfalls tatsächlich etwas geändert hat.“
In Marias Fall war das „Etwas, das sich geändert hat“ nicht nur eine Firewall-Regel. Es war die Einführung eines Governance-Prozesses, der Managementfreigaben für neue Projekte, eine klare RACI-Matrix für Cloud-Bereitstellungen und verpflichtende Sicherheitsschulungen für das Marketingteam verlangte. Ihre Fähigkeit, diese Lernschleife nachzuweisen, würde eine potenziell wesentliche Nichtkonformität in einen Nachweis für ein reifes, sich verbesserndes ISMS verwandeln.
Hier zeigt Governance ihren Wert. Ein Fehler ist dann nicht mehr nur ein technisches Problem, das behoben werden muss, sondern eine organisatorische Lehre, die aufgenommen und integriert wird. Wie die Governance Roles & Responsibilities Policy in Abschnitt 9.1.1.4 festlegt, werden „Significant audit findings or incidents involving governance failure“ nicht unter den Teppich gekehrt; sie werden überprüft, eskaliert und mit Maßnahmen bearbeitet.
Governance verankern: Die Rolle der Rechenschaftspflicht
Selbst mit den besten Richtlinien und Rückhalt des Managements kann Governance scheitern, wenn Verstöße gegen Anforderungen folgenlos bleiben. Ein wirklich robustes Rahmenwerk muss durch einen fairen, konsistenten und klar kommunizierten Disziplinarprozess unterstützt werden. Dies ist der Schwerpunkt von ISO/IEC 27001:2022 Maßnahme 6.4, „Disziplinarverfahren“.
Diese Maßnahme stellt sicher, dass die Regeln des ISMS nicht optional sind. Sie stellt den Durchsetzungsmechanismus bereit, der das Engagement der Leitung für Sicherheit belegt. Wie in Zenith Controls ausgeführt, ist dieser Prozess eine kritische Risikobehandlung für Insider-Bedrohungen und Fahrlässigkeit. Er wirkt mit anderen Maßnahmen zusammen: Überwachungstätigkeiten (8.16) können einen Richtlinienverstoß identifizieren, während der Disziplinarprozess (6.4) die formale Reaktion vorgibt.
„Disziplinarmaßnahmen sind belastbarer, wenn Mitarbeiter angemessen geschult und auf ihre Verantwortlichkeiten aufmerksam gemacht wurden. Maßnahme 6.4 stützt sich auf 6.3 (Informationssicherheitsbewusstsein, Aus- und Weiterbildung), um sicherzustellen, dass sich Personal nicht auf Unkenntnis der verletzten Richtlinien berufen kann.“
Ein Auditor wird prüfen, ob dieser Prozess auf allen Ebenen konsistent angewendet wird, sodass ein Mitglied der obersten Leitung, das gegen die Clean-Desk-Richtlinie verstößt, demselben Prozess unterliegt wie ein Praktikant. Dies ist das letzte Glied in der Kette: Governance wird von einer Orientierungshilfe zu einem durchsetzbaren Standard.
Die einheitliche Compliance-Landkarte: Eine Gesamtansicht der Governance
Der Druck moderner Governance besteht darin, dass sie nie in einem einzigen Rahmenwerk verbleibt. Vorschriften wie NIS2 und DORA haben Managementverantwortung von einer Best Practice zu einer rechtlichen Verpflichtung mit persönlicher Haftung gemacht. Ein resilienter CISO muss Governance so nachweisen können, dass mehrere Auditoren gleichzeitig überzeugt werden.
Diese einheitliche Tabelle, abgeleitet aus den Zuordnungen in Zenith Controls, zeigt, dass das Prinzip der Managementverantwortung eine universelle Anforderung in den wichtigsten Rahmenwerken ist.
| Rahmenwerk/Standard | Relevanter Abschnitt/Maßnahme | Zuordnung zur Verantwortung der Geschäftsleitung (ISO 5.4) |
|---|---|---|
| ISO/IEC 27001:2022 | Abschnitte 5.1, 5.2, 9.3 | Verlangt aktive Führung, Integration des ISMS in Geschäftsprozesse und regelmäßige Managementbewertungen. |
| EU NIS2 | Article 21(1) | Managementorgane müssen Praktiken des Cybersicherheits-Risikomanagements genehmigen und beaufsichtigen; bei Versagen besteht persönliche Haftung. |
| EU DORA | Article 5(2) | Das Leitungsorgan trägt die Gesamtverantwortung für das IKT-Risikomanagementrahmenwerk und die digitale operationale Resilienz der Einrichtung. |
| EU GDPR | Articles 5(2), 24(1) | Das Prinzip der Rechenschaftspflicht verlangt von Verantwortlichen, die Einhaltung nachzuweisen und angemessene Maßnahmen umzusetzen. |
| NIST SP 800-53 | PM-1, PM-9 | Die Leitung muss den Sicherheitsprogrammplan festlegen und eine übergreifende Risk-Executive-Funktion für eine einheitliche Aufsicht einrichten. |
| COBIT 2019 | EDM03 | Leitungsorgan und Geschäftsleitung müssen Sicherheitsinitiativen bewerten, steuern und überwachen, um die Ausrichtung an Geschäftszielen sicherzustellen. |
Die Schlussfolgerung ist eindeutig: Alle Auditoren, unabhängig vom Rahmenwerk, nähern sich derselben Anforderung an: „Zeigen Sie mir Governance in der Praxis.“
Fazit: Governance von der Checkbox zum Kompass machen
Die unbequeme Wahrheit ist: „konforme“ Organisationen werden jeden Tag kompromittiert. „Resiliente“ Organisationen hingegen überstehen Vorfälle und passen sich an. Resilienz erfordert die tiefe Integration von Richtlinien, Technologie und echter Verantwortung der Geschäftsleitung. Sie ist keine Parade von Formularen, sondern eine Kultur, in der Sicherheit und Geschäftsstrategie im Gleichschritt agieren.
Stellen Sie zunächst die schwierigen Fragen:
- Ist unsere Sicherheitsführung sichtbar? Beteiligen sich Führungskräfte außerhalb der Sicherheitsfunktion aktiv an Risikoentscheidungen?
- Sind Verantwortlichkeiten klar? Kann jede Führungskraft ihre konkreten Pflichten zum Schutz von Informationen in ihrem Verantwortungsbereich benennen?
- Ist Governance integriert? Sind Sicherheitsaspekte von Beginn an in unser Projektmanagement, unsere Beschaffung und unsere HR-Prozesse eingebettet?
- Lernen wir aus unseren Fehlern? Löst ein Vorfall eine Überprüfung unseres Governance-Rahmenwerks aus, nicht nur unserer technischen Kontrollen?
Ob eine Organisation einen Vorfall übersteht oder unter regulatorischer Prüfung scheitert, hängt davon ab, wie tief Governance in die Abläufe eingewoben ist. Sie ist der Kompass, der Ihre Organisation durch Unsicherheit führt. Im Krisenmoment steht nur echte Governance zwischen Compliance und Katastrophe.
Nächste Schritte: Resilienz messbar machen
- Nutzen Sie den Zenith Blueprint, um einen Realitätscheck Ihrer Management-Rechenschaftspflicht durchzuführen und sicherzustellen, dass Sicherheit im gesamten Unternehmen sichtbar ist.
- Implementieren Sie Clarysec-Richtlinien wie die Governance Roles & Responsibilities Policy als lebende Dokumente, die Schulung, Eskalation und Korrekturmaßnahmen steuern.
- Nutzen Sie Zenith Controls, um über ISO/IEC 27001:2022, NIS2, DORA und weitere Rahmenwerke hinweg auditbereit zu sein, mit konkreten Zuordnungen und Nachweispaketen.
Sind Sie bereit, Ihre Governance von einer Checkbox zu einem Kompass weiterzuentwickeln? Buchen Sie eine ISMS-Governance-Überprüfung mit Clarysec und bringen Sie Ihr Führungsteam wirklich in die Steuerungsverantwortung.
Referenzen:
- Zenith Blueprint: An Auditor’s 30-Step Roadmap
- Zenith Controls: The Cross-Compliance Guide
- Governance Roles & Responsibilities Policy
- Governance Roles & Responsibilities Policy - SME
- ISO/IEC 27001:2022, ISO/IEC 27014:2020, ISO/IEC 27005:2022, DORA, NIS2, GDPR, NIST SP 800-53 Rev.5, COBIT 2019.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
