Erfolgreiche CISOs sind vielseitige Experten, die nicht nur alle Bereiche der IT-Security aus dem Effeff beherrschen, sondern sie verstehen vor allem auch die Komplexität eines Unternehmens und seine wichtigsten Stakeholder. Welche Skills müssen Berufseinsteiger dafür erwerben?
Junge CISOs sollten lernen, schnell zu erkennen, welche Herausforderungen kritisch sind und eine sofortige Aufmerksamkeit erfordern.
(Bild: Prostock-studio - stock.adobe.com)
Vom ersten Tag stehen CISOs unter dem Druck, mit begrenzten Budgets sich gegen eine wachsende Zahl von Bedrohungen zu verteidigen und gleichzeitig vordringliche IT-Security-Maßnahmen zu priorisieren, ohne das Geschäft zu gefährden. Wie kann dieser Drahtseilakt gelingen? In der Folge sind einige der wichtigsten Ansätze aufgelistet:
Für einen erfolgreichen CISO reicht es bei weitem nicht aus, Server abzusichern oder Laptops mit Patches zu versorgen. CISOs sind für die Sicherung der Unternehmensinformationen verantwortlich. Das ist ein Unterschied. CISOs sollten daher eine ganzheitliche Sichtweise entwickeln, die Menschen und Prozesse einschließt.
Sicherheitsmaßnahmen bedeuten für Geschäftsleute oftmals eine potenzielle Einschränkung. Daher muss immer zwischen Sicherheit und Benutzerfreundlichkeit abgewogen werden. Zu viel Dogmatik kann auch kontraproduktiv sein. Denn wenn es den Mitarbeitern schwer gemacht wird, ihre Arbeit zu erledigen, kann das dem Geschäft unter Umständen mehr schaden als ein Hacker von außen.
CISOs können sehr leicht in Situationen geraten, wo sie schnell beurteilen müssen, welches Problem besonders kritisch ist und eine sofortige Aufmerksamkeit erfordert, und diesen Initiativen Vorrang vor langfristigen, transformativen Projekten einzuräumen. Wobei Anpassungsfähigkeit jeden Aspekt des Jobs betrifft, einschließlich der Vermeidung von Büropolitik und dem Aufbau von konstruktiven Beziehungen. Wenn es zu einem Vorfall kommt – und das wird passieren –, sollten sich CISOs lieber auf die Dinge konzentrieren, die Sie kontrollieren können.
IT-Security wird in Unternehmen nicht selten als lästiges Hindernis angesehen. Daher muss der CISO gute Beziehungen zum Management pflegen, damit er bei wichtigen Entscheidungen ebenfalls einbezogen wird. Auf diese Weise ist es ihm möglich, neue Geschäftsinitiativen frühzeitig zu verstehen und daran zu arbeiten, einen Weg zu finden, diese sicher umzusetzen. Wenn der CISO in diesem Fall sagt, dass etwas nicht sicher umgesetzt werden kann, wird das Management seine Bedenken eher berücksichtigen.
Diese Vorgehensweise empfiehlt sich ebenfalls, wenn ein Geschäftsmodell für das Unternehmen von entscheidender Bedeutung ist, aber kein IT-Security-Budget dafür zur Verfügung steht. Ein respektierter CISO kann dem Management dann erklären, dass das Unternehmen jetzt in die IT-Security investieren sollte, um es zu seinen eigenen Bedingungen zu schützen, anstatt später aufgrund eines unerwarteten Hackerangriffs hohe Schäden zu erleiden – zusätzlich zu allen anderen Nebenwirkungen eines Angriffs.
Der erste Schritt einer systematischen Risikobewertung besteht darin, festzustellen, welche Anwendungen für ein Unternehmen am wichtigsten sind, und so deren potenziellen Risiken zu definieren. In einem nächsten Schritt muss der CISO bestimmen, wie sich die identifizierten Risikoszenarien auf das Unternehmen auswirken können. Mithilfe einer Risikomatrix lässt sich jedes Risikoszenario klassifizieren und für das Management anschaulich darstellen.
