Skip to main content
main-content

07.08.2018 | IT-Sicherheit | Best Practice | Onlineartikel

So finden Unternehmen den passenden CISO

Autor:
Sven Eisenkrämer

IT-Sicherheit sollte in höchstmöglicher Führungsebene im Unternehmen angesiedelt sein. Es kann sich anbieten, einen Chief Information Security Officers (CISO) zu installieren. Der richtige CISO wird sich bezahlt machen, doch wie findet man ihn und was muss man beachten?


Für Unternehmen sollte IT-Sicherheit eins der Leitthemen in der Führungsebene und in höchster Position angesiedelt sein. Normalerweise ist der Chief Information Officer (CIO) für die IT-Sicherheit mitverantwortlich. Doch oft stehen andere Themen höher auf der Prioritätenliste des CIO. "Die IT-Strategie mit Themen wie Cloud, Mobility, Konsolidierung, 'irgendwas mit SAP!', Legacy Migration, Two-Speed-Architecture, etc. dominieren den CIO-Alltag", schreibt Springer-Autor Michael Bartsch dazu. "Dabei sind die Geschwindigkeit und der Kostendruck die wesentlichen Hausaufgaben, die ein CIO zu erledigen hat." In diesem Fall denken Unternehmen gerne über einen Chief Information Security Officer, kurz CISO, nach, der die Steuerung der Informationssicherheit als eigene Aufgabe aufgetragen bekommt. Allerdings, schreibt Bartsch, "wissen Unternehmen dann nicht, wie dieser zu implementieren ist, welche Aufgabenbeschreibung er haben sollte, welches Budget er bekommen müsste und vor allem: Woher soll man ihn nehmen, wenn nicht stehlen?".

Empfehlung der Redaktion

2018 | OriginalPaper | Buchkapitel Zur Zeit gratis

Woher nehmen, wenn nicht stehlen – oder wo haben Sie Ihren CISO her?

CISO werden ist nicht schwer, CISO sein umso mehr. Frei nach diesem Motto durfte ich einigen Unternehmen helfen, die Jung-CISOs bzw. Neu-CISOs dabei zu unterstützen, die CISO Agenda und die (Cyber-) Sicherheitsstrategie aufzubauen. Gerade die Positionierung des CISO als Funktion im Unternehmen spielt dabei eine wesentliche Rolle. CISOs sind normalerweise das Sammelbecken für allerlei technische Problemlagen, um die sich keiner kümmern möchte.


Im fast gleichnamigen Buchkapitel "Woher nehmen, wenn nicht stehlen – oder wo haben Sie Ihren CISO her?" aus dem neuen Springer-Buch "Cybersecurity Best Practices" (2018) gibt Bartsch Praxistipps. Die relevantesten Fragen dazu beantworten wir hier mit zusammengefassten Informationen aus dem Buchkapitel:

Kann ein CISO Cyberangriffe überhaupt verhindern?

Nein. "Es ist falsch zu denken, dass der CISO alles kann und vor allem, dass er alle Cyberangriffe verhindern kann. Ein CISO kann viele Arten von Cyberangriffen nicht vermeiden. Er hilft dabei, eine Basishygiene in die IT zu implementieren, die Risiken zu beschreiben und vor allem hilft er, Cyberangriffe zu entdecken, um diese dann besser bearbeiten zu können", schreibt Michael Bartsch. 

"Der CISO ist das sicherheitstechnische Ende der digitalen Nahrungskette. Er kann weder Produkte auf echte Sicherheit prüfen, noch kann er großen Anbietern Vorgaben machen. Er muss sich nach bestem Wissen und Gewissen auf Produkte und Systeme verlassen. Immer in der Hoffnung, dass ein Angreifer nicht doch schlauer ist als die Hersteller, die Systeme und Produkte herstellen." Michael Bartsch in "Woher nehmen, wenn nicht stehlen – oder wo haben Sie Ihren CISO her?" aus dem Buch "Cybersecurity Best Practices" (2018, Seite 263).

Welche Aufgaben hat ein CISO?

