Zum Hauptinhalt springen
Passwork LogoPasswork LogoSecurity champion course

Unterstützung des Managements gewinnen

Ohne Management-Unterstützung können Sie kein effektiver Security Champion sein. Das bedeutet: dedizierte Zeit, Befugnis zur Ticket-Erstellung, Zugriff auf Systeme und die Anerkennung, dass diese Arbeit wichtig ist.

Diese Unterstützung zu gewinnen erfordert, eine Sprache zu sprechen, mit der die meisten technischen Leute nicht vertraut sind: die Sprache von Geschäftsrisiken, Geld und Wettbewerbsvorteilen.

Dieses Kapitel zeigt Ihnen, wie Sie den Fall darlegen.

Warum technische Argumente nicht funktionieren

Wenn Ingenieure mit der Geschäftsführung über Sicherheit sprechen, verlaufen Gespräche meist so:

„Wir sollten MFA implementieren, weil es eine Sicherheits-Best-Practice ist."

Der CEO nickt. Nichts passiert.

„Unsere Abhängigkeiten haben bekannte CVEs. Wir sollten sie aktualisieren."

Der CTO sagt „fügen Sie es zum Backlog hinzu." Es liegt dort sechs Monate.

„Wir müssen Zugriffsüberprüfungen durchführen. Das ist grundlegende Hygiene."

Alle stimmen zu. Niemand plant es ein.

Das Problem ist nicht, dass die Geschäftsführung es nicht interessiert. Das Problem ist, dass „Best Practice" und „Hygiene" sich mit nichts verbinden, woran sie gemessen werden. Umsatz, Kundenbindung, Deal-Velocity, Betriebskosten – das sind die Kennzahlen, die Entscheidungen treiben.

Wenn Sie wollen, dass Sicherheit Ressourcen bekommt, müssen Sie sie mit diesen Kennzahlen verbinden.

Die drei Argumente, die funktionieren

Nach dem Beobachten von Champions, die bei der Überzeugungsarbeit erfolgreich waren und scheiterten, habe ich drei Argumente gesehen, die die Geschäftsführung tatsächlich bewegen.

Argument 1: Wir verlieren Aufträge

Das ist das stärkste Argument für B2B-Unternehmen.

Enterprise-Kunden schicken Sicherheitsfragebögen. Wenn Sie sie nicht überzeugend beantworten können, verlieren Sie den Auftrag. Manchmal wissen Sie nicht einmal, dass Sie ihn verloren haben – der Interessent hört einfach auf zu antworten.

So führen Sie dieses Argument:

„Letztes Quartal haben wir drei Sicherheitsfragebögen von Interessenten erhalten. Wir konnten grundlegende Fragen nicht beantworten: Haben Sie MFA? Führen Sie Zugriffsüberprüfungen durch? Haben Sie einen Incident-Response-Plan? Wir wissen nicht, wie viele Aufträge wir deswegen verloren haben, aber ich weiß, dass wir mindestens einen Fragebogen komplett nicht bestanden haben."

„Ein Security Champion kann das beheben. In einem Monat kann ich MFA implementieren, unseren Zugriffsüberprüfungsprozess dokumentieren und einen Incident-Response-Plan schreiben. Dann können wir diese Fragebögen ehrlich beantworten."

Das funktioniert, weil es sich direkt mit dem Umsatz verbindet. Sicherheit ist kein Kostenfaktor – sie ist ein Vertriebsermöglicher.

Argument 2: Ein Vorfall kostet mehr als Prävention

Dieses Argument funktioniert, wenn Sie auf konkrete Risiken hinweisen können.

„Momentan haben wir AWS-Zugangsdaten in drei Repositories. Wenn eine davon leaked, sehen wir uns Krypto-Mining-Gebühren gegenüber – ich habe gesehen, wie Unternehmen über Nacht 10.000-Dollar-Rechnungen bekommen haben. Oder schlimmer: Datenzugriff."

