CISO
Das muss ein Chief Information Security Officer können
Ein Chief Information Security Officer (CISO) ist verantwortlich für die Informations- und Datensicherheit im gesamten Unternehmen. Gegenüber Rollen wie dem Chief Security Officer (CSO) oder dem Ressortleiter für Sicherheit ist das Aufgabenfeld größer.
Im Zuge der Digitalisierung durchdringt Software das gesamte Unternehmen, was die IT-Angriffsfläche signifikant vergrößert. Deshalb gewinnt die Rolle des CISO an Bedeutung. Es lohnt sich also, die spezifischen Verantwortlichkeiten, Pflichten und Voraussetzungen dieser Management-Funktion näher zu betrachten.
CISO - eine Definition
Ein CISO schlägt die Brücke zwischen den traditionell separaten Disziplinen IT, Sicherheit und dem Business eines Unternehmens. Die Funktion erarbeitet die IT-Security-Strategie von den Geschäftszielen aus und sorgt so für das nötige Schutzniveau, ohne die Agilität moderner Geschäftsprozesse zu behindern.
In der täglichen Arbeit ist ein CISO unter anderem verantwortlich für die Bereiche: Security Operations, Cyber-Risiken und -Intelligence, Schutz vor Datenverlust und Betrug, Sicherheits-Architektur, Identitäts- und Zugangsmanagement (IAM), Programm-Management, Forensik und Governance. Im Rahmen eines Information Security Management Systems (ISMS) auditiert ein CISO zudem die Sicherheit der IT und berichtet über die Ergebnisse an die Geschäftsführung.
IT-Security betrifft das gesamte Unternehmen auf allen Ebenen, so dass ein CISO einen ganzheitlichen Sicherheitsansatz verfolgen muss. Sowohl Technik und Organisation als auch Kultur und Lieferkette sind wichtige Faktoren, die es im Blick zu behalten gilt. Auch das Reputationsmanagement und Kommunikationsmaßnahmen im Krisenfall liegen im Verantwortungsbereich des IT-Sicherheitschefs.
Ein CISO ist meist dem Chief Information Officer (CIO) unterstellt, in anderen Fällen direkt dem Chief Executive Officer (CEO) oder der Geschäftsführung, da IT-Security nur eine Untermenge seiner Aufgaben darstellt. Die Rolle kümmert sich auch um die Sicherung und das Risikomanagement aller anderen (nicht digitalen) Informationswerte eines Unternehmens wie etwa Papierakten.
Verantwortlichkeiten eines CISO
Die Aufgaben eines CISO sind so unterschiedlich, wie das Unternehmen, für das sie oder er arbeitet. Stephen Katz gab in einem Interview einen guten Überblick zu den grundlegenden Aspekten der täglichen Arbeit. Katz gilt als Wegbereiter der CISO-Rolle, die er in den 90-er Jahren bei der Citigroup definierte und bekleidete. Er schlüsselt sie wie folgt auf:
- Vorbeugung von Datenverlust und Betrug
Sicherstellen, dass Mitarbeiter keine Daten versehentlich, fahrlässig oder vorsätzlich missbrauchen oder stehlen. - Security Operations
Unmittelbare Bedrohungen in Echtzeit analysieren und im Ernstfall sofortige Gegenmaßnahmen koordinieren. - Cyber-Risiko und Intelligence
Stets informiert bleiben über aufkommende Sicherheitsbedrohungen. Den Vorstand dabei unterstützen, mögliche Sicherheitsrisiken aufgrund von Akquisitionen oder anderen Geschäftsentscheidungen zu verstehen. - Security-Architektur
Security-Hard- und Software planen, einkaufen und in Betrieb nehmen. Sicherstellen, dass IT und Netzwerk anhand der geeignetsten Security Best Practices modelliert sind. - Identitäts- und Zugriffsmanagement (IAM)
Sicherstellen, dass nur berechtigtes Personal Zugriff auf sensible, geschützte Daten und Systeme hat. - Programm-Management
Aufkommende Sicherheitsanforderungen erfüllen, indem Programme und Projekte eingeführt werden, die Risiken beseitigen. Darunter fallen beispielsweise regelmäßige System-Patches. - Fehlersuche und Forensik
Herausfinden, was bei einem Datenleck schiefgelaufen ist, die Verantwortlichen zur Rechenschaft ziehen, wenn sie aus dem eigenen Unternehmen stammen, und Pläne entwickeln, um ähnliche Krisen in Zukunft zu verhindern. - Governance
Sicherstellen, dass alle zuvor genannten Initiativen fehlerlos laufen, ausreichend finanziert sind und die Unternehmensführung versteht, wie wichtig sie sind.
Eine detaillierte Beschreibung der Pflichten eines CISOs hat der Schulungsanbieter SANS Institute in einem Whitepaper (PDF) zusammengefasst.
Anforderungen an einen CISO
Die Position eines CISO setzt eine solide technische Ausbildung voraus. Laut dem Informationsportal für IT-Security-Studenten Cyberdegrees.org benötigt ein CISO mindestens einen Bachelor-Abschluss in Computerwissenschaften oder einem verwandten Feld. Vermehrt legen Unternehmen aber auch auf einen Master-Abschluss mit Security-Fokus Wert. Zudem werden sieben bis 12 Jahre Berufserfahrung vorausgesetzt, mindestens fünf davon in einer Management-Position.
Des Weiteren sollte ein CISO eine Reihe von technischen Skills mitbringen. Grundlegende Kenntnisse in Programmierung und Systemadministration braucht jeder hochrangige Manager im Technikbereich. Darüber hinaus ist aber auch Wissen über Sicherheitstechnologie wichtig, wie beispielsweise DNS, Routing, Authentifikation, VPN, Proxy-Dienste und DDoS-Abwehr, Programmierverfahren, ethisches Hacking, Bedrohungsmodellierung und -analyse, Firewalls sowie Intrusion-Detection-and-Prevention-Protokolle.
Auch der Faktor Mensch rückt zunehmend in den Fokus des CISOs. Mit ausgefeiltem Phishing, E-Mail-Betrug oder Social Engineering umgehen Angreifer die technischen Schutzmaßnahmen von Unternehmen. Damit wird die Sensibilisierung und Schulung der Mitarbeiter durch Security-Awareness-Maßnahmen zu einer zentralen Aufgabe der Sicherheitsverantwortlichen.
Zusätzlich muss ein CISO auch Know-how im Compliance-Bereich besitzen, um dabei zu unterstützen, regulatorische Vorgaben einzuhalten. Darunter fallen beispielsweise je nach Branche und Kerngeschäft die DSGVO, der IT-Grundschutz, KRITIS- oder PCI-Vorgaben. Bei international agierenden Unternehmen gilt es, noch weitere Standards wie HIPAA, CCPA, NIST, GLBA oder SOX zu beachten.
Da CISOs Management-Aufgaben erledigen und im Idealfall einen engen Kontakt zu den Vorständen pflegen, reicht technisches Wissen allein nicht aus, um sich für diese Position zu qualifizieren. Larry Ponemon, Gründer des gleichnamigen Forschungsinstituts, fasste gegenüber der "SecureWorld" zusammen: "Die erfolgreichsten CISOs haben gute technische Grundlagen gepaart mit einem Business-Hintergrund." Sie besäßen etwa einen MBA-Abschluss und könnten mit anderen C-Level-Managern oder dem Vorstand auf Augenhöhe kommunizieren.
Laut Paul Wallenberg, Manager bei der Personalvermittlung LaSalle Network, orientieren sich die geforderten nicht-technischen Skills stