Mehr als eine Unterschrift: Warum das Commitment der Geschäftsleitung die entscheidende Sicherheitskontrolle ist

Die Phantom-Führungskraft und das unvermeidliche Scheitern im Audit

Stellen Sie sich ein Szenario vor, das sich in Sitzungen der Geschäftsleitung häufiger abspielt, als man zugeben möchte.

Alex, ein neu eingestellter CISO, nimmt an einer vierteljährlichen Sitzung des Leitungsorgans teil. Er hat eine vierzigseitige Präsentation vorbereitet, die Schwachstellenbehebung, Firewall-Verfügbarkeit und die neuesten Ergebnisse der Phishing-Simulationen darstellt. Der CEO ist durch eine Fusionsdiskussion abgelenkt, wirft einen kurzen Blick auf den Bildschirm, nickt und sagt: „Sieht so aus, als hätte die IT das im Griff. Halten Sie uns sicher, Alex.“ Die Sitzung geht zu den Vertriebszahlen über.

Sechs Monate später wird die Organisation von Ransomware getroffen. Die Wiederherstellung verläuft langsam, weil die Business-Continuity-Pläne von den Geschäftsbereichen nie getestet wurden. Regulatorische Bußgelder drohen. Als der externe Auditor eintrifft, um die Einhaltung von ISO/IEC 27001:2022 zu bewerten, lautet die erste Frage nicht: „Wie ist die Firewall konfiguriert?“ Sondern: „Kann ich mit dem CEO über seine Rolle im Informationssicherheits-Managementsystem (ISMS) sprechen?“

Der CEO ist irritiert. „Dafür habe ich Alex eingestellt.“

Das Audit scheitert. Nicht wegen der Technologie, sondern wegen eines grundlegenden Missverständnisses von Abschnitt 5.1: Führung und Verpflichtung.

In der heutigen Compliance-Landschaft ist die „Phantom-Führungskraft“ – die Führungskraft, die Budgets freigibt, aber die Strategie ignoriert – das größte Einzelrisiko für das Risikoprofil der Informationssicherheit einer Organisation. Bei Clarysec sehen wir diese Entkopplung regelmäßig. Informationssicherheit wird häufig als technisches Problem isoliert, statt als geschäftliche Notwendigkeit verankert zu werden. Dieser Artikel zeigt, wie Sie diese Lücke schließen: mit dem Zenith Blueprint, unserer Analyse der Zenith Controls und praxisnahen Richtlinienbeispielen, um die Leitung von einem passiven Publikum zur treibenden Kraft Ihres ISMS zu machen.

Mehr als eine Unterschrift: Wie echte Sicherheitsführung aussieht

Eine Richtlinienunterschrift wird leicht mit echtem Commitment verwechselt. Wirksame Führung im Sinne von ISO/IEC 27001:2022 Abschnitt 5.1 bedeutet jedoch, dass Führungskräfte und Mitglieder des Leitungsorgans das ISMS aktiv genehmigen, fördern und mit Ressourcen ausstatten – und anschließend die Verantwortung für dessen fortlaufende Wirksamkeit tragen. Die Norm ist eindeutig: Die oberste Leitung kann Rechenschaftspflicht nicht delegieren.

Die Erfahrung von Clarysec zeigt: Starke Führung durch die Geschäftsleitung ist nicht nur ein ISO-Kontrollkästchen. Sie ist der Motor für Sicherheitskultur, Wirksamkeit und die Fähigkeit, im Audit belastbare Nachweise vorzulegen. Echtes Commitment zeigt sich durch:

• Bestätigung des ISMS: Sicherstellen, dass die Informationssicherheitsleitlinie an der strategischen Ausrichtung der Organisation ausgerichtet ist.
• Bereitstellung von Ressourcen: Wenn eine Risikobeurteilung ein neues Werkzeug, spezialisierte Schulung oder zusätzliches Personal erfordert, muss die Leitung die Finanzierung sicherstellen.
• Förderung der Sensibilisierung: Wenn der CEO Informationssicherheit in einer Betriebsversammlung anspricht, hat das mehr Wirkung als hundert E-Mails der IT-Abteilung.
• Integration des ISMS in Geschäftsprozesse: Sicherheitsprüfungen müssen ein fester Bestandteil von Projektmanagement, Lieferanten-Onboarding und Produktentwicklung sein – nicht ein nachträglicher Zusatz.

