Die Rolle des CISO im Unternehmen

Welche Aufgaben ein CISO übernehmen muss

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Der CISO ist eine Aufgabe mit guter, aber unklarer Zukunft.
Der CISO ist eine Aufgabe mit guter, aber unklarer Zukunft. (© stokkete - stock.adobe.com)

IT-Sicherheit geht jeden Mitarbeiter und jede Abteilung an. Welche Aufgaben verbleiben dann in der Abteilung für IT-Security? Welche Rolle hat der CISO (Chief Information Security Officer) im Unternehmen? Die Antwort erscheint einfach, ist sie aber nicht. Die Aufgaben unterliegen einer hohen Dynamik und werden nicht nur durch Compliance-Vorgaben beeinflusst.

Kaum jemand wird behaupten, dass Security ein Aufgabenfeld mit schlechten Berufsaussichten ist, ganz im Gegenteil. Der IT-Fachkräftemangel spitzt sich zu, wie der Digitalverband Bitkom berichtet. Drei von zehn Unternehmen aller Branchen mit mindestens einer offenen IT-Stelle suchen laut Bitom-Umfrage Programmierer. Dahinter folgen Projektmanager (17 Prozent), Anwendungsbetreuer (13 Prozent), Qualitätsmanager (9 Prozent) und Sicherheitsexperten (8 Prozent).

Aus diesem Umfrageergebnis sollte man nun nicht schließen, dass Security-Expertise nur von acht Prozent der Unternehmen gesucht wird. In Wirklichkeit benötigt jede der genannten Positionen ein gewisses Maß an Fachwissen im Bereich IT-Sicherheit, mit steigender Tendenz. Dieser Gewinn an Bedeutung für IT-Sicherheit belegt gute Berufsaussichten für alle, die sich in Security auskennen. Doch trotz der erfreulichen Zukunftsaussichten bleiben Fragen offen: Was genau soll jemand machen, der CISO (Chief Information Security Officer) in einem Unternehmen wird? Immerhin ist IT-Sicherheit nicht die Aufgabe einer Person oder Abteilung, sondern sie geht alle an.

CISO-Aufgaben lassen sich nicht mehr nebenbei erfüllen

IT-Sicherheitsverantwortlicher ist kein Nebenjob

CISO-Aufgaben lassen sich nicht mehr nebenbei erfüllen

05.10.18 - Obwohl die Sicherheitsbedrohungen immer weiter steigen, wird in vielen Unternehmen die Funktion der CISOs nur ergänzend zu weiteren Aufgaben ausgeübt. Das Beratungs­un­ter­neh­men Carmao plädiert deshalb für eine angemessene Neupositionierung der IT-Sicher­heits­verantwortlichen. Um deren Rolle mehr Gewicht zu verleihen, hat Carmao einen neuen CISO Award ins Leben gerufen. lesen

Verantwortung und Aufgaben aus Compliance-Vorgaben

Natürlich gibt es ein grundlegendes Verständnis, was ein CISO macht: Ein CISO verantwortet die Informationssicherheit im Unternehmen. Im Gegensatz zur Bezeichnung IT-Sicherheitsverantwortlicher weist CISO darauf hin, dass die Person in der Regel der Geschäftsleitung zugeordnet ist. Aus der Verantwortung für die IT-Sicherheit ergibt sich, dass ein CISO sicherstellen muss, dass alle gesetzlichen und vertraglichen Vorgaben, die die IT-Sicherheit einhalten muss, auch wirklich erfüllt werden (Compliance).

Das bedeutet, dass die konkreten Aufgaben eines CISO unter anderem davon abhängen, zu welcher Branche das Unternehmen gehört (branchenspezifische Vorgaben zu IT-Sicherheit und Compliance), ob es sich zum Beispiel um eine Bank handelt oder um ein Industrieunternehmen. Damit verbunden ist auch, welche Compliance-Regelwerke oder Gesetze und Verordnungen zur Anwendung kommen, wie die KRITIS-Verordnung für Betreiber kritischer Infrastrukturen oder die Vorgaben der Bankenaufsicht BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht). Compliance-Vorgaben verändern sich allerdings, durch die fortschreitende Digitalisierung stärker als in der Vergangenheit. Entsprechend kann es zu Aufgabenänderungen für CISOs kommen.

Alleine der Hinweis, dass ein CISO für die IT-Sicherheit im Unternehmen verantwortlich ist, zeichnet also kein festes Bild von den Aufgaben, diese können von Unternehmen zu Unternehmen variieren und sich mit der Zeit verändern.

Wie die Arbeit eines CISO in der Praxis aussieht

ISO-Standards zur IT-Sicherheit und der IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) liefern zwar eine Übersicht über die Aufgaben der IT-Sicherheit. In der Praxis kann der betriebliche Alltag eines CISO aber davon abweichen. Es lohnt sich also, Stimmungsbilder und Umfragen in Unternehmen zu betrachten, wenn man sich mit den aktuellen Aufgaben eines CISO vertraut machen möchte.

