:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Aufgaben und Stellung des CISO Datenschutz als Zusatzaufgabe für den CISO?
IT-Sicherheitsverantwortliche (CISOs) müssen bereits eine Fülle von Aufgaben wahrnehmen. Trotzdem wollen viele Unternehmen ihrem CISO noch mehr aufbürden. So scheint ein IT-Sicherheitsverantwortlicher durch die Fachkompetenz die Idealbesetzung für den CPO (Chief Privacy Officer) oder Datenschutzbeauftragten (DSB) zu sein. Aber ist das zulässig?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Umfragen unter CISOs und Gespräche mit CISOs zeigen regelmäßig, dass sich IT-Sicherheitsverantwortliche oftmals nicht auf die IT-Security konzentrieren können, sondern weitere Aufgaben und Positionen wahrnehmen müssen. Dabei ist es nicht nur die Unternehmensgröße, die für Doppelrollen oder sogar Mehrfach-Rollen sorgt.
CISOs sind je nach Unternehmen gleichzeitig CIOs (Chief Information Officer, IT-Leiter) oder CDOs (Chief Digital Officer), was zwar einerseits sinnvoll erscheint, weil die IT-Sicherheit eine wesentliche Grundlage aller IT-Aktivitäten und der gesamten Digitalisierung darstellt. Da könnte man meinen, eine Trennung von CISO, CIO und CDO wäre künstlich oder sogar kontraproduktiv. Doch die Fülle der Aufgaben eines CISOs macht es nahezu unmöglich, auf Dauer zusätzlich die Rolle des CIOs oder CDOs zu übernehmen.
:quality(80)/images.vogel.de/vogelonline/bdb/1520000/1520047/original.jpg "Der CISO ist eine Aufgabe mit guter, aber unklarer Zukunft. (stokkete - stock.adobe.com)")
Die Rolle des CISO im Unternehmen
Welche Aufgaben ein CISO übernehmen muss
CISOs müssen wo immer personell möglich eine eigenständige Rolle im Unternehmen haben, sie brauchen nicht zusätzliche Aufgaben und Rollen, sondern zusätzliche Ressourcen, wenn man die Bedeutung der Security für die IT und die Digitalisierung ernst nimmt.
Passen CISO und CPO unter einen Hut?
Da die Umsetzung der Datenschutz-Grundverordnung (DSGVO / GDPR) viele Unternehmen weiterhin belastet und Aufsichtsbehörden melden, dass es Versäumnisse bei der Benennung von Datenschutzbeauftragten gibt, entstehen zunehmend Ideen, dem CISO auch die Rolle des CPO (Chief Privacy Officer) oder schlicht Datenschutzbeauftragten zu übertragen.
Auf den ersten Blick scheint dies eine gute Idee und Wahl zu sein, denn die Bedeutung der Datensicherheit innerhalb des Datenschutzes ist enorm. Warum also sollte man die knappen Security-Fachkräfte im Unternehmen nicht auch für den Datenschutz nutzen?
Abgesehen davon, dass die Rolle des CPO ebenfalls eine Mehrbelastung für den CISO darstellen würde, lohnt es sich, die Aufgaben des Datenschutzbeauftragten und das Anforderungsprofil einmal zu betrachten, noch bevor man es rechtlich bewertet.
:quality(80)/images.vogel.de/vogelonline/bdb/1532100/1532163/original.jpg "Viele CISOs möchten sich neben der IT auch stärker in andere Abteilungen einbringen, um deren Anforderungen besser zu verstehen und Bedrohungen besser bekämpfen zu können. (Sergey Nivens - stock.adobe.com)")
CISO und Digitale Transformation
Der CISO muss sich verändern!
Zum einen sind die Aufgaben für einen Datenschutzbeauftragten reichlich bemessen. Die DSGVO nennt zum Beispiel:
- Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach DSGVO sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten
- Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen
- Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO
- Zusammenarbeit mit der Aufsichtsbehörde
Für diese Aufgaben gibt es auch spezielle Kenntnisse und Fähigkeiten, die gefordert sind:
- Fachkenntnisse auf dem Gebiet des einzelstaatlichen und des gemeinschaftlichen Datenschutzrechts und der diesbezüglichen Anwendungspraxis einschließlich eines fundierten Verständnisses der DSGVO
- Verständnis der durchgeführten Datenverarbeitungsvorgänge
- Vertrautheit mit Informationstechnologien und Datensicherheit
- Kenntnis der Branche und der Einrichtung
- die Fähigkeit, die Verbreitung einer Datenschutzkultur innerhalb der Einrichtung zu fördern
Hier gibt es offensichtlich Gemeinsamkeiten mit den Anforderungen an einen CISO, selbst die Kenntnisse im Datenschutzrecht braucht ein CISO im gewissen Umfang. Macht es also doch Sinn, dem CISO auch zum CPO zu machen?
:quality(80)/images.vogel.de/vogelonline/bdb/1548200/1548288/original.jpg "Ein CISO sollte psychologische Grundkenntnisse besitzen. Nicht nur, weil es ihm beim Umgang mit seinen Mitarbeitern hilft, sondern auch wenn man Angreifer von außen und von innen verstehen will. (gemeinfrei)")
Hohe Anforderungen an CISOs
Warum CISOs gute Psychologen sein müssen
Was das Datenschutzrecht zur Kombination CISO und CPO sagt
Die Aufsichtsbehörden für den Datenschutz nennen eine Reihe von Fällen, die zu einem Interessenkonflikt führen würden, wenn ein Datenschutzbeauftragter eine andere Rolle gleichzeitig einnehmen würde:
Datenschutzbeauftragte dürfen demnach zwar andere Aufgaben und Pflichten neben ihrer Tätigkeit als Datenschutzbeauftragte wahrnehmen, aber nicht solche, welche einen engen Bezug zu Verarbeitungen von personenbezogenen Daten haben.
Als Beispiele für Tätigkeitsfelder, welche zu einem Interessenkonflikt führen können, werden genannt:
- Leitung eines Unternehmens oder einer Behörde
- Leitung der IT-Abteilung
- Leitung der Personal-Abteilung
- Beschäftigte der IT-oder Personal-Abteilung, wenn diese in der Lage sind, Datenverarbeitungsprozesse zu bestimmen oder wesentlich zu beeinflussen.
Die Datenschutzaufsicht in Hessen bringt es betreffend der Rolle eines IT-Sicherheitsverantwortlichen auf den Punkt: „Daneben wird in der Regel auch bei anderen unternehmensweiten Tätigkeiten wie etwa IT-Sicherheitsbeauftragter oder Compliance-Beauftragter ein Interessenskonflikt anzunehmen sein.“
:quality(80)/images.vogel.de/vogelonline/bdb/1474300/1474345/original.jpg "Die Einhaltung der umfassenden DSGVO-Vorgaben ist für kleine Betriebe ohne professionelle Unterstützung kaum möglich. (Pixabay)")
Interner vs. Externer DSB
Wozu ein Datenschutzbeauftragter?
Man kann also sagen: Da ein CISO Aufgaben übernimmt, die „einen engen Bezug zu Verarbeitungen von personenbezogenen Daten haben“, stellt die gleichzeitige Beauftragung als Datenschutzbeauftragter in aller Regel einen Interessenkonflikt dar und ist dann nicht zulässig.
Für Unternehmen bedeutet das: IT-Sicherheit und Datenschutz müssen sinnvoll verknüpft werden, denn die IT-Sicherheit muss datenschutzkonform sein, während der Datenschutz ohne die Sicherheit der Verarbeitung nicht auskommt. Dies bedeutet aber nicht, dass der CISO auch gleichzeitig zum Datenschutzbeauftragten werden soll, in aller Regel darf dies gar nicht sein, eben weil die IT-Sicherheit auch personenbezogene Daten verarbeitet und deshalb im Sinne des Datenschutzes überwacht werden muss.
(ID:45899743)
:quality(80)/p7i.vogel.de/wcms/22/89/2289bdc0480d6c821ace319a2b98f084/0111034551.jpeg "Viele Datenschutzbeauftragte sind nur in Teilzeit in diesem Bereich tätig und brauchen dringend mehr Unterstützung in ihren Unternehmen. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/f4/12f43ce168f4a7dd42cdff5c8311f871/0107693433.jpeg "Der Schutz eines Datenschutzbeauftragen vor Kündigung und Abberufung ist in Deutschland bei verpflichtender Bestellung sehr hoch. Unternehmen sind deshalb gut beraten, die Position nicht einfach Irgendjemandem aufzutragen. (Bild: fotogestoeber - stock.adobe.com)")