Die Rolle des IT-Sicherheitsverantwortlichen

Vier Kernkompetenzen für CISOs im Jahr 2019

| Autor / Redakteur: Maxim Frolov / Peter Schmitz

Die Rolle des CISOs ist vielseitig und herausfordernd. Sie umfasst die Kombination aus sozialer Kompetenz (Soft-Skills) und technischer Expertise (Hard-Skills).
Die Rolle des CISOs ist vielseitig und herausfordernd. Sie umfasst die Kombination aus sozialer Kompetenz (Soft-Skills) und technischer Expertise (Hard-Skills). (Bild: gemeinfrei)

Ob Datenleck, Server-Ausfall oder Industrie­spionage, Cyberrisiken haben heute spürbare Auswirkungen auf das Geschäft. Deshalb ändert sich auch die Rolle des IT-Sicherheitsverantwortlichen bzw. CISO (Chief Information Security Officer). Heute sind Management- und Führungsqualitäten sowie unternehmerisches Denken bei CISOs genauso essentiell wie Fachwissen im Bereich Cybersicherheit.

CISOs verantworten heute nicht mehr ausschließlich die technische Seite der IT-Sicherheit – beispielsweise die Implementierung und Verwaltung von Cybersicherheitslösungen auf allen Endpoint-Geräten im Unternehmensnetzwerk; sie müssen sich vielmehr als C-Level-Führungskraft im Unternehmen positionieren, indem sie die eigene Organisation bei der Erreichung der gesteckten Geschäftsziele unterstützen. Denn Cybersicherheit und Datenschutz tragen in Zeiten der Digitalisierung wesentlich dazu bei, dass bessere Produkte schneller als vom Wettbewerb auf den Markt gebracht werden, die Attraktivität für Aktionäre erhöht und insgesamt der Umsatz gesteigert wird.

Als IT-Sicherheitsprofis minimieren CISOs das Risiko gefährlicher Cyberangriffe und Datenlecks. Sie sorgen dafür, dass das Geschäftsmodell des eigenen Unternehmens nicht gestört wird. Dafür sind hervorragendes Know-how in puncto IT-Sicherheit sowie Kenntnisse über die neuesten Technologietrends erforderlich. Allerdings werden CISOs bereits heute auch an ihrer Kompetenz im zwischenmenschlichen Bereich gemessen: soziale Kompetenz, persönliches Auftreten und Geschäftssinn – Soft-Skills sind heute und in Zukunft Teil der Rolle von IT-Sicherheitsverantwortlichen. Hierfür kristallisieren sich vier Kernkompetenzen heraus.

Welche Aufgaben ein CISO übernehmen muss

Die Rolle des CISO im Unternehmen

Welche Aufgaben ein CISO übernehmen muss

22.02.19 - IT-Sicherheit geht jeden Mitarbeiter und jede Abteilung an. Welche Aufgaben verbleiben dann in der Abteilung für IT-Security? Welche Rolle hat der CISO (Chief Information Security Officer) im Unternehmen? Die Antwort erscheint einfach, ist sie aber nicht. Die Aufgaben unterliegen einer hohen Dynamik und werden nicht nur durch Compliance-Vorgaben beeinflusst. lesen

1. Geschäftssinn

In der Vergangenheit verantwortete der Chief Information Security Officer – basierend auf der IT-Landschaft des Unternehmens – die firmeninterne Verteidigungsstrategie. Der Unterschied zu heute: Ein moderner Ansatz orientiert sich an der Vision eines Unternehmens. Fast jedes CISO-Stellenangebot auf den einschlägigen Jobbörsen beinhaltet daher nicht nur detailliertes IT-Sicherheits-Fachwissen und diverse Zertifizierungen, sondern auch ausgeprägten Geschäftssinn.

IT-Sicherheitsverantwortliche können daher eine Technologie, die ihr Unternehmen gerne einsetzen würde, nicht ablehnen oder verbieten. Stattdessen müssen sie die damit verbundenen Risiken bewerten und eine Security-Strategie entwickeln, die den Fortschritt der Organisation nicht behindert. Greifen Mitarbeiter beispielsweise über ihre Geräte auf Unternehmensressourcen zu, sollte der CISO in der Lage sein, eine passende und cybersichere BYOD (Bring Your Own Device)-Richtlinie im Netzwerk zu implementieren.

Um es mit den Worten eines amtierenden CISOs zu beschreiben, fungiert er im besten Fall als Cybersicherheitsberater und Risikomanager für alle Unternehmensabteilungen: „Bevor eine neue Technologie in einer Abteilung eingeführt wird, treffe ich mich mit diesen Abteilungen, um sicherzustellen, dass ihre Änderungen nicht gegen unsere Sicherheitsstandards verstoßen. Die erforderlichen Änderungen werden dann gemeinsam vorgenommen, um eine ordnungsgemäße Integration mit unserem Netzwerk zu ermöglichen.“

2. Kommunikations- und Präsentationsfähigkeit

Als Führungskraft müssen IT-Sicherheitsverantwortliche mit dem Management (C-Level) und dem Verwaltungsrat interagieren. Die Herausforderung: nur wenige Top-Manager verfügen über fundiertes Cybersicherheitsfachwissen. Ein CISO sollte daher nicht nur mit IT-Fachbegriffen um sich werfen, wenn er den Vorstand über mögliche Cybergefahren in Kenntnis setzen möchte; er muss in der Lage sein, mit der Chefetage auf Augenhöhe zu kommunizieren.