So hängen die Aufgaben und Herausforderungen für einen CISO natürlich auch von den jeweiligen Digitaltechnologien ab, die in einem Unternehmen eingesetzt werden oder werden sollen. Eine Umfrage von Kaspersky Lab zum Beispiel ergab: Der zunehmende Einsatz von Cloud-Technologien in Unternehmen stellt den CISO vor neue Herausforderungen. Über die Hälfte (57 Prozent) der CISOs fühlt sich aufgrund komplexer IT-Architekturen wie Cloud unter Druck gesetzt. CISOs stehen laut der Umfrage vor einer weiteren Herausforderung: Recruiting. So hat mehr als ein Drittel (38 Prozent) der Befragten Probleme, qualifiziertes Fachpersonal zu finden.

Eine Umfrage von Accenture beleuchtet die Frage der Verantwortung für die IT-Sicherheit: In der Studie „Securing the Future Enterprise Today - 2018“ sind 73 Prozent der rund 1.400 weltweit befragten Führungskräfte der Meinung, dass Cybersecurity-Mitarbeiter in allen Unternehmensbereichen präsent und Schutzprogramme großflächig ausgeführt werden müssen. Derzeit sind 25 Prozent der „Nicht-CISO-Führungskräfte“ für Cybersicherheit verantwortlich. Ein Viertel der Befragten ist der Meinung, dass die Geschäftsbereichsleiter in Zukunft zuständig sein sollten.

Darüber hinaus haben nur sehr wenige CISOs überhaupt die Befugnis, Geschäftseinheiten in ihren Unternehmen zu beeinflussen. 40 Prozent der CISOs gaben an, dass sie sich immer mit den Führungskräften der Geschäftseinheiten beraten, bevor sie eine Sicherheitsstrategie vorschlagen. Knapp die Hälfte der CISOs sind außerdem der Ansicht, dass ihre Sicherheitsverantwortung im Unternehmen schneller wächst als ihre Möglichkeiten, Sicherheitsprobleme zu lösen.

Der „2018 State of Cyber Resilience Report“ von Accenture gibt Auskunft über die Verantwortung für das Security-Budget: 27 Prozent der Budgets für Cybersicherheit werden demnach vom Vorstand und 32 Prozent vom CEO genehmigt. Accenture folgert: Die Rolle der CISOs muss sich weiterentwickeln und stärker in das Unternehmen integriert werden.

Eine weitere Erfahrung aus der Praxis: CISOs werden nicht bei jeder neuen Technologie oder Entscheidung dafür einbezogen, wie eine Umfrage von Trend Micro zeigt. CISOs und Sicherheitsexperten werden nur für 38 Prozent der IoT-Projekte in Unternehmen konsultiert. Fast 33 Prozent der Befragten geben an, dass ihnen nicht bekannt ist, wer in ihrem Unternehmen für IoT-Sicherheit verantwortlich ist.

CISOs haben bei IoT zu wenig Mitspracherecht

Sicherheitsexperten und IoT-Projekte

CISOs haben bei IoT zu wenig Mitspracherecht

08.10.18 - Eine weltweite Umfrage von Trend Micro zeigt, dass CISOs und Sicherheitsexperten nur für 38 Prozent der IoT-Projekte in Unternehmen kon­sultiert werden. Fast 33 Prozent der Befragten geben an, dass ihnen nicht bekannt ist, wer in ihrem Unternehmen für IoT-Sicherheit verant­wortlich ist. Unternehmen berichten von durch­schnittlich drei Angriffen auf vernetzte Industrie­anlagen im vergangenen Jahr. lesen

Fazit: Die Rolle des CISO muss sich noch stärker etablieren

Die Umfragen zeigen deutlich, dass die Rolle und Aufgabe des CISO noch weit davon entfernt sind, eine unternehmensübergreifende Rollenbeschreibung zuzulassen:

  • CISOs werden nicht bei allen Security-Fragen einbezogen.
  • CISOs haben nicht automatisch die Hoheit über das Security-Budget.
  • CISOs haben zu wenig Einfluss auf die Security, die in den Fachbereichen stattfindet.
  • CISOs sind nicht immer die tatsächlichen Sicherheitsverantwortlichen in der Geschäftsleitung.

Es ist Zeit, dass sich für den oder die CISO eine feste Aufgabendefinition herausbildet, nicht nur für Stellenausschreibungen, sondern für die Security-Praxis im Unternehmen. Unklare Rollen haben einen gefährlichen Beigeschmack. Es kann passieren, dass die Verantwortung für Security unscharf bleibt, ein Umstand, den sich kein Unternehmen mehr leisten sollte.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45750984 / Mitarbeiter-Management)