Michael Bartsch beschreibt die Kernaufgaben in Stichpunkten so:

  • Planung und Entwicklung der Cyber- und IT-Sicherheitsstrategie;
  • Entwicklung und Umsetzung von Konzepten, Standards und Richtlinien für die Cyber- und Informationssicherheit;
  • Implementierung technischer Maßnahmen zur Erhöhung der IT-Sicherheit;
  • Erstellung von Konzepten zu Trainings und der Awareness für Führungskräfte, Mitarbeiter und des IT-Personals (intern/extern);
  • Vorfalls-Bearbeitung (Incident Management);
  • Kontinuierliche Verbesserung der IT-Sicherheit bzgl. der geschäftlichen Weiterentwicklung durch neue Geschäftsfelder, Märkte, Produkte und der Digitalisierung;
  • Aufbau und Überwachung der Cyber- und IT-Risiken;
  • Unterstützung der Auditabteilung bzgl. Sicherheitsfragen;
  • Überprüfung, Analyse und Sicherheitsbewertung von technischen Architekturen, Systemen und Projekten;
  • Schnittstelle zur Strafverfolgung, Behörden und Regulatoren bei Melde- bzw. anzeigepflichtigen Vorfällen.

Wie findet man einen CISO im Arbeitsmarkt?

Autor Bartsch warnt davor, die Anforderungsprofile für einen CISO im Rahmen der Personalakquise unrealistisch zu verfassen. "Die Grundqualifikation eines CISO ist in fast allen Anforderungsprofilen eine Sammlung von IT-Sicherheitsfachwörtern, die von einer Person nie alleine fachlich vertreten werden können. Diese fachliche Überqualifikation ist am Personalmarkt schlicht weg nicht verfügbar", schreibt er.

Der CISO müsse gewisse Grundanforderungen mitbringen, wie ein abgeschlossenes Studium, IT-Sicherheitsaffinität, Kenntnisse der einschlägigen Verfahren, Methoden, Architekturen und Sicherheitsprodukte. Dazu müsse er Erfahrungen im Bereich Recht und Compliance, aber auch Grundlagen der Forensik sowie der allgemeinen Cyberbedrohungslage mitbringen. "Dazu verlangen die meisten Unternehmen noch methodische Zusatzqualifikationen wie CISSP, CISM, T.I.S.P, T.P.S.S.E, zertifizierter Pen-Tester, Certified Ethical Hacker etc. Die Liste ist lang und dazu gibt es noch diverse Herstellerqualifikationen zu Produkten und Services."

Typische Zertifizierungen für CISO-Zusatzqualifikationen (Beispiele)
CISACertified Information Systems Auditor
CISMCertified Information Security Manager
CISSP
Certified Information Systems Security Professional
CRISC
Certified in Risk and Information Systems Control
T.I.S.P.TeleTrusT Information Security Professional
T.P.S.S.E.TeleTrusT Professional for Secure Software Engineering

Wie sollte ein CISO im Unternehmen positioniert werden?  

Häufig berichtet der CISO direkt an den CIO. Besser werde der CISO aber in der CIO-Organisation geführt und berichtet bei Notfällen und bei Bedarf direkt an den Vorstand oder die Geschäftsführung. Doch: "Durch diese Organisation kommt es häufig zu Spannungen, die aufgrund der Hierarchie und den unterschiedlichen Zielen begründet sind. Der CISO wird dann häufig als Innovationsbremser angesehen, der mit paranoiden Sicherheitsvorstellungen die Budgets nach oben treibt oder aufgrund übertriebener Sicherheitsanforderungen die Zeitpläne gefährdet", so Bartsch im Best-Practice-Buch. Zukünftig sieht Bartsch den CISO noch weiter oben in der Hierarchie. "Wie und wo seine Position dann sein wird, hängt von der Innovationsfähigkeit und vom jeweiligen Geschäftsmodell ab. Der CISO wird auf jeden Fall eine wichtigere Rolle spielen müssen."

 

Was braucht ein CISO im Unternehmen?

"Die Rolle des CISO ist heute zumeist eine operativ taktische, sollte aber eine strategische Rolle sein, die frühzeitig die Cyberbedrohungslage erkennt, das Problem für das Unternehmen analysiert, eine klare Risikoabschätzung durchführt und diese in geeignete Lösungsansätze überführt und damit langfristig Sicherheitsvorfälle minimiert und deren Folgen mindert." Bartsch empfiehlt, dass ein CISO "empowered und enabled" wird, damit er seine Rolle als strategischer Krisenmanager wahrnehmen kann.