Die Fähigkeit, komplexe Sachverhalte verständlich zu vermitteln, wird schon lange als Top-Anforderung in Stellenausschreibungen angeführt. Es gilt, Cybersicherheits-Fachjargon in Geschäftssprache zu übersetzen. Vor allem wenn es um unternehmensinterne Verhandlungen von Cybersicherheitsbudgets geht, profitieren CISOs von ausgeprägten Kommunikations- und Präsentationsfähigkeiten.

Budgets für IT-Sicherheit sind häufig Teil der gesamten IT-Ausgaben. Wenn ein CISO an der richtigen Stelle in der richtigen Sprache überzeugende Argumente auf den Tisch legt (beispielsweise Strafen für die Nichteinhaltung von Vorschriften oder geschäftsmindernde Schäden durch frühere Angriffe), erhält das Thema IT-Sicherheit und Datenschutz auch aus Sicht des hierfür nötigen Budgets den Stellenwert, der für die Gewährleistung von Geschäftsgewinnen und Kapitalrentabilität (ROI) nötig ist. Auch der Einsatz und die Vermittlung anschaulicher Reports – zum Beispiel über Cybersicherheitsvorfälle und deren offensichtliche Konsequenzen auf den Unternehmenserfolg – sind Teil der von CISOs benötigen Soft-Skills.

3. Krisenmanagement-Kompetenz

Einem kürzlich veröffentlichten Kaspersky-Bericht zufolge sind 86 Prozent der CISOs davon überzeugt, dass früher oder später im eigenen Unternehmen IT-Sicherheitsvorfälle auftreten werden. Unternehmen können es sich folglich nicht leisten, unvorbereitet zu sein. Jedes Büro verfügt über einen Evakuierungsplan, der im Brandfall befolgt werden muss. Ebenso sollte jedes Unternehmen einen Plan für den Fall eines Cybersicherheitsverstoßes haben, in dem klar dargelegt wird, was zu tun ist, wenn beispielsweise ein Datenleck festgestellt wird.

Ein solcher Aktionsplan darf sich nicht darauf beschränken, betroffene Kennwörter zu ändern oder Systeme wiederherzustellen. Um einen Angriff oder Vorfall schnell zu beheben, muss der CISO die Handlungsverantwortlichkeit im eigenen Unternehmen kennen – beziehungsweise wer in welchen Abteilungen über den Vorfall informiert werden muss. So müssen Rechts-, PR- oder Customer-Success-Teams schnellst möglich eingeweiht werden, da sie ihrerseits zum Krisenmanagement beitragen können. Im Falle eines Sicherheitsvorfalls ist es essentiell, dass der CISO während der gesamten Krise über alles informiert ist und als Bindeglied zwischen den Stakeholdern innerhalb der Firma fungiert. Er koordiniert das IT-Sicherheitsteam bezüglich der anstehenden Vorfallreaktionen, informiert unternehmensweit über den aktuellen Stand und berät zur weiteren Lösung der Situation.

4. Aufsichts- und Führungsqualitäten

Aktuelle Studien zeigen, dass Unternehmen zunehmend mit dem Mangel an Sicherheitsexperten zu kämpfen haben. Dieses Problem wird dadurch verstärkt, dass es laut 62 Prozent der CISOs zu wenige Cybersicherheitstalente gibt. Das hat Auswirkungen auf das Thema Mitarbeiterbindung. Denn ein Mangel an Sicherheitsfachkräften und -talenten erhöht deren Nachfrage. Experten werden zunehmend von anderen Unternehmen umworben. Ein CISO erklärt die heikle Situation: „Ich manage sehr talentierte Cybersecurity-Spezialisten, auf die es verstärkt Headhunter abgesehen haben.“ Hinzu kommt, dass der Fachkräftemangel auch das Arbeitspensum des aktuellen Sicherheitsteams erheblich erhöht.

Ein IT-Sicherheitsverantwortlicher sollte daher einen Führungsstil pflegen, dem seine Mitarbeiter gerne folgen; er sollte das Team unterstützen und ein Händchen für Mitarbeitermotivation haben. Die Motivation beschränkt sich nicht nur auf monetäre Anreize. Sie kann durch Entscheidungsverantwortung, Lern- und berufliche Entwicklungsmöglichkeiten (beispielsweise durch Teilnahme an Sicherheitskonferenzen) oder schlichtweg durch Anerkennung der harten Arbeit ermöglicht werden. Was für die eine Person zutrifft, mag für die andere möglicherweise nicht das Richtige sein. Um sein Team effektiv zu managen, muss ein CISO individuelle Anreize beziehungsweise die richtige Motivationsquelle finden.

Soft-Skills und Fachwissen gehen Hand in Hand

Die Rolle eines IT-Sicherheitsverantwortlichen ist vielseitig und herausfordernd. Sie umfasst die Kombination aus sozialer Kompetenz (Soft-Skills) und technischer Expertise (Hard-Skills). Management- und Führungsqualitäten, ein breites IT-Verständnis, unternehmerisches Denken und Cybersicherheitsfachwissen sind gefragt. So trägt der CISO entscheidend für den Geschäftserfolg des gesamten Unternehmens bei.

Über den Autor: Maxim Frolov ist Vice President of Global Sales bei Kaspersky Lab.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45760930 / Mitarbeiter-Management)