Wie im Zenith Blueprint, einer 30-Schritte-Roadmap für Auditoren, beschrieben, beginnt der Nachweis von Führung mit einer formalen Verpflichtungserklärung, muss aber durch kontinuierliche, sichtbare Maßnahmen untermauert werden.

Die Richtlinie als Stimme der Leitung

Das wichtigste Instrument, mit dem die oberste Leitung ihre Absicht ausdrückt, ist die Informationssicherheitsleitlinie. Dieses Dokument ist kein technisches Handbuch, sondern eine Governance-Vorgabe, die den Maßstab für die gesamte Organisation setzt.

In unserer Informationssicherheitsleitlinie für Unternehmen formulieren wir dies ausdrücklich:

„Die Richtlinie erfüllt ISO/IEC 27001:2022 Abschnitt 5.2 und Abschnitt 5.1, indem sie die Absicht der Leitung, das Commitment der obersten Leitung und die Ausrichtung der Sicherheitsaktivitäten an den Zielen der Organisation zum Ausdruck bringt.“ (Abschnitt „Zweck“, Richtlinienklausel 1.3)

Für kleinere Organisationen ist der Ansatz direkter, hat aber dasselbe Gewicht. Unsere Informationssicherheitsleitlinie für KMU betont klare Verantwortlichkeit:

„Klare Verantwortung zuweisen: Stellen Sie sicher, dass stets eine Person für Informationssicherheit rechenschaftspflichtig ist. In der Regel ist dies die Geschäftsführung oder die von ihr formal benannte Person.“ (Abschnitt „Ziele“, Richtlinienklausel 3.1)

Eine häufige Audit-Falle ist der Unterschied zwischen der Verfügbarkeit einer Richtlinie und ihrer Kommunikation. Eine Richtlinie, die existiert, aber unbekannt ist, ist wirkungslos. ISO/IEC 27001:2022 Abschnitt 7.3 und Maßnahme 6.3 verlangen, dass die Richtlinie wirksam kommuniziert wird. Wenn ein Auditor einen zufällig ausgewählten Mitarbeitenden zur Sicherheitsausrichtung des Unternehmens befragt und nur ein leeres Gesicht sieht, ist das ein eindeutiges Versagen von Abschnitt 5.1.

Commitment operationalisieren: Ein praktisches Instrumentarium

Abstraktes Commitment in auditierbare Maßnahmen zu überführen, erfordert einen strukturierten Ansatz. So operationalisiert das Instrumentarium von Clarysec die Verpflichtungen der Leitung.

1. Die formale Verpflichtungserklärung

Eine öffentliche Erklärung verankert die Absicht und klärt Erwartungen. Der Zenith Blueprint empfiehlt, diese direkt in Ihre Informationssicherheitsleitlinie aufzunehmen:

„Der CEO und das Führungsteam von [ Org Name ] bekennen sich uneingeschränkt zur Informationssicherheit. Wir betrachten Informationssicherheit als zentralen Bestandteil unserer Geschäftsstrategie und unseres Betriebs. Das Management stellt sicher, dass ausreichende Ressourcen und Unterstützung bereitgestellt werden, um das Informationssicherheits-Managementsystem gemäß den Anforderungen von ISO/IEC 27001 umzusetzen und kontinuierlich zu verbessern.“

Das ist keine Kosmetik. Auditoren werden die oberste Leitung befragen, um zu bestätigen, dass sie diese Erklärung versteht und trägt – mit gezielten Fragen zur Ressourcenzuteilung und strategischen Ausrichtung.

2. Klare Rollen, Verantwortlichkeiten und Befugnisse (Abschnitt 5.3)

Commitment wird greifbar, wenn es Personen zugewiesen wird. Die Leitung muss für jedes Element des ISMS rechenschaftspflichtige Verantwortliche benennen. Eine RACI-Matrix (Responsible, Accountable, Consulted, Informed) ist ein wertvoller Nachweis. Während ein CISO für die Umsetzung der Strategie zuständig sein kann, bleibt die oberste Leitung für das Risiko rechenschaftspflichtig.

