Laut einer Studie des Digitalverbands Bitkom ist bereits jedes dritte Unternehmen Opfer von Datendiebstählen geworden. Kein Wunder also, dass der Bedarf an Sicherheitsexperten groß ist. Noch dazu steigt im Zuge der wachsenden Digitalisierung die Abhängigkeit an eine sichere technische Infrastruktur enorm.

Für IT-Sicherheitsspezialisten scheinen die Zukunftsaussichten also mehr als rosig. Die Verantwortlichen, die für ein effektives Risikomanagement beim Schutz vertraulicher Unternehmensdaten sorgen sollen, erlangen jedoch trotz der überproportional gewachsenen Verantwortung vielfach keine Bedeutung. Stattdessen wird die Funktion des CISO, also die des Chief Information Security Officers, gerade in kleinen und mittelständischen Unternehmen, häufig von der Rolle des IT-Leiters übernommen. Dabei können die umfangreichen Aufgaben eines CISO nicht einfach ergänzend zum Management der gesamten IT bewältigt werden, vor allem da die unzureichenden Ressourcen zwangsläufig zulasten der vielfältigen sicherheitsrelevanten Steuerungs- und proaktiven Schutzaufgaben fallen.

Es ist also an der Zeit, die Position des Chief Information Security Officers als eigenständige, strategische Rolle ins rechte Licht zu rücken.

In der Theorie: Die Verantwortung und Aufgaben eines CISO

Doch was genau sind eigentlich die Aufgaben eines CISO? Schließlich ist der Schutz vertraulicher Unternehmensdaten nicht die Aufgabe einer einzelnen Person oder Abteilung, sondern sie geht alle etwas an. Per Definition verantwortet ein CISO die Informations- und IT-Sicherheit im Unternehmen. In dieser strategischen Position entwickelt er ein umfassendes Sicherheitskonzept für alle Unternehmensbereiche und setzt dieses um. Ein solches Konzept beinhaltet unter anderem eine Schwachstellenanalyse, Leistungskennzahlen (zum Beispiel die Anzahl entdeckter Phishing E-Mails und Viren), eine Security Roadmap sowie Risiko Methodiken. Des Weiteren kümmert er sich um die Schulung und Stärkung des Bewusstseins der Mitarbeiter in allen sicherheitsrelevanten Fragen.

Die ISO-Standards zur IT-Sicherheit und der IT-Grundschutz des BSI liefern hier eine gute Übersicht über die grundlegenden Tätigkeiten, der betriebliche Alltag kann in der Praxis jedoch deutlich abweichen.

Gerade unter Compliance-Gesichtspunkten wird schnell klar, wie komplex und einzigartig die Rolle des CISO eigentlich ist: Je nachdem in welcher Branche sich das Unternehmen bewegt, gibt es spezielle Compliance-Regelwerke, Gesetze oder Verordnungen, die befolgt werden müssen – wie beispielsweise die Vorgaben der Bankenaufsicht BaFIN. Eine weitere Herausforderung ist, dass sich diese Compliance-Vorgaben regelmäßig ändern – durch die fortschreitende Digitalisierung sogar noch stärker als in der Vergangenheit. Davon ist natürlich auch der Aufgabenpool des CISO betroffen.

Die CISO Rolle in der Praxis

Was in der Theorie so wichtig klingt, findet in der Praxis jedoch noch zu wenig Gehör. So ergab eine Umfrage von Accenture aus dem Jahr 2018 unter 1.400 Führungskräften weltweit, dass aktuell 25 Prozent der Nicht-CISO-Führungskräfte für Cybersicherheit verantwortlich sind. Gibt es die Rolle des CISO im Unternehmen, bestätigen allein 40 Prozent, sich mit den Führungskräften anderer Einheiten zu beraten, bevor sie überhaupt eine neue Sicherheitsstrategie vorschlagen würden. Es entsteht ein ähnliches Bild, wenn es um die Genehmigung von Budgets geht: 27 Prozent der Budgets werden von einem Vorstand, 32 Prozent vom CEO genehmigt. Oftmals wird der CISO nicht einmal bei neuen Technologien oder der Entscheidung darüber herangezogen. Laut einer Studie von Trend Micro gaben lediglich 38 Prozent der Befragten an, für IoT-Projekte konsultiert worden zu sein. Diese Zahlen zeigen, dass die Rolle des CISO sich dringend weiterentwickeln und stärker im Unternehmen integriert werden sollte.

In Zukunft muss sich also eine feste Aufgabendefinition herausbilden, nicht nur für die persönliche Stellenbeschreibung, sondern auch für die Security-Praxis im Unternehmen.

Dazu gehört, dass CISOs in alle Sicherheitsfragen mit einbezogen werden, die Hoheit über ein eigenes Budget haben und Anerkennung in den jeweiligen Fachabteilungen finden. Vor allem sollte die Geschäftsführung sich der Bedeutung und der Wichtigkeit eines CISO bewusst sein und dahingehend auch ausreichend Budget zur Verfügung stellen. Denn auch wenn Maßnahmen im ersten Moment oft nicht spürbar sind, sind sie längst nicht nur ein vermeintlich lästiger Kostenpunkt. Ansonsten muss die Geschäftsführung das Risiko eingehen, dass die Verantwortung für die immer wichtiger werdende Sicherheit im Unternehmen unscharf bleibt. Ein Umstand, den sich kein Unternehmen mehr leisten sollte.

 

Geschrieben von Ralf Lautenbacher

 


Informationssicherheit


Newsletter

Niederlassungen

Brainloop AG
Theatinerstrasse 12
80333 München
Germany
+49 (0) 89 444 699 0