CISO oder CIO

Wer trägt die Verantwortung für IT-Sicherheit?

08.10.2019 von Julia Lamml

IT-Sicherheitsverantwortliche fordern ihre Unabhängigkeit, nicht zuletzt indem sie direkt an den Vorstand berichten. CIOs begegnen dem mit Skepsis.

Cybersecurity bleibt ein wichtiges Thema.
Foto: Song_about_summer - shutterstock.com

Laut einer Umfrage der CISO Alliance hadern viele IT-Sicherheitsverantwortliche mit ihrer Positionierung im Unternehmen. Eine ihrer Forderungen lautet: Der CISO sollte nicht an den CIO, sondern an den Vorstand berichten.

"Es geht vor allem darum, die Unabhängigkeit zu wahren", erklärt Ulrich Heun, Vorsitzender der CISO Alliance e.V. "Es ist die Aufgabe eines CISO, das notwendige Sicherheitsniveau ermitteln und auch gegen einen CIO durchsetzen zu können."

Der CIO in der Pflicht

Patrick Naef, Ex-CIO der Fluglinie Emirates in Dubai und Berater für die Acent AG, sieht die Forderung skeptisch: "Die Berichtslinien sind hier völlig irrelevant. Was zählt, ist der Impact, den man erzielt." Cybersecurity sei ein großes Hype-Thema geworden, bei dem viele Ängste geschürt würden. "Es ist die Rolle des CIO, da glättend zu wirken."

Patrick Naef
Foto: Emirates

Auf der anderen Seite habe sich der Verantwortungsbereich des CIO in den vergangenen fünf Jahren stark ausgedehnt. Da nicht alle IT-Verantwortliche dem gewachsen seien, gebe es immer neue Rollen wie den Chief Digital Officer (CDO) oder den CISO. "Neue Aufgaben zu übernehmen gehört aber zum Kern der Arbeit eines CIO", so Naef. "Man kann nicht für jedes Thema, das neu aufpoppt, eine neue Rolle erfinden. Dann sind irgendwann 35 Leute in den Vorständen."

Das Ende hierarchischer Strukturen?

Laut dem "The State of Cybersecurity Report 2019" des indischen IT-Serviceunternehmens Wipro unterstehen heute noch 51 Prozent der CISOs den CIOs. Gut jeder fünfte IT-Sicherheitschef berichtet demnach inzwischen direkt an den CEO.

Wenn der CIO in Security-Angelegenheiten bewusst einen Schritt zurücktrete und seinen CISO ernst nehme, brauche dieser keinen direkten Berichtsweg zum Vorstand, meint Naef. Zu starre hierarchische Strukturen wirkten zukunftsorientierten Konzepten wie der Netzwerkorganisation oder dem agilen Projektmanagement entgegen.

Einspruchsrecht für den CISO

Dass ein Dreiklang aus CIO, CDO und CISO zu viel ist, glaubt auch Heun. Nach seiner Einschätzung überschneiden sich aber vor allem die Rollen des CDO und des CIO. Der CISO mit seiner Schutzfunktion agiere auf einer anderen Ebene. "Er sollte ein Einspruchsrecht haben, wenn die Risiken zu groß werden." Würden die Hierarchien und Abläufe nicht genau geklärt, sei die Gefahr groß, dass der CISO nicht gehört werde.

Dass eine Konstellation, in der ein CISO an den CIO berichtet, zu Konflikten führen kann, hält auch Naef für möglich. Er ist aber überzeugt: "Ein guter CIO hat das im Griff." Heun von der CISO Alliance zweifelt aber, dass die meisten Unternehmen einen solchen Super-CIO haben, der alles im Blick behält.

Auch Hans-Joachim Popp, Präsident des Anwenderverbands VOICE e.V., hat Bedenken. "Flache Hierarchien zeichnen sich dadurch aus, dass die Führungsspanne sehr leicht zu groß wird." Man könne auf Augenhöhe diskutieren, doch die Entscheidung müsse am Ende ein einzelner treffen. Damit bilde sich automatisch eine Hierarchie, wenn auch eine inoffizielle. "Und inoffizielle Hierarchien sind oft schwieriger als offizielle", meint Popp.

Hans-Joachim Popp
Foto: BwConsulting

Ist eine eigenständige CISO-Organisation nötig?

Eine Rollentrennung zwischen CIO und CISO hält der VOICE-Präsident für notwendig, genauso einen direkten Zugang zum Vorstand für den CISO. "Der CISO geht in die Fachabteilungen vor Ort, lässt sich berichten, erkennt die Defizite, auditiert und macht Vorgaben", erklärt Popp. Er müsse mit dem CEO sprechen dürfen, kann dabei aber nicht entkoppelt von der IT arbeiten. Der CISO bleibe letztendlich Mitglied des IT-Teams.

Heun von der CISO Alliance hält dagegen eine eigenständige CISO-Einheit für die bessere Lösung. Die Aufgaben des IT-Sicherheitschefs würden tendenziell immer weniger technisch und befassten sich eher mit konzeptionellen Fragen, die nahe am Risk Management der Compliance-Abteilung oder der Unternehmenssicherheit lokalisiert seien.

Zweifel an der Priorität von Sicherheitsthemen

Heun glaubt, dass CIOs mitunter zu spät über IT-Sicherheitsthemen nachdenken. "Oft stehen heute Innovationsprojekte im Vordergrund", so der Vereinssprecher. Im globalen Wettbewerb werde die Time-to-market-Spanne immer kleiner. Das erhöhe den Druck auf CIOs. "Ich habe das selbst in Projekten erlebt, gerade wenn es um Schnittstellen geht." Erst implementieren, dann sich um die Sicherheit kümmern - das sei oft die Devise. "Beides muss aber gleichzeitig passieren. Und dafür braucht es die Unabhängigkeit des CISO."

Dem mag VOICE-Sprecher Popp allerdings nicht folgen. "Ernstzunehmende IT-Verantwortliche kennen die Gefahren", sagt der Präsident der CIO-Interessenvertretung. So gut wie jeder Unternehmens-CIO habe bereits einen Sicherheitsvorfall erlebt.

Aufgaben eines CISO

Vorbeugung von Datenverlust und Betrug
Sicherstellen, dass Mitarbeiter keine Daten versehentlich, fahrlässig oder vorsätzlich missbrauchen oder stehlen.

Security Operations
Unmittelbare Bedrohungen in Echtzeit analysieren und im Ernstfall sofortige Gegenmaßnahmen koordinieren.

Cyber-Risiko und Intelligence
Stets informiert bleiben über aufkommende Sicherheitsbedrohungen. Den Vorstand dabei unterstützen, mögliche Sicherheitsrisiken aufgrund von Akquisitionen oder anderen Geschäftsentscheidungen zu verstehen.

Security-Architektur
Security-Hard- und Software planen, einkaufen und in Betrieb nehmen. Sicherstellen, dass IT und Netzwerk anhand der geeignetsten Security Best Practices modelliert sind.

Identitäts- und Zugriffsmanagement (IAM)
Sicherstellen, dass nur berechtigtes Personal Zugriff auf sensible, geschützte Daten und Systeme hat.

Programm-Management
Aufkommende Sicherheitsanforderungen erfüllen, indem Programme und Projekte eingeführt werden, die Risiken beseitigen. Darunter fallen beispielsweise regelmäßige System-Patches.

Fehlersuche und Forensik
Herausfinden, was bei einem Datenleck schiefgelaufen ist, die Verantwortlichen zur Rechenschaft ziehen, wenn sie aus dem eigenen Unternehmen stammen, und Pläne entwickeln, um ähnliche Krisen in Zukunft zu verhindern.

Governance
Sicherstellen, dass alle zuvor genannten Initiativen fehlerlos laufen, ausreichend finanziert sind und die Unternehmensführung versteht, wie wichtig sie sind.

Gleiche Interessen, unterschiedlicher Einsatzbereich

Die Ziele eines CIO und eines CISO liegen laut Popp nahe beieinander: "Der CISO kümmert sich um die Risiken für die Verfügbarkeit. Das ist ja auch ein ganz zentrales Anliegen des CIO."

Heun stimmt zu, glaubt aber, dass CISOs heute einen Verantwortungsbereich haben, der über das Reich des CIOs hinausreicht. Bei Cloud-Systemen etwa kümmere sich der IT-Leiter oft nur um die Sicherheit der Systeme im Verantwortungsbereich der IT. In einzelnen Fachbereichen würden aber auch externe Systeme eingesetzt, auf die der IT-Leiter keinen Einfluss habe. Ein CISO dagegen sei für die Sicherheit über die Abteilungsgrenzen hinweg verantwortlich.

VOICE-Sprecher Popp indes hält es für sinnvoller, dass der CISO weiterhin in der CIO-Organisation arbeitet, da sich so die Komplexität reduzieren lasse. "Der CISO und der CIO müssen an einem Strang ziehen und zum Beispiel dem CEO erklären, dass vorhandene Systeme immer wieder konsolidiert und nicht nur neu gebaut werden sollten. Dieses 'Aufräumen' bringt dann Agilität und Sicherheit zugleich."

Er stimmt Heun zu, dass die Bedeutung der Sicherheit mit zunehmender Angreifbarkeit wachse. Im IT-Team seien dennoch alle Funktionen gleich wichtig. "Es ist natürlich elementar, dass neben der Sicherheit die weiteren Anforderungen an technologische Kontinuität, ein bedienbares GUI, Kosteneffizienz und so weiter ebenso erfüllt werden", schließt er.