Unsere Governance-Richtlinie zu Rollen und Verantwortlichkeiten für KMU formalisiert diese Architektur:

„Diese Richtlinie definiert, wie Governance-Verantwortlichkeiten für Informationssicherheit in der Organisation zugewiesen, delegiert und gesteuert werden, um die vollständige Einhaltung von ISO/IEC 27001:2022 und anderen regulatorischen Verpflichtungen sicherzustellen.“ (Abschnitt „Zweck“, Richtlinienklausel 1.1)

3. Ressourcenzuteilung: Geld, Personal und Werkzeuge

Ein ISMS ohne Ressourcen ist nur eine Papierübung. Die oberste Leitung muss ihr Commitment nachweisen, indem sie ein konkretes Budget für Sicherheitsinitiativen bereitstellt, die durch Risikobeurteilungen identifiziert wurden – sei es für neue Technologie, Verbesserungen an Einrichtungen oder spezialisierte Schulung. Wie der Zenith Blueprint festhält: Wenn die Risikobeurteilung einen Bedarf zeigt, wird erwartet, dass die Leitung ihn finanziert.

4. Laufende Überprüfung und kontinuierliche Verbesserung (Abschnitt 9.3)

Das Commitment der Leitung ist eine fortlaufende Verpflichtung, kein einmaliges Ereignis. Das Management muss an formalen ISMS-Managementbewertungen teilnehmen (mindestens jährlich), um die Leistung anhand der Ziele zu bewerten, neue Risiken zu beurteilen, wesentliche Änderungen zu genehmigen und Verbesserungen vorzugeben. Sitzungsprotokolle, Leistungs-Dashboards und dokumentierte Verbesserungspläne sind kritische Artefakte für jedes Audit.

5. Aufbau einer sicherheitsbewussten Kultur

Sichtbares Führungsverhalten ist das wirksamste Instrument zum Aufbau von Kultur. Wenn Führungskräfte Richtlinien einhalten und über die Bedeutung von Informationssicherheit sprechen, signalisiert dies: Sicherheit liegt in der Verantwortung aller. Dies wird in unserer Informationssicherheitsleitlinie ausdrücklich gefordert; dort heißt es, dass die Leitung „mit gutem Beispiel vorangeht und eine starke Informationssicherheitskultur fördert“. Diese Erwartung gilt auch für mittlere Führungsebenen, die Richtlinien in ihren Teams durchsetzen und Sicherheit in den täglichen Betrieb integrieren müssen.

Das Ökosystem übergreifender Compliance: Ein Commitment, viele Pflichten

Führung durch die Geschäftsleitung ist nicht nur eine ISO-Anforderung; sie ist das universelle Rückgrat aller wesentlichen Rahmenwerke für Sicherheit, Datenschutz und Resilienz. Ein starker Nachweis des Commitments für ISO 27001 erfüllt gleichzeitig zentrale Governance-Anforderungen aus NIS2, DORA, GDPR, NIST und COBIT.

Unsere Analyse der Zenith Controls liefert die entscheidende Querverknüpfung und zeigt, wie eine einzelne Maßnahme mehreren Compliance-Verpflichtungen zugeordnet werden kann.

Unter NIS2 können nationale Behörden die oberste Leitung für Versäumnisse persönlich haftbar machen. Ebenso schreibt DORA vor, dass das Leitungsorgan das Rahmenwerk für das Management von IKT-Risiken definiert, genehmigt und überwacht. Wie unsere Analyse der Zenith Controls hervorhebt:

„NIS2 verlangt … ein dokumentiertes Rahmenwerk für das Management von Cybersicherheitsrisiken, einschließlich Sicherheitsrichtlinien auf Governance-Ebene … ISO 27001 Maßnahme 5.1 erfüllt dies unmittelbar, indem sie eine Richtlinie vorschreibt, die Sicherheitsziele, Management-Commitment und die Zuweisung von Verantwortlichkeiten definiert.“

Die Umsetzung von ISO 27001 ist nicht nur ein kommerzielles Differenzierungsmerkmal; sie ist eine Verteidigungsstrategie gegen regulatorische Maßnahmen, die sich gegen die Leitung richten.