„Ein Security Champion kann alle unsere Repositories nach Secrets scannen und eine Blockierung einrichten, damit das nicht mehr passieren kann. Das ist ein paar Stunden Arbeit im Vergleich zu potenziell Zehntausenden an Schäden."

Das Entscheidende ist Spezifität. Sagen Sie nicht „wir haben Sicherheitsrisiken". Sagen Sie „wir haben AWS-Schlüssel in öffentlichen Repos, und hier ist, was passiert, wenn diese geleakt werden".

Argument 3: Es kostet fast nichts

Das Management befürchtet, dass Sicherheit teure Tools und dediziertes Personal bedeutet. Ihre Aufgabe ist es zu zeigen, dass das Champion-Modell anders ist.

„Ich bitte nicht um Budget. Ich bitte Sie nicht, jemanden einzustellen. Ich bitte um vier Stunden meiner Zeit pro Woche und die Erlaubnis, Sicherheitsaufgaben zu priorisieren."

„Im Gegenzug erhalten wir MFA überall, Secrets aus den Repos, vierteljährliche Zugriffsüberprüfungen und jemanden, der Sicherheitsfragen beantworten kann, wenn Kunden fragen."

Wenn die Kosten fast null sind und der Nutzen konkret ist, wird die Entscheidung einfacher.

Verstehen, was das Management wirklich beschäftigt

Bevor Sie präsentieren, verstehen Sie, was die Führungskräfte bewegt.

CEOs beschäftigen sich mit:

  • Umsatz und Wachstum
  • Kundenverlust
  • Reputation
  • Investor-/Board-Erwartungen
  • Wettbewerbspositionierung

CTOs beschäftigen sich mit:

  • Liefergeschwindigkeit
  • Technischen Schulden
  • Team-Produktivität
  • Systemzuverlässigkeit
  • Recruiting und Mitarbeiterbindung

CFOs beschäftigen sich mit:

  • Kostenkontrolle
  • Vorhersehbaren Ausgaben
  • Audit-Ergebnissen
  • Versicherungsprämien

Ihr Security-Champion-Pitch muss sich mit diesen Bedenken verbinden. „Best Practice" verbindet sich mit keinem davon. „Wir können größere Aufträge gewinnen" verbindet sich mit dem, was den CEO beschäftigt. „Das wird die Liefergeschwindigkeit nicht verlangsamen" adressiert die Angst des CTOs. „Kein neues Budget erforderlich" lässt den CFO aufatmen.

Ihr Einseitiges erstellen

Vor jedem Meeting schreiben Sie eine einseitige Zusammenfassung. Das zwingt zur Klarheit und gibt der Geschäftsführung etwas, worauf sie später verweisen können.

Struktur:

Problem (2–3 Sätze)

Was ist der aktuelle Stand? Seien Sie konkret über Lücken, nicht abstrakt über Risiken.

Beispiel: „Wir haben keine systematischen Sicherheitspraktiken. MFA ist optional. Ehemalige Mitarbeiter behalten Zugriff. Niemand überprüft Abhängigkeiten auf Schwachstellen. Wir können grundlegende Sicherheitsfragebögen von Kunden nicht beantworten."

Risiko (2–3 Sätze)

Was könnte schiefgehen? Verwenden Sie konkrete Szenarien, keine Panikmache.

Beispiel: „Ein Zugangsdaten-Leak könnte zu erheblichen Cloud-Gebühren und potenzieller Datenoffenlegung führen. Ein Ransomware-Vorfall könnte die Entwicklung tagelang lahmlegen. Wir verzichten auf Enterprise-Aufträge, weil wir keine Sicherheitsprüfungen bestehen können."

Vorschlag (2–3 Sätze)

Worum bitten Sie? Seien Sie konkret.

Beispiel: „Ich schlage vor, als Security Champion mit 4 Stunden/Woche für Sicherheitsarbeit zu agieren. Ich werde MFA implementieren, Zugriffe bereinigen, Secret Scanning einrichten und grundlegende Dokumentation erstellen. Kein zusätzliches Budget erforderlich."

Erwartete Ergebnisse (Aufzählung)

Was wird in 3 Monaten anders sein?

  • MFA für alle kritischen Dienste aktiviert
  • Vierteljährliche Zugriffsüberprüfungen laufen
  • Secrets aus Repositories entfernt
  • Standard-Sicherheitsfragebögen beantwortbar
  • Grundlegender Incident-Response-Prozess dokumentiert

Was ich brauche

  • 4 Stunden/Woche geschützte Zeit
  • Befugnis, sicherheitsrelevante Tickets zu erstellen
  • Admin-Zugriff für Prüfzwecke
  • Vierteljährliches Check-in mit der Geschäftsführung zu Fortschritten

Halten Sie es bei einer Seite. Wenn Sie es nicht auf einer Seite erklären können, verstehen Sie es nicht gut genug.

Das 5-Minuten-Gespräch

Manchmal bekommen Sie kein Meeting. Sie bekommen fünf Minuten nach dem Standup oder einen Slack-Thread, den die Geschäftsführung vielleicht liest.

Hier ist die Kurzversion:

„Ich möchte Sicherheit als Nebenverantwortung übernehmen – etwa 4 Stunden pro Woche. Kein Budget nötig. Ich werde MFA implementieren, Zugriffe bereinigen und sicherstellen, dass wir Sicherheitsfragen von Kunden beantworten können. Können wir das ein Quartal lang versuchen und schauen, wie es läuft?"

Das war's. Sie bitten um Erlaubnis zu helfen, nicht um Ressourcen. Die meisten Führungskräfte werden dem zustimmen.

Wenn sie Einwände haben, haben Sie zwei Antworten:

„Was ist der Einwand?" – Manchmal haben sie einen echten Einwand, den Sie ansprechen können.

„Können wir es einen Monat lang versuchen?" – Die Verpflichtung senken. Einem Monat ist leicht zuzustimmen.

Mit Einwänden umgehen

Hier sind Einwände, die Sie hören werden, und wie Sie darauf antworten.

„Wir haben keine Zeit dafür."

„Ich verstehe, dass das Team ausgelastet ist. Deshalb schlage ich vor, das selbst zu übernehmen – mit nur 4 Stunden pro Woche. Ich kümmere mich darum, ohne andere von ihrer Arbeit abzulenken. Und ehrlich gesagt ist die Zeit, die wir sparen, indem wir keine Sicherheitsvorfälle bewältigen müssen, mehr wert als 4 Stunden."

„Wir werden irgendwann eine Sicherheitsperson einstellen."

„Das macht für die Langfristperspektive Sinn. Aber die Einstellung dauert Zeit, und selbst wenn wir jemanden einstellen, braucht diese Person jemanden, der unsere Systeme versteht. Die Arbeit, die ich jetzt leiste, baut das Fundament, das sie erben werden. Und sie adressiert sofortige Risiken, während wir den Einstellungszeitplan klären."

„Wir hatten noch keine Sicherheitsvorfälle."

„Das ist gut, aber es ist zum Teil Glück. Wir haben Zugangsdaten in Repos, die jeder finden könnte. Wir haben ehemalige Mitarbeiter mit Produktionszugriff. Das sind keine theoretischen Risiken – sie verursachen jede Woche Vorfälle bei Unternehmen wie dem unseren. Eine Champion-Rolle geht darum, diese zu beheben, bevor sie zu Vorfällen werden."

„Unsere Kunden fragen nicht danach."

„Einige schon. Wir hatten im letzten Quartal drei Sicherheitsfragebögen. Aber selbst für Kunden, die nicht fragen, wird Sicherheit zum Mindeststandard. Unsere Mitbewerber investieren hier. Wenn wir das nicht tun, werden wir anfangen, Aufträge an Unternehmen zu verlieren, die Sicherheitsfragen selbstbewusst beantworten können."

„Was, wenn Sie das Unternehmen verlassen?"

„Berechtigte Frage. Alles, was ich tue, wird dokumentiert. Die Prozesse, die ich einrichte, laufen ohne mich – wie vierteljährliche Zugriffsüberprüfungen oder automatisiertes Scanning. Und wenn das Unternehmen später eine Sicherheitsperson einstellen möchte, hat diese einen Vorsprung, weil die Grundlagen bereits vorhanden sind."

Die Präsentation (wenn Sie eine brauchen)

Manchmal möchte die Geschäftsführung eine Präsentation. Hier ist eine Struktur, die funktioniert:

Folie 1: Das Problem

  • 2–3 konkrete Lücken (kein MFA, Zugangsdaten im Code, keine Zugriffsüberprüfungen)
  • Ein Satz dazu, warum das jetzt wichtig ist

Folie 2: Das Risiko

  • Was passiert, wenn wir nicht handeln
  • Ein konkretes Beispiel (ein ähnliches Unternehmen, ein Beinahe-Unfall bei uns)

Folie 3: Der Vorschlag

  • Security-Champion-Rolle: was sie ist
  • Was ich im ersten Quartal tun werde
  • Worum ich bitte (Zeit, Zugriff, Befugnis)

Folie 4: Erwartete Ergebnisse

  • 3–5 konkrete Lieferergebnisse
  • Wie wir Erfolg messen

Folie 5: Zeitplan

  • Monat 1: [konkrete Ziele]
  • Monat 2: [konkrete Ziele]
  • Monat 3: [konkrete Ziele]

Folie 6: Die Bitte

  • Zusammenfassung dessen, was Sie brauchen
  • Nächster Schritt (Genehmigung zum Start)

Halten Sie es unter 10 Minuten. Die Aufmerksamkeit der Geschäftsführung ist begrenzt. Wenn sie mehr Details wollen, werden sie fragen.

Nach dem Ja

Buy-in ist kein einmaliges Ereignis. Sie müssen es aufrechterhalten.

Woche 1: Schneller Gewinn

Tun Sie in der ersten Woche etwas Sichtbares. MFA für Führungskonten aktivieren. Den Zugriff eines ehemaligen Mitarbeiters entfernen. Einen Secret in einem Repo finden. Eine kurze Aktualisierung schicken: „Das habe ich in Woche eins gefunden und behoben."

Das baut Glaubwürdigkeit auf. Es zeigt, dass Sie es ernst nehmen und können.

Monatlich: Fortschrittsupdate

Schicken Sie ein kurzes monatliches Update. Drei Abschnitte:

  • Was ich getan habe
  • Was ich gefunden habe (Risiken, Lücken)
  • Womit ich Hilfe brauche

Halten Sie es kurz. Die Geschäftsführung möchte keinen Bericht lesen. Sie möchte wissen, dass die Dinge vorankommen.

Vierteljährlich: Überprüfungsmeeting

Planen Sie jedes Quartal 30 Minuten mit denjenigen ein, die das Programm genehmigt haben. Überprüfen Sie, was Sie erreicht haben, was Sie gelernt haben und was als nächstes kommt.

Das ist auch der Zeitpunkt, an dem Sie den Umfang bei Bedarf neu verhandeln. „Ich habe die Grundlagen erledigt. Das möchte ich im nächsten Quartal angehen. Ich brauche möglicherweise etwas mehr Zeit oder Zugriff."

Wenn Buy-in scheitert

Manchmal sagt die Geschäftsführung Nein. Oder sagt Ja, aber hält nicht durch.

Wenn sie direkt Nein sagen:

  • Fragen Sie, was ihre Meinung ändern würde
  • Schlagen Sie einen kleineren Piloten vor („Kann ich nur 2 Stunden lang einen Monat damit verbringen?")
  • Warten Sie auf einen externen Auslöser (einen Sicherheitsfragebogen, einen Beinahe-Unfall, einen kompromittierten Mitbewerber) und bringen Sie es erneut zur Sprache

Wenn sie Ja sagen, aber Ihnen keine Zeit geben:

  • Beginnen Sie es trotzdem auf minimalem Niveau zu tun
  • Dokumentieren Sie, was Sie tun und was blockiert ist
  • Wenn etwas schiefgeht (ein Vorfall, ein fehlgeschlagener Fragebogen), haben Sie Beweise, dass Sie versucht haben, es zu verhindern

Manchmal ist die richtige Antwort, zu gehen. Wenn ein Unternehmen keine Aufmerksamkeit in Sicherheit investieren will, gehen sie Risiken ein, die sie irgendwann einholen werden. Sie müssen nicht dabei sein, wenn das passiert.

Workshop: Ihren Pitch aufbauen

Nehmen Sie sich 30 Minuten, um Ihre eigenen Überzeugungsmaterialien vorzubereiten.

Schritt 1: Drei konkrete Lücken auflisten (5 Minuten)

Welche Sicherheitsprobleme können Sie in Ihrem Unternehmen gerade jetzt benennen?

Nicht „wir haben schlechte Sicherheit" – konkrete Dinge wie „MFA ist optional", „wir entfernen keinen Zugriff, wenn Mitarbeiter gehen", „es gibt AWS-Schlüssel in unserem Haupt-Repo".

Schritt 2: Jede Lücke mit einem Geschäftsrisiko verbinden (5 Minuten)

Für jede Lücke: Was ist die geschäftliche Konsequenz?

  • Verlorene Auftragsmöglichkeit
  • Potenzielle finanzielle Verluste
  • Betriebsunterbrechung
  • Reputationsschaden

Schritt 3: Ihr Einseitiges schreiben (15 Minuten)

Verwenden Sie die Struktur aus diesem Kapitel:

  • Problem (2–3 Sätze)
  • Risiko (2–3 Sätze)
  • Vorschlag (2–3 Sätze)
  • Erwartete Ergebnisse (Aufzählung)
  • Was Sie brauchen

Schritt 4: Die 5-Minuten-Version üben (5 Minuten)

Verdichten Sie Ihren Pitch auf etwas, das Sie in einem Flurgespräch sagen können. Üben Sie es laut. Messen Sie die Zeit.

Lieferergebnis: Ein einseitiges Pitch-Dokument und eine 5-minütige mündliche Version, bereit zum Einsatz.

Fazit

Buy-in zu gewinnen ist eine Fähigkeit, und die meisten Ingenieure erlernen sie nie. Aber sie ist entscheidend für die Champion-Rolle.

Die wichtigste Erkenntnis: Die Geschäftsführung interessiert sich nicht für Sicherheit um ihrer selbst willen. Sie interessiert sich für Umsatz, Kosten und Risiko. Ihre Aufgabe ist es, Sicherheitsarbeit in diese Begriffe zu übersetzen.

Tun Sie das gut, und Sie werden die Zeit, den Zugriff und die Befugnis erhalten, die Sie brauchen. Tun Sie es schlecht, und Sie werden Sicherheitsarbeit in Ihrer Freizeit ohne Unterstützung leisten – was nicht nachhaltig ist.

Damit ist der erste Abschnitt des Kurses abgeschlossen. Sie verstehen jetzt, was ein Security Champion ist, was die Rolle täglich beinhaltet, wie sie Ihrer Karriere hilft und wie Sie die Unterstützung der Geschäftsführung gewinnen.

Weiter: die praktische Arbeit – schnelle Gewinne, die Ihren Wert beweisen und Dynamik aufbauen.

© 2014–2025 «Passwork»
Unternehmen
Über unsDatenschutzrichtlinieISO 27001-ZertifikatVersionshinweiseRoadmapBlog
Browser-Erweiterung
Google ChromeMozilla FirefoxMicrosoft EdgeApple Safari
Mobile Anwendung
App StoreGoogle Play
Für Unternehmen
TeamsKleine UnternehmenUnternehmen und KonzerneEnterpriseOn-Premise-LösungPasswort-FreigabetoolSecret Management
Hilfe
BenutzerhandbuchTechnische DokumentationHilfezentrum