Der Chief Information Security Officer - Fakten, Kompetenzen, Tipps

22. November 2018

​

In Zeiten von Cyber Attacken, Viren und Phishing wird die Rolle des Chief Information Security Officers (CISO) immer wichtiger. Unternehmen wollen sich daher entsprechend schützen – dafür braucht es eine Führungspersönlichkeit mit dem entsprechenden Fachwissen und Lösungskompetenz. Für CISOs gibt es dazu keine festgelegte Berufsausbildung oder -bezeichnung, Zertifizierungen werden im Zuge der Weiterbildung empfohlen – doch wie sieht der Berufsalltag eines CISOs eigentlich aus?

​

Fakten

​Viele CISOs kämpfen mit dem Vorurteil, dass Sicherheit nur durch technische Maßnahmen erreicht werden kann. Jedoch ist in fast allen Organisationen ein ganzheitlicher Ansatz notwendig und vieles auch organisatorisch zu lösen.

Sie stehen vor der Aufgabe in ihrer Organisation sowohl mit Feingefühl aber auch mit Durchsetzungsvermögen eine neue Informationssicherheitskultur zu etablieren, die davon geprägt sein sollte, beste Sicherheit für die Werte und Informationen der Organisation zu erlangen und das in Zusammenarbeit mit allen Kollegen. Dazu gilt es - mit viel Diplomatie - alle ins Boot zu holen.

 

Das ist wohl die größte Herausforderung, denn wer ändert schon gerne allzu lieb gewordene Routinetätigkeiten oder Geschäftsprozesse. Wichtig ist es, die Vorteile eines gut situierten Informationssicherheit- Managementsystems (ISMS) hervorzuheben und damit auch sich ergebende Prozess- und Ressourcenoptimierungen den Kollegen und Mitarbeitern nahe zu bringen. Wird diesen mit Schulungen und auch packenden Beispielen die Brisanz von Informationssicherheit – auch für die eigene Person und im privaten Umfeld- verständlich gemacht, ist auch Unterstützung zu finden. Nur wer sich persönlich von diesem Thema betroffen fühlt, kann diese Sichtweise auch auf das Unternehmen umlegen. Mit Schulungen und Aufklärung ergibt sich damit auch für die Mitarbeiter ein privater Mehrwert, denn oft wird in unserer stark digitalisierten Welt viel zu leichtfertig mit privaten oder geschäftlichen Informationen umgegangen. Ebenso scheint die Budget und Ressourcen Frage beinahe in jeder Organisation ein Dauerthema für den CISO zu sein. Einerseits sollen ein optimaler Schutz und eine hohe Qualität der Maßnahmen gewährleistet sein, andererseits sollen die Kosten dafür möglichst gering sein. Auch hier gilt es, ein gutes und realistisches Maß an Kosten und Aufwänden einzuplanen und die Geschäftsleitung entsprechend mit den passenden Argumenten mit ins Boot zu holen.

​

Kompetenzen – ein CISO benötigt mehr als nur Fachwissen

Neben fundiertem technischen Wissen und den erforderlichen Fachkenntnissen zu den Themen IT Sicherheit muss ein CISO auch über hohe Zuverlässigkeit und starke Kommunikationsfähigkeiten verfügen. Zu den Fachkenntnissen zählen vor allem die entsprechenden Richtlinien und Standards (ISO 27001:2013, BSI Grundschutz) sowie die nationalen und internationalen Vorschriften. Ziel sollte ein proaktiver Ansatz des Schutzes von Organisationswerten und damit schlussendlich auch der Schutz von Menschen sein. Hinsichtlich der DSGVO rückt dabei auch immer mehr der Umgang mit personenbezogenen Daten in der Organisation in den Vordergrund. Ein CISO wird optimalerweise bereits im Vorfeld aktiv und verhindert, dass es zu irgendeiner Form eines Sicherheits- oder Datenvorfalles kommt, der sich negativ auf den Betrieb oder Menschen auswirken könnte. Durch diese Verantwortung muss der CISO entsprechend organisatorisch ins Unternehmen eingebunden sein und ebenso muss er wissen, wie die eigene Organisation funktioniert und auf fachlicher Ebene so viel Wissen aufbringen, dass er entsprechende fundierte Entscheidungen treffen kann.

​

Üblicherweise sind CISOs heutzutage in den oberen Etagen der Unternehmensführung angesiedelt – und das macht absolut Sinn. Entscheidungen und Vorschläge eines CISOs sind oft von hoher Relevanz für das Unternehmen, Risiken müssen schnell und effizient gesenkt werden, Vorfälle konsequent behandelt. Hier ist es vorteilhaft, wenn der CISO im direkten Kontakt zur Geschäftsleitung steht und von dieser auch entsprechende Kompetenzen übertragen bekommt. Ebenso wirkt sich das positiv auf kurze und effektive Berichtswege aus.

​

Oft hat der CISO jedoch noch eine Sonderstellung im Unternehmen oder der Organisation, nicht wenige Mitarbeiter wissen demnach nicht einmal, was ein CISO eigentlich macht. Das liegt nicht zuletzt nur daran, dass die Arbeit des CISOs meist unbemerkt bleibt oder schwer zu erklären ist. Vorfälle, die Aufgrund einer guten Informationssicherheit nicht stattgefunden haben, sind eben auch schwer nachzuweisen. Generell ist aber zu sagen, dass die Rolle des CISOs im Allgemeinen in den Organisationen und Unternehmen an Wichtigkeit und Aufmerksamkeit stark zugenommen hat und die Führungsebene sich der Relevanz der Informationssicherheit immer bewusster wird.

​

Tipps für den Start als CISO

Tritt ein CISO eine neue Position an, wird er sich am Anfang in die neue Organisation einfinden müssen und den aktuellen Status zur Informationssicherheit in Erfahrung bringen. Die folgenden Tipps stellen dabei eine Orientierungshilfe dar:

Es sollte geklärt sein, was die Kerntätigkeiten und Prioritäten des Unternehmens bzw. der Organisation sind – erst daraus lässt sich eine Strategie für die Informationssicherheit entwickeln. Je nachdem welche Aspekte als relevant betrachtet werden, müssen die Herangehensweisen auf diese abgestimmt werden.

​

Entscheidend ist, wie die Position des CISOs in das Unternehmen eingebunden ist. Da es keine Standard Aufbauorganisation für die Informationssicherheit gibt, muss diese intern definiert werden. Sollte der CISO selbst die Möglichkeit haben darauf Einfluss zu nehmen, so sollte vor allem Klarheit darüber herrschen, wem gegenüber man Entscheidungen oder Vorschläge vertreten muss. Von Vorteil ist es dabei regelmäßig mit der obersten Leitung in Kontakt zu treten, da diese grundlegend die Verantwortung für die Informationssicherheit zu übernehmen hat. Ein weiterer Vorteil sind die dann möglichen kurzen Berichtswege an die Geschäftsleitung.

 

Zielführend ist es auch, sich darüber zu informieren, warum die Position neu besetzt oder etabliert wird und welche Anforderungen dem zugrunde liegen. Soll die Informationssicherheit aus Sicht der Geschäftsleitung etabliert werden, oder ergab sich die Anforderung durch einen Kunden? Sofern es einen Vorgänger gab, ist es interessant in Erfahrung zu bringen, warum die Stelle neu besetzt wurde. Des Weiteren ist klarzustellen, ob eine Zertifizierung angestrebt wird oder Informationssicherheit eher intern hochgehalten werden soll.

​

Nicht zuletzt ist die Frage der Budgetierung und die Ressourcenplanung zu klären- oftmals ist genau dies der problematischste Teil der Umsetzung von Informationssicherheit – denn wo offensichtlich kein messbarer Gewinn gemacht wird, wird auch ungern Geld investiert. Hier gilt es gut zu argumentieren und die vorhandenen Vorteile beziehungsweise den Gewinn für das Unternehmen oder die Organisation in den Fokus zu setzen.

​

Werden alle Punkte entsprechend berücksichtigt, steht der Einführung eines Informationssicherheitsmanagmentsystems nichts im Wege.

​