Ein unternehmerisch denkender CISO beherrscht sowohl die Klaviaturen des Risiko-Managements als auch die der strategischen Geschäftsführung. Zudem muss er Führungskräften auf C-Suite-Ebene dabei helfen, Risiken im Kontext der Unternehmenssteuerung verstehen zu lernen.
Für CISOs hat sich die Verantwortung darauf verlagert, das Gesamtbild zu betrachten und ein Programm zu entwerfen, das akzeptable Risiken gegen die inakzeptablen abwägt.
(Bild: peampath - stock.adobe.com)
Vor nicht allzu langer Zeit konnten sich CISOs auf ihre gut entwickelten technischen Fähigkeiten verlassen, um in ihrer Funktion hervorragende Leistungen zu erbringen. Aufgrund der insgesamt dramatisch ansteigenden Anzahl von Hacker-Angriffen gewinnt das Thema IT-Security nicht nur zunehmend an Bedeutung, sondern fordert von den CISOs auch weitere, vor allem anspruchsvolle unternehmerische Fähigkeiten, um eine Organisation vor den unterschiedlichsten Cyber-Bedrohungen zu bewahren.
Geschäftliche Zielsetzungen
Mithilfe moderner Leadership-Strategien betrachten CISOs erstmals das Gesamtbild eines Unternehmens und entwerfen auf dieser Basis ein maßgeschneidertes IT-Security-Programm gemäß einer definierten Risikotoleranz, um die geschäftlichen und organisatorischen Ziele zu erreichen. Darüber hinaus sollte sich die IT-Security-Strategie nicht darauf konzentrieren, so sicher wie möglich zu sein, sondern darauf, so sicher wie nötig zu sein.
Unternehmen können sich je nach den finanziellen Möglichkeiten und dem Grad der Gefährdung durch Bedrohungen für reaktive, proaktive und operative Abwehrmaßnahmen oder idealerweise eine Kombination der drei entscheiden. Ein CISO wird die drei Arten von Ansätzen zur Implementierung von IT-Security durchgehen und der Organisation helfen, die optimale Verteidigungsstrategie auszuwählen.
Damit dies zielführend umgesetzt werden kann, muss der CISO die Investitionen in die Sicherheit genau ausbalancieren, um die akzeptablen Risiken gegen die inakzeptablen abzuwägen.
Organisatorischer Rahmen
Nicht nur CISOs müssen sich ändern: Es gibt zwei wichtige Aktivitäten für die Aufbau- und Ablauforganisation, die das Management unternehmen sollte, um CISOs auch aus der Führungs- und Organisationsperspektive zum Erfolg zu verhelfen:
Profil des CISOs schärfen: Unternehmen müssen dem Input bzw. der Position von Führungskräften aus dem Bereich der IT-Security mehr Prominenz einräumen und ihnen die Autorität verleihen, die sie benötigen, um effektive Prozesse zu entwerfen, Lücken zwischen Abteilungen zu schließen und Maßnahmen zum Schutz des Unternehmens durchzusetzen.
Direkter Zugang zur C-Ebene: Wenn es um IT-Security geht, funktionieren herkömmliche Strukturen von Befehl und Kontrolle nicht immer ganz reibungslos. Eine horizontale, nicht vertikale Ausrichtung wäre günstiger, da Abteilungen übergreifend zusammenarbeiten müssen, um Cyber-Bedrohungen erfolgreich zu bewältigen. Die Position der CISO-Expertise ist bei der Entscheidungsfindung zu priorisieren. Dafür brauchen CISOs den direkten Zugang zu hochrangigen Führungskräften der C-Ebene. Zu diesem Zweck empfiehlt sich die Erarbeitung neuer Governance-Frameworks und Berichtsstrukturen.
Wege zum Leadership der IT-Security
Ein effektiv arbeitender CISO beherrscht nicht nur die relevanten Technologien, sondern auch die Geschäftsstrategie. Er besitzt zudem die Fähigkeit, sich zu engagieren und sein Umfeld zu inspirieren. Über folgende Skills sollte er unter anderem verfügen:
CISOs etablieren eine unternehmensweite IT-Security-Kultur, indem sie bedrohungsresistente Systeme erstellen bzw. warten und Risiken in eine breitere Risiko-Strategie integrieren.
CISOs müssen für ein Mehr an Effektivität ihre Sicherheitsbudgets überdenken. Die Budgets steigen zwar in vielen Unternehmen an, aber sie sind häufig nicht richtig auf die Bereiche mit den größten Risiken ausgerichtet. Das bedeutet, sie führen so zu einem allgemeinen Mangel an Vertrauen in die Sicherheitsbudgetierung. Um das Vertrauen zu stärken, sollten die Kosten stattdessen als Teil des gesamten Geschäftsbudgets „auf strategische, risikoorientierte und datengesteuerte Weise“ betrachtet werden.
Aufgrund einer solchen Neuausrichtung der CISO-Rolle, sollten sie sich in den Unternehmen zu sogenannten „Hütern des digitalen Vertrauens“ entwickeln. Das heißt, der CISO wird dadurch in die Lage versetzt, eine Organisation mit seinen Leadership-Strategien nicht nur sicher in eine neue Ära zu führen, sondern auch den Geschäftswert zu optimieren.
CISOs müssen Resilienz-Pläne erstellen, die alle Eventualitäten berücksichtigen: von sehr wahrscheinlichen Angriffen mit geringer Auswirkung bis hin zu vielleicht eher unwahrscheinlichen, aber dafür verheerenden Angriffen. Es empfiehlt sich, für die Führungskräfte ein Schaubild mit Wahrscheinlichkeiten/Auswirkungen zu erstellen (Achsen von geringer bis hoher Wahrscheinlichkeit und geringen bis hohen Effekten), um Budgets den einzuleitenden Maßnahmen zuzuweisen. Dabei sind Angriffe mit geringerem Risiko nicht zu ignorieren, sondern es gilt zu überprüfen, mit welchen Auswirkungen auf die Branche bzw. das eigene Unternehmen zu rechnen sind.
CISOs informieren Entscheidungsträger über aktuelle und zukünftige Risiken für das Unternehmen. Gleichzeitig liefern sie eine Priorisierung hinsichtlich der Gefährlichkeit gegenüber der Geschäftstätigkeit.
CISOs, die Spitzenleistungen anstreben, initiieren Diskussionen über zu entwickelnde Standards, um potenziellen Bedrohungen einen Schritt voraus zu sein.
CISOs sollten verschiedene Interessengruppen untereinander in Einklang bringen, indem sie jedem genau das richtige Maß an Informationen und Unterstützung bieten. Insbesondere wenn es darum geht, IT-Risiken zu verstehen und zu managen.
Sie sollten dazu befähigt sein, Überzeugungskraft mit Fähigkeiten zur Konfliktbewältigung zu vereinbaren. Vor allem, da die Sicherheit häufig per se eine Quelle von Spannungen oder Konflikten ist.
CISOs müssen mit Mehrdeutigkeiten und kritischen Situationen umgehen können. Denn Fragestellungen der IT-Security sind nicht immer binär strukturiert. Sie müssen gegebenenfalls auch lernen, sich bei Mehrdeutigkeiten von Geschäftsabläufen und Geschäftsentscheidungen wohlzufühlen.
Fazit
Für einige CISOs wird die Übernahme bzw. Verfeinerung dieser Leadership-Strategien eine natürliche Weiterentwicklung ihrer bisherigen Verantwortlichkeiten sein. Für andere wiederum erfordert es möglicherweise mehr Feedback und Mentoring von anderen Führungskräften oder auch externen Beratern. Die Führungsqualitäten der CISOs sollten sich ständig in Richtung dessen entwickeln, was von Top-Level-Führungskräften verlangt wird.
Das bedeutet, dass CISOs in der Lage sein müssen, eine effektive IT-Security-Strategie zu etablieren, den verantwortungsvollen Umgang mit Investitionen in IT-Security nachzuweisen, die oberste Führung bzw. den Vorstand regelmäßig zu informieren und mit Überzeugungskraft und Leichtigkeit die Vielzahl von Interessengruppen und Beziehungen zu handhaben, die sich jetzt im Einflussbereich des CISOs befinden.
(ID:49214922)
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c8/bb/c8bbb90768f2d69adb08e0d58bb90645/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/33/0b/330b92560794343f3b2e72a6c0201cfe/0129212056v2.jpeg "Ivanti Endpoint Manager Mobile ist erneut unter Beschuss: Zwei Zero-Day-Sicherheitslücken sollten sofort gepatcht werden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/51/7c51f12b88847cbe6b67250785911120/0129310016v2.jpeg "Cybersecurity zog sich als roter Faden durch Debatten über KI, Robotik, den Schutz verteilter IoT-Endpunkte und kritischer Infrastrukturen – sowohl auf den Bühnen des WebSummit 2025 in Lissabon, als auch hinter den Kulissen. (Bild: Web Summit)")
:quality(80)/p7i.vogel.de/wcms/4f/74/4f74da1ef2b573b35e8193c1279bfa5e/0129308675v1.jpeg "Tool-Silos und Schatten-KI machen Unternehmen 2026 haftbar – NIS-2, DORA und CRA fordern Konsolidierung, Identitätsmanagement und Enterprise-Browser für Compliance. (Bild: © DAYA-DAKSH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/fd/64fd8544c5bdcae13f66e439f609d03f/0128874380v1.jpeg "Anwendungen, die auf asymmetrischer Kryptografie basieren, müssen auf Post-Quanten-Kryptografie-Verfahren umgestellt werden. (Bild: Achelos GmbH/ Canva)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/83/da/83da562438dce687572cd0c63e3d0e70/0129132936v1.jpeg "Dr. Nils Schwerdfeger ist COO bei Myra Security. (Bild: Myra Security)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/61/ce/61ced4ba10fd1c0328bc8624e6fd4726/0122976174v1.jpeg "Eine Studie von Zscaler zeigt: 63 Prozent der deutschen Unternehmen rechnen in diesem Jahr mit einem Cyberangriff. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/77/10/771090f3706a1998e0dc3002402e8428/0124885214v2.jpeg "CISOs haben einen harten Job. Es ist nicht verwunderlich, dass die durchschnittliche CISO-Amtszeit nur zwei bis vier Jahre beträgt. (Bild: © adam121 - stock.adobe.com)")