Suchen

Tipps für den Start als CISO Der erste Tag als CISO

| Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Es kann schneller gehen, als man denkt: Die Geschäftsführung hat Sie als CISO auserkoren. Selbst wenn Sie sich schon lange mit Cyber Security befassen, kommen nun ganz neue Aufgaben auf Sie zu. Da ist es wichtig, gleich am ersten Tag die Weichen richtig zu stellen. Wir haben wichtige Tipps für Sie zusammengestellt, wie Sie sich für den neuen Alltag als CISO rüsten.

Auch wenn man sich fachlich gut mit Security- und Compliance-Fragen auskennt, lauern bei der neuen Aufgabe als CISO ab dem ersten Tag viele neue Herausforderungen.
Auch wenn man sich fachlich gut mit Security- und Compliance-Fragen auskennt, lauern bei der neuen Aufgabe als CISO ab dem ersten Tag viele neue Herausforderungen.
(Bild: gemeinfrei / Pixabay )

Entweder man arbeitet lange auf eine Karriere als IT-Sicherheitsverantwortlicher oder CISO hin, oder man wird es plötzlich. Der Security- und Compliance-Druck, den viele Unternehmensentscheider verspüren, führt vermehrt dazu, dass die Wahl des CISOs sehr schnell gehen kann, schneller als es dem oder der Betroffenen lieb ist.

Keine Frage, man kann sich geehrt fühlen, wenn der Vorstand oder die Geschäftsführung diese Wahl treffen, denn die Aufgabe ist mit einer großen Verantwortung verbunden, wenn auch oftmals nicht mit einem großen Budget. Doch wenn man sich auf eine wichtige Aufgabe nicht gut vorbereitet, kann der Stress für einen CISO gewaltig werden, schon am ersten Tag.

Vorsicht Fettnäpfchen-Gefahr!

Auch wenn man fachlich gut im Thema ist, sich mit Security- und Compliance-Fragen ausführlich befasst hat, lauern bei der neuen Aufgabe als CISO viele Fußangeln. Es sind häufig die weichen Themen wie Kommunikation, die zu ersten Problemen führen.

Ein Beispiel: Sie sind der neue CISO oder die neue CISO und treffen Ihre neuen Security-Mitarbeiterinnen und Mitarbeiter. Ob dies früher Ihre Kolleginnen und Kollegen waren oder nicht, nun ist eine neue Situation eingetreten. Was Sie jetzt sagen, wird anders beurteilt.

Stellen Sie sich also vor, Sie fallen mit der Tür ins Haus und sprechen die Security-Leute in Ihrem Unternehmen auf Punkte an, die Sie schon immer gestört haben und jetzt ändern wollen. Oder Sie sind voller Tatendrang und sprechen von großen Visionen und Veränderungen, obwohl bei den Leuten der Schuh ganz woanders drückt. Der Tritt ins Fettnäpfchen passiert schnell.

Zuerst geht es um den Überblick

Anstatt also über neue Vorstellungen zu reden, sollten Sie an das einfache Prinzip der Datenverarbeitung denken. Zuerst ist die Eingabe, dann die Verarbeitung und dann die Ausgabe. Beginnen Sie deshalb auch als CISO mit der Eingabe, also mit dem Sammeln von Informationen, denn Sie brauchen einen Überblick, der zu einem Durchblick werden muss, soweit dies eben nur bei einem komplexen Thema wie Security geht:

Lernen Sie Ihr Security-Team (neu) kennen. Dazu sollten Sie ein Team-Meeting machen, bei dem zuerst das Team Fragen an Sie stellen kann, und dann sollten Sie fragen, nach Problemen genauso wie nach Ideen.

Nehmen Sie wenn möglich gleich am nächsten Führungskräfte-Meeting teil. Hier treffen Sie Ihre wichtigsten Multiplikatoren und die größten Bremser im Unternehmen. Leider sind die Unterstützer nicht immer diejenigen, die das Security-Budget verantworten, aber wenn Sie zum Beispiel einen Multiplikator im Rechtsbereich finden, kann diese Person Stimmung für mehr Security machen. Versuchen Sie in jedem Fall, den CIO oder den CFO zumindest nicht gegen sich aufzubringen, eine fachliche Freundschaft kann später ja immer noch entstehen.