Dabei ist es wichtig, eine Risikotoleranzquote zu definieren und anzugeben, welche Bedrohungsszenarien diesen Schwellenwert überschreiten. Jedes Evaluierungsprogramm muss in Betracht ziehen, dass ein gewisses Restrisiko bestehen bleibt und nicht vollständig eliminierbar ist. Dies muss vom Management als Teil der IT-Security-Strategie akzeptiert werden.
CISOs sollten sich nicht nur auf Schutzmaßnahmen konzentrieren, sondern ebenso erhebliche Anstrengungen und Budgets den Bereichen Backup, Reaktion und Wiederherstellung widmen. Ferner empfiehlt es sich die Backup- und Wiederherstellungsfunktionen regelmäßig zu testen, um die Gefahren vor Ransomware zu reduzieren.
Apropos, jeder CISO sollte über einen Vorfall-Reaktionsplan basierend auf Aktivitäten wie Bedrohungsmodellierung und Planspielen verfügen. Ferner geht es bei der IT-Security also nicht nur darum, die Türen und Tore streng zu bewachen, sondern auch mit sinnvollen Aktivitäten des Lebenszyklus-Managements und Änderungsstrategien alles unter Kontrolle zu behalten und sicherzustellen, dass die IT-Infrastruktur stabil bleibt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Sicherheitskontrollen sind nicht nur dafür da, um sie einzuführen, sondern auch um sie kontinuierlich zu testen. Manuelle Bewertungen, die früher vielleicht einmal gut funktionierten, reichen heute angesichts der rapiden Zunahme von Bedrohungen und digitaler Transformationsprojekte längst nicht mehr aus. Aus diesem Grunde müssen automatisierte Tests in die Gleichung einbezogen werden.
Erst eine automatisierte Sicherheitsvalidierung bietet CISOs eine kontinuierliche, umfassende und datengesteuerte Ansicht aller Investitionen in Sicherheitskontrollen und deren Performance. Sie unterstützt CISOs dabei, sich auf die Schwachstellen ihrer Teams zu konzentrieren und zu verstehen, wo mehr Zeit und Ressourcen investiert werden müssen. Mithilfe von Tools für die Sicherheitsvalidierung können CISOs mit dem Management über die Schwachstellen und Lücken in der Organisation, die Strategie zu deren Schließung und die Ergebnisse der Bemühungen des Teams kommunizieren.
In vielen Unternehmen verfügen die Mitarbeiter meist nur über ein begrenztes Sicherheitswissen. Insbesondere das Bewusstsein der Kollegen in Bezug auf IT-Security-Risiken ist - unabhängig von ihrer Position - in der Regel sehr rudimentär. Dies kann jedoch durch Schulungen in allen Abteilungen, einschließlich der IT, geändert werden. CISOs sollten daher Partnerschaften anstreben, statt mit dem Finger auf andere zu zeigen, denn sie sind da, um zu helfen, und nicht, um Fehler anzuprangern.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1b/cf/1bcfac009fabac09481c25f5f86e7fdc/0129173663v2.jpeg "Laut der Studie von Absolute Security geben 72 Prozent der CISOs an, dass sich ihre Rolle verändert hat, hin zu mehr Verantwortung und persönlicher Haftung. (Bild: Mikolette Moller/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fd/f2fd0fdbd69c98d3744922b4a52c9dea/0129347431v2.jpeg "Microsoft Azure bietet mit den drei anfälligen Lösungen die Möglichkeit, serverlose Anwendungen zu erstellen, den Anwendungs-Traffic zu verwalten und hybride sowie Multicloud-Umgebungen zu steuern. Bei erfolgreicher Ausnutzung sind damit zahlreiche sensible Informationen für Angreifer potenziell zugänglich. (Bild: © Syda Productions - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/47/fa47fb2e4f13ed17dc4739fa4c6cd1af/0122470970v1.jpeg "Beim Microsoft Patchday im Februar 2026 schloss der Hersteller 59 Sicherheitslücken. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9c/c1/9cc1a5c571cee9fb15acf60a07b230e1/0129075722v4.jpeg "Der Cyber Resilience Act fordert ab 2027 Security by Design, OTA-Updates, SBOMs und 24-Stunden-Meldungen für vernetzte Produkte. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/d0/77d08997d439a45c27349d1c2cd6ae7d/0129345103v2.jpeg "Ohne Kontext erzeugen KI-Security-Tools mehr Alarmmüdigkeit als Schutz . Drei Kriterien helfen, ineffiziente Tool-Stacks zu vermeiden und messbaren Wert zu schaffen. (Bild: © Maria Mikhaylichenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/50/3d50b128eef256952eb27e470befcf30/0129343775v1.jpeg "Autonome KI wird dieses Jahr die Sicherheitslandschaft prägen: Als Produktivitäts-Werkzeug, als Angriffs-Werkzeug und auch als Verteidigungs-Werkzeug. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/a7/fda7d067c2285c6117392fe77ca95327/0129322250v2.jpeg "Die französische nationale Funkfrequenzbehörde nahm die Spione wegen de rillegalen Nutzung und Störung von Frequenzen und dem illegalen Besitz von technischen Geräten zum Empfang von Computerdaten fest. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/03/03/0303ccc7d677075a1b793250917ada59/0129386519v1.jpeg "Das vertraute Admin-Werkzeug Notepad++ wurde zwischen Juni und Dezember 2025 zum Trojanischen Pferd: Die staatliche APT-Gruppe Lotus Blossom kaperte die Update-Infrastruktur für gezielte Spionage, während die Cybercrime-Bande Black Cat parallel gefälschte Download-Seiten streute. (Bild: © Art_spiral - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e6/8be6646a207e9ac0ff1f1b97a995fedc/0124243505v1.jpeg "Bei einer System-Umstellung wurden die elektronischen Patientenakten der AOK-Versicherten gesperrt. (©Andrea Gaitanides – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/26/4f268168916c24dddd85205cc038dbbc/0129257879v2.jpeg "„Tabellen sind oft Schatzkammern sensibler Daten – von Finanz- und Strategieinformationen bis zu HR- und Kundendaten. Dennoch werden sie nicht wie andere hochriskante Daten behandelt“, warnt Patricia Egger, Head of Security bei Proton. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/f5/16/f5168aa1ff02ec8c5e7bc7f2acb4d38e/0121503363v2.jpeg "Vor allem in den USA verdienen CISOs mittlerweile deutlich mehr als in den vergangenen Jahren. (Bild: zest_marina - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/82/d2824c1a8c4885e2b8d37a51a22b8b01/0119715843v2.jpeg "Die Rolle des CISO entwickelt sich momentan extrem schnell. Die Zusammenarbeit zwischen CISO sowie weiteren C-Level-Entscheidern, sowohl intern als auch extern, ist dabei nicht nur eine Option, sondern eine Notwendigkeit. (Bild: alphaspirit - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/1f/da1ff3d8bc08da77806ffa7ccaed02a8/0112150345.jpeg "CISOs kämpfen mit Hamsterrad, Worst Practices und Manipulationen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a9/85/a985435b8bbe3cea7e996ca1a1754fd0/0119596152v3.jpeg "Moderne CISOs müssen ihre Strategie weiterentwickeln, weg von der reinen Abwehr hin zum operativen Schutz. Dann können sie zum echten Security-Helden für ihr Unternehmen werden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b8/1d/b81dd82e19df7a55d8953da7b4c30800/0114868455.jpeg "CISOs sollten die durch Rechts- und Compliance-Experten entstehenden Mehrwerte in einem unternehmensweiten Ansatz nutzen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64505e41c89a1f96062f402eb69abe/0110784079.jpeg "CISO-as-a-Service ist eine ideale Lösung für KMU oder Unternehmen mit begrenzter IT-Organisation, -Kompetenz oder –Bedarf. (Bild: Rido - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/10/771090f3706a1998e0dc3002402e8428/0124885214v2.jpeg "CISOs haben einen harten Job. Es ist nicht verwunderlich, dass die durchschnittliche CISO-Amtszeit nur zwei bis vier Jahre beträgt. (Bild: © adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/12/77121080c64b9e12202e2df5f5ec46cb/0128017720v2.jpeg "NIS 2 verankert Verantwortung im Management und verschärft Meldepflichten. Wir zeigen sechs typische Fehler von Geltungsbereich bis Lieferketten- und Incident-Readiness. (Bild: © FARIHA - stock.adobe.com)")