Der Faktor Mensch: Zuverlässigkeitsüberprüfung als Leitungsentscheidung

Was hat die Zuverlässigkeitsüberprüfung von Mitarbeitenden mit der Unternehmensleitung zu tun? Alles.

Die oberste Leitung legt die Risikobereitschaft der Organisation fest. ISO 27001:2022 Maßnahme 6.1: Zuverlässigkeitsüberprüfung ist die direkte operative Ausprägung dieser Risikoentscheidung; sie bestimmt das erforderliche Vertrauensniveau für Personen, die Zugriff auf Unternehmenswerte erhalten.

Wie in den Zenith Controls analysiert:

„NIS2 verlangt ausdrücklich … Sicherheitsmaßnahmen im Personalwesen, einschließlich der Überprüfung von Personal in sicherheitssensitiven Positionen. Maßnahme 6.1 adressiert diese Anforderung unmittelbar, indem sie Zuverlässigkeitsüberprüfung für Mitarbeitende vorschreibt … Durch Zuverlässigkeitsüberprüfung reduzieren Organisationen das Risiko von Insider-Bedrohungen und stellen sicher, dass nur vertrauenswürdige Personen Zugriff erhalten.“

Diese einzelne Maßnahme ist tief vernetzt. Sie beeinflusst Arbeitsbedingungen (Maßnahme 6.2), Lieferantenbeziehungen (Maßnahme 5.19) und Datenschutzpflichten (Maßnahme 5.34). Wenn die Leitung HR dazu drängt, Zuverlässigkeitsüberprüfungen zu überspringen, um „schneller einzustellen“, untergräbt sie aktiv das ISMS, indem sie Geschwindigkeit über festgelegte Sicherheitsziele stellt – ein klarer Verstoß gegen Abschnitt 5.1.

Die Perspektive des Auditors: Vorbereitung auf die Befragung

Auditoren werden nicht nur Ihre Dokumente lesen; sie werden Ihre Führungskräfte befragen. Genau hier wird fehlendes echtes Commitment schmerzhaft offensichtlich. Ein gut vorbereiteter CISO stellt sicher, dass die Leitung schwierige Fragen souverän beantworten kann.

Das werden Auditoren, geleitet von Standards wie ISO 19011 und ISO 27007, einfordern.

Ein CEO, der erläutern kann, wie Informationssicherheit die Geschäftsstrategie ermöglicht – durch Schutz des Kundenvertrauens, Sicherstellung der Serviceverfügbarkeit oder Ermöglichung des Marktzugangs –, besteht mit Bestnote. Ein CEO, der sagt: „Sie verhindert Viren“, signalisiert ein kritisches Führungsversagen.

Fazit: Führung ist die entscheidende Kontrolle

In der komplexen Mechanik eines ISMS können Firewalls ausfallen und Software kann Fehler enthalten. Die eine Kontrolle, die sich ein Versagen nicht leisten kann, ist jedoch Führung. Das Commitment der obersten Leitung ist die Energiequelle des gesamten Systems. Ohne dieses Commitment sind Richtlinien nur Papier, und Kontrollen bleiben bloße Empfehlungen.

Wenn Sie dem Zenith Blueprint folgen und die übergreifende Compliance-Zuordnung der Analyse der Zenith Controls nutzen, können Sie dieses Commitment dokumentieren, nachweisen und operationalisieren. Sicherheit ist nichts, was man kauft; Sicherheit ist etwas, das man tut. Und dieses Tun beginnt ganz oben.

Sind Sie bereit, Ihr Führungsteam von einem Compliance-Risiko in Ihre stärkste Sicherheitsressource zu verwandeln? Kontaktieren Sie Clarysec noch heute für einen geführten Workshop oder erfahren Sie, wie unsere Zenith-Suite Ihren Weg zu echter, auditfester Governance der Informationssicherheit beschleunigen kann.