Treffen Sie sich mit den IT-Administratoren (nach Abstimmung mit der IT-Leitung, versteht sich). Bekanntlich haben die Administratoren eine zentrale Aufgabe, viel Wissen und sind wichtig für die Umsetzung vieler IT-Sicherheitsrichtlinien. Nicht zuletzt müssen Sie die Administratoren aber auch (vorsichtig) sensibilisieren, denn bei ihnen lauern auch große IT-Sicherheitsrisiken.

Sprechen Sie mit den verschiedenen Beauftragten, also Datenschutzbeauftragten, Qualitätsmanagementbeauftragten und was es sonst noch bei Ihnen an Beauftragungen gibt. Diese Beauftragten können zwar nicht direkt beim Budget helfen, aber sie können durchaus Argumente liefern für mehr Security, und sie haben oftmals wertvolle Informationen und Dokumentationen, die Ihnen helfen können, auch die (scheinbaren) Randgebiete der Security besser kennenzulernen.

Das Verzeichnis von Verarbeitungstätigkeiten (früher Verfahrensverzeichnis) aus dem Datenschutz kann eine gute Informationsquelle sein (sofern es denn schon eines gibt). Ebenso können die Prozessbeschreibungen aus dem Qualitätsmanagement einen hilfreichen Überblick bieten. Nicht zuletzt sind Security-Risiken Teil der Business-Risiken. Sprechen Sie mit dem Risk Manager, welche Risikoanalysen bereits vorliegen. Es gibt viele Synergien, die sich nutzen lassen, es gibt nicht nur die Unterschiede in den Prioritäten zum Beispiel zwischen Datenschutz und Security, sondern viele Gemeinsamkeiten.

Natürlich helfen Ihnen auch alle Security-Unterlagen, die es bereits im Unternehmen gibt, alle Security-Konzepte und -Richtlinien, die vielleicht ja unvollständig oder veraltet sind, aber einen Anfang darstellen, der besser ist als ein leeres Blatt Papier.

Schließlich: alle Mitarbeiterinnen und Mitarbeiter sollten wissen, dass Sie der oder die neue CISO sind. Wahrscheinlich wird nicht gerade ein Sommerfest anstehen, bei dem Sie eine kleine Ansprache machen können. Aber es gibt vielleicht ein Intranet, einen internen Newsletter, wo Sie sich vorstellen und als Ansprechpartner anbieten können.

Werden Sie zum Gesicht der Security

Viele Security-Experten sind nicht so gerne im Rampenlicht, selbst wenn zum Beispiel gerade ein komplexer Angriff erkannt und abgewehrt wurde, bleiben sie gerne im Hintergrund. Da gibt es viele Bereiche in dem Unternehmen, die sich für weitaus kleinere Erfolge feiern lassen.

Sie müssen als CISO nicht zum Verkaufsstar werden, der jeden unterschriebenen Auftrag durch die Gänge der Firma trägt und vorzeigt. Aber Sie müssen sichtbar und präsent sein und die Bedeutung der Security zeigen, vielleicht sogar verkörpern. Mrs. Security oder Mr. Security genannt zu werden, muss nicht Ihr Ziel sein, aber es wäre nicht schlecht, wenn man Sie so sieht.

Erfreulich ist, dass Sie dazu keine Werbekampagne machen müssen, Sie müssen einfach nur vor Ort sein, also Ortsbegehungen machen. Vieles können Sie zwar über Ihre Management-Systeme abrufen und in Berichten nachlesen, aber verlassen Sie wann immer möglich Ihr Büro und sprechen Sie mit den Leuten, gleich vom ersten Tag an.

Bekanntlich sind wir Menschen immer noch das Sicherheitsrisiko Nummer 1, aber auch gleichzeitig ein mögliches Bollwerk gegen Social Engineering, wenn wir die Sicherheit vor Augen haben. Da hilft es, den oder die CISO vor Augen zu haben, nicht nur bei Security-Schulungen, sondern im betrieblichen Alltag. Diese Präsenz kostet Zeit, aber es ist eine gut investierte Zeit. Sie werden sehen, was Sie alles erfahren werden, was für Ihre Arbeit als neuer CISO wertvoll sein wird.

(ID:46064297)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research