Neben dem CISO sind laut Bartsch Teilbereiche der Sicherheit in Unternehmen oft auf den Datenschutzbeauftragten, die Audit-Abteilung, den Rechtsbereich, den Produktionsbereichen und manchmal noch auf einen Informationssicherheitsbeauftragten verteilt. Eine solche organisatorische Verteilung der Sicherheit funktioniere einigermaßen bei regulatorischen, gesetzlichen und branchenspezifischen Auflagen. Einen professionellen, innovativen Gegner mit einem strategischen Ziel könne das jedoch nicht aufhalten, meint Bartsch. Aber am Ende werde immer der CISO gefragt, warum der Cyberangriff so überhaupt hat passieren können.

"Daher ist es umso wichtiger eine (Cyber-) Sicherheitsstrategie zu entwickeln, die auf das jeweilige Unternehmens- und Geschäftsmodell zugeschnitten ist und für die der CISO bzw. die CISO-Organisation zuständig ist. Jeder CISO, der nicht innerhalb eines Jahres eine Cyberstrategie entwickelt, hat zumeist nur eine reaktive bzw. intern beratende Funktion."

Fazit

Der CISO sollte laut Bartsch nicht nur eine passive Rolle haben, sondern aktiv die Sicherheit im Unternehmen gestalten. Nur in der aktiven Rolle könne der CISO auch die Verantwortung und Sicherheit für die eigenen Produkte übernehmen und so mit seinem Wissen neue Produkte und Services und damit neue Marktchancen für seinen Arbeitgeber "enablen".

Bartsch: "Das Aufgabengebiet eines CISOs bzw. einer CISO-Organisation wird sich in den nächsten Jahren stark wandeln. So wie der Chief Digital Officer (CDO) anfängt, den Chief Information Officer zu überholen, ist es nur eine Frage der Zeit, wann der CISO den CDO überholt. Denn für viele Unternehmen wird die Frage der Sicherheit in einer digitalisierten Welt überlebenswichtig werden."


Gratis lesen! 

Lesen Sie jetzt kostenlos das gesamte Buchkapitel "Woher nehmen, wenn nicht stehlen – oder wo haben Sie Ihren CISO her?" von Michael Bartsch hier in der digitalen Fachbibliothek von Springer Professional! Gratis-PDF-Download bis zum 20. August! Jetzt kostenfrei und unverbindlich registrieren und downloaden!  

Weiterführende Themen

Die Hintergründe zu diesem Inhalt

2018 | Buch

Cybersecurity Best Practices

Lösungen zur Erhöhung der Cyberresilienz für Unternehmen und Behörden

2017 | Buch

IT-Risikomanagement mit System

Praxisorientiertes Management von Informationssicherheits-, IT- und Cyber-Risiken

2016 | Open Access | Buch Open Access

Managing Risk and Information Security

Protect to Enable

Das könnte Sie auch interessieren

20.03.2017 | IT-Management | Im Fokus | Onlineartikel

Was ein CISO leisten muss

Premium Partner

Neuer Inhalt

BranchenIndex Online

Die B2B-Firmensuche für Industrie und Wirtschaft: Kostenfrei in Firmenprofilen nach Lieferanten, Herstellern, Dienstleistern und Händlern recherchieren.

Whitepaper

- ANZEIGE -

Product Lifecycle Management im Konzernumfeld – Herausforderungen, Lösungsansätze und Handlungsempfehlungen

Für produzierende Unternehmen hat sich Product Lifecycle Management in den letzten Jahrzehnten in wachsendem Maße zu einem strategisch wichtigen Ansatz entwickelt. Forciert durch steigende Effektivitäts- und Effizienzanforderungen stellen viele Unternehmen ihre Product Lifecycle Management-Prozesse und -Informationssysteme auf den Prüfstand. Der vorliegende Beitrag beschreibt entlang eines etablierten Analyseframeworks Herausforderungen und Lösungsansätze im Product Lifecycle Management im Konzernumfeld.
Jetzt gratis downloaden!

Bildnachweise