:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Die Rolle des CISO im Unternehmen Welche Aufgaben ein CISO übernehmen muss
IT-Sicherheit geht jeden Mitarbeiter und jede Abteilung an. Welche Aufgaben verbleiben dann in der Abteilung für IT-Security? Welche Rolle hat der CISO (Chief Information Security Officer) im Unternehmen? Die Antwort erscheint einfach, ist sie aber nicht. Die Aufgaben unterliegen einer hohen Dynamik und werden nicht nur durch Compliance-Vorgaben beeinflusst.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Kaum jemand wird behaupten, dass Security ein Aufgabenfeld mit schlechten Berufsaussichten ist, ganz im Gegenteil. Der IT-Fachkräftemangel spitzt sich zu, wie der Digitalverband Bitkom berichtet. Drei von zehn Unternehmen aller Branchen mit mindestens einer offenen IT-Stelle suchen laut Bitom-Umfrage Programmierer. Dahinter folgen Projektmanager (17 Prozent), Anwendungsbetreuer (13 Prozent), Qualitätsmanager (9 Prozent) und Sicherheitsexperten (8 Prozent).
Aus diesem Umfrageergebnis sollte man nun nicht schließen, dass Security-Expertise nur von acht Prozent der Unternehmen gesucht wird. In Wirklichkeit benötigt jede der genannten Positionen ein gewisses Maß an Fachwissen im Bereich IT-Sicherheit, mit steigender Tendenz. Dieser Gewinn an Bedeutung für IT-Sicherheit belegt gute Berufsaussichten für alle, die sich in Security auskennen. Doch trotz der erfreulichen Zukunftsaussichten bleiben Fragen offen: Was genau soll jemand machen, der CISO (Chief Information Security Officer) in einem Unternehmen wird? Immerhin ist IT-Sicherheit nicht die Aufgabe einer Person oder Abteilung, sondern sie geht alle an.
:quality(80)/images.vogel.de/vogelonline/bdb/1445800/1445864/original.jpg "Die Aufgaben eines CISO lassen sich heute nicht mehr nebenbei erledigen. IT-Sicherheitsverantwortliche benötigen eine angemessene Positionierung in den Unternehmen. (Pixabay)")
IT-Sicherheitsverantwortlicher ist kein Nebenjob
CISO-Aufgaben lassen sich nicht mehr nebenbei erfüllen
Verantwortung und Aufgaben aus Compliance-Vorgaben
Natürlich gibt es ein grundlegendes Verständnis, was ein CISO macht: Ein CISO verantwortet die Informationssicherheit im Unternehmen. Im Gegensatz zur Bezeichnung IT-Sicherheitsverantwortlicher weist CISO darauf hin, dass die Person in der Regel der Geschäftsleitung zugeordnet ist. Aus der Verantwortung für die IT-Sicherheit ergibt sich, dass ein CISO sicherstellen muss, dass alle gesetzlichen und vertraglichen Vorgaben, die die IT-Sicherheit einhalten muss, auch wirklich erfüllt werden (Compliance).
Das bedeutet, dass die konkreten Aufgaben eines CISO unter anderem davon abhängen, zu welcher Branche das Unternehmen gehört (branchenspezifische Vorgaben zu IT-Sicherheit und Compliance), ob es sich zum Beispiel um eine Bank handelt oder um ein Industrieunternehmen. Damit verbunden ist auch, welche Compliance-Regelwerke oder Gesetze und Verordnungen zur Anwendung kommen, wie die KRITIS-Verordnung für Betreiber kritischer Infrastrukturen oder die Vorgaben der Bankenaufsicht BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht). Compliance-Vorgaben verändern sich allerdings, durch die fortschreitende Digitalisierung stärker als in der Vergangenheit. Entsprechend kann es zu Aufgabenänderungen für CISOs kommen.
Alleine der Hinweis, dass ein CISO für die IT-Sicherheit im Unternehmen verantwortlich ist, zeichnet also kein festes Bild von den Aufgaben, diese können von Unternehmen zu Unternehmen variieren und sich mit der Zeit verändern.
Wie die Arbeit eines CISO in der Praxis aussieht
ISO-Standards zur IT-Sicherheit und der IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) liefern zwar eine Übersicht über die Aufgaben der IT-Sicherheit. In der Praxis kann der betriebliche Alltag eines CISO aber davon abweichen. Es lohnt sich also, Stimmungsbilder und Umfragen in Unternehmen zu betrachten, wenn man sich mit den aktuellen Aufgaben eines CISO vertraut machen möchte.
So hängen die Aufgaben und Herausforderungen für einen CISO natürlich auch von den jeweiligen Digitaltechnologien ab, die in einem Unternehmen eingesetzt werden oder werden sollen. Eine Umfrage von Kaspersky Lab zum Beispiel ergab: Der zunehmende Einsatz von Cloud-Technologien in Unternehmen stellt den CISO vor neue Herausforderungen. Über die Hälfte (57 Prozent) der CISOs fühlt sich aufgrund komplexer IT-Architekturen wie Cloud unter Druck gesetzt. CISOs stehen laut der Umfrage vor einer weiteren Herausforderung: Recruiting. So hat mehr als ein Drittel (38 Prozent) der Befragten Probleme, qualifiziertes Fachpersonal zu finden.
Eine Umfrage von Accenture beleuchtet die Frage der Verantwortung für die IT-Sicherheit: In der Studie „Securing the Future Enterprise Today - 2018“ sind 73 Prozent der rund 1.400 weltweit befragten Führungskräfte der Meinung, dass Cybersecurity-Mitarbeiter in allen Unternehmensbereichen präsent und Schutzprogramme großflächig ausgeführt werden müssen. Derzeit sind 25 Prozent der „Nicht-CISO-Führungskräfte“ für Cybersicherheit verantwortlich. Ein Viertel der Befragten ist der Meinung, dass die Geschäftsbereichsleiter in Zukunft zuständig sein sollten.
Darüber hinaus haben nur sehr wenige CISOs überhaupt die Befugnis, Geschäftseinheiten in ihren Unternehmen zu beeinflussen. 40 Prozent der CISOs gaben an, dass sie sich immer mit den Führungskräften der Geschäftseinheiten beraten, bevor sie eine Sicherheitsstrategie vorschlagen. Knapp die Hälfte der CISOs sind außerdem der Ansicht, dass ihre Sicherheitsverantwortung im Unternehmen schneller wächst als ihre Möglichkeiten, Sicherheitsprobleme zu lösen.
Der „2018 State of Cyber Resilience Report“ von Accenture gibt Auskunft über die Verantwortung für das Security-Budget: 27 Prozent der Budgets für Cybersicherheit werden demnach vom Vorstand und 32 Prozent vom CEO genehmigt. Accenture folgert: Die Rolle der CISOs muss sich weiterentwickeln und stärker in das Unternehmen integriert werden.
Eine weitere Erfahrung aus der Praxis: CISOs werden nicht bei jeder neuen Technologie oder Entscheidung dafür einbezogen, wie eine Umfrage von Trend Micro zeigt. CISOs und Sicherheitsexperten werden nur für 38 Prozent der IoT-Projekte in Unternehmen konsultiert. Fast 33 Prozent der Befragten geben an, dass ihnen nicht bekannt ist, wer in ihrem Unternehmen für IoT-Sicherheit verantwortlich ist.
:quality(80)/images.vogel.de/vogelonline/bdb/1451700/1451719/original.jpg "79 Prozent aller Unternehmen beziehen zwar ihre IT-Abteilung bei der Auswahl industrieller IoT-Lösungen mit ein, aber nur 38 Prozent ihre Sicherheitsteams. (Pixabay)")
Sicherheitsexperten und IoT-Projekte
CISOs haben bei IoT zu wenig Mitspracherecht
Fazit: Die Rolle des CISO muss sich noch stärker etablieren
Die Umfragen zeigen deutlich, dass die Rolle und Aufgabe des CISO noch weit davon entfernt sind, eine unternehmensübergreifende Rollenbeschreibung zuzulassen:
- CISOs werden nicht bei allen Security-Fragen einbezogen.
- CISOs haben nicht automatisch die Hoheit über das Security-Budget.
- CISOs haben zu wenig Einfluss auf die Security, die in den Fachbereichen stattfindet.
- CISOs sind nicht immer die tatsächlichen Sicherheitsverantwortlichen in der Geschäftsleitung.
Es ist Zeit, dass sich für den oder die CISO eine feste Aufgabendefinition herausbildet, nicht nur für Stellenausschreibungen, sondern für die Security-Praxis im Unternehmen. Unklare Rollen haben einen gefährlichen Beigeschmack. Es kann passieren, dass die Verantwortung für Security unscharf bleibt, ein Umstand, den sich kein Unternehmen mehr leisten sollte.
(ID:45750984)
:quality(80)/p7i.vogel.de/wcms/67/52/6752893c3874bdd20c24ecb9407f8fc2/0115034207.jpeg "Jahrelang haben CISOs dafür gekämpft, dass ihre Vorstände die Cybersicherheit ernster nehmen. Jetzt haben sie es geschafft, und der Ball liegt nun bei ihnen. (Bild: olly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cd/22/cd2205230a5d498e7b84c2cc6b8fd827/0110983933.jpeg "Ein Schutzzaun um das eigene Unternehmen: bei manchen ist dieser höher, bei anderen eher löchrig. NIS2 will zumindest für KRITIS-Unternehmen Einheitlichkeit schaffen. (Bild: SG- design - stock.adobe.com)")