Vertrauen ist in der Digitalwirtschaft mindestens ebenso wertvoll wie Umsatz oder Aufmerksamkeit. Denn der Kern vieler digitaler Geschäftsmodelle ist es, Daten zu verarbeiten und zu speichern. Und wer gibt jemandem wichtige Daten, dem er nicht vertraut?

Kund:innen benötigen also Vertrauen in die Fähigkeiten der Unternehmen, die Daten zu schützen, vor Cyberangriffen abzuschirmen und redlich damit umzugehen. Nach einer aktuellen Studie würden 72 Prozent der Konsument:innen nicht mehr bei einem Unternehmen kaufen, das ihre Daten missbraucht hat. Die Zahlen zeigen deutlich, dass Datensicherheit und -schutz ein wichtiger Faktor für den Aufbau von Vertrauen ist. Dabei ist es zweitrangig, ob es um den B2C- oder B2B-Markt geht. Unternehmen verzeihen einen Vertrauensverlust eher noch weniger, da ihre Daten fast immer geschäftskritisch und damit äußerst wertvoll sind.

Die große Bedeutung von Vertrauen hat bei einigen Unternehmen dazu geführt, dass sie die C-Level-Riege aufstocken: Es gibt jetzt den:die Chief Trust Officer (CTrO), der:die entweder eng mit dem:der CISO (Chief Information Security Officer) zusammenarbeitet oder ihn:sie sogar ersetzt. Vor allem IT-Unternehmen und digitalisierte Firmen mit einem großen IT-Anteil wählen diese Variante. Denn wer im Digitalgeschäft den Produktionsfaktor IT einsetzt, ist auf das Vertrauen der bestehenden und potenziellen Kund:innen angewiesen. Das gilt ganz besonders für Organisationen, die KI-Lösungen entwickeln und nutzen. Wenn beispielsweise Trainingsdaten unsauber sind und zu diskriminierenden Ergebnissen führen, ist das Vertrauen der Nutzer:innen schnell verspielt.

Das Auftauchen des Begriffs CTrO ist Ausdruck einer neuen Unternehmenskultur, die stärker als früher von Verantwortlichkeit geprägt ist. Sie betrachtet Verletzungen von Datenschutz und -sicherheit nicht mehr als Panne, sondern als Gefahr für den Bestand der Organisation. Zudem sieht die DSGVO hohe Strafen vor und die Datenschutzbehörden verhängen sie auch. So musste beispielsweise der Handelskonzern H&M nach einem Datenschutzverstoß eine Strafe von 35 Millionen Euro zahlen.

Chief Trust Officers müssen das Vertrauen von Partnerbetrieben, Kund:innen und Gesellschaft in die jeweilige Organisation stärken – in einer digitalisierten Welt, in der Fehler kaum noch zu verheimlichen sind. Die sozialen Medien sorgen für eine exponentielle Verstärkung eines jeden Skandals.

Die Aufgaben der CTrOs gehen also weit über die eines CISO hinaus. Sicherheitschef:innen von Unternehmen sind ein Garant für die Cyber-Resilience der IT-Infrastruktur, die dazugehörigen Aufgaben enden aber am Rand des Netzwerks – jedenfalls in der klassischen Definition. In der Praxis hat sich die Rolle des CISO bereits deutlich geändert, denn hier geht es um die Sicherstellung der guten Reputation des Unternehmens im C-Level. Im Ergebnis steht ein CISO für die Wahrnehmung der Firma als modern, digital-affin und technisch kompetent. Deswegen ist es naheliegend, den entsprechenden Aufgabenbereich anzupassen und die Position künftig in Richtung CTrO zu auszuweiten. Sofern es im C-Level beide Funktionen gibt, kommt es zu Kompetenzüberschneidungen und damit vermutlich zu Reibungsverlusten – mit negativen Folgen für Infrastruktur und Vertrauen.

Es ist schwierig, die Verantwortungslinien zwischen den unterschiedlichen Rollen genau zu bestimmen und getrennt zu halten. Deshalb könnte es sein, dass in naher Zukunft die Sicherheitschef:innen in Unternehmen zwar ihre Aufgaben behalten, aber nicht mehr im C-Level auftauchen. Die Rolle der CTrOs ist also aus guten Gründen eine sinnvolle Erweiterung der Vorstandsebene, so wie es früher der CISO war.

Die konkreten Anforderungen an Sicherheit und Vertrauen haben sich in den letzten 15 bis 20 Jahren stark verändert. Infrastrukturen werden zunehmend in der Cloud betrieben. Geschäftsanwendungen gibt es als SaaS-Lösung. Die Mitarbeiter:innen sind via Mobilgerät oder Notebook an das interne Netzwerk angeschlossen. Digitale Geschäftsstrategien erweitern das interne Netzwerk in die reale Welt, beispielsweise durch IoT-Systeme.
All das muss ein:e CTrO schultern, in eine Strategie verpacken und technisch umsetzen.

Ironischerweise gilt für diese Rolle das Prinzip „No Trust“: Vertraue niemandem, der auf die IT-Infrastruktur zugreifen will, und prüfe jede Identität – auch wenn es Maschinenidentitäten sind. Denn die Angriffsfläche der Unternehmen hat sich stark vergrößert, sodass eine Abschottungsstrategie nicht mehr funktioniert.

Deshalb gehört es zu den ersten Aufgaben des CTrO, die bisherigen Sicherheitskonzepte zu überprüfen und durch zeitgemäße zu ersetzen. Mehr noch: Er oder sie übernimmt für die gesamte digitale Infrastruktur die Verantwortung für Compliance, Governance, Datenschutz und Cyber-Risikomanagement. Doch dabei darf der Blick nicht nur nach innen gerichtet sein: In der digitalen Welt müssen CTrOs auch Kund:innen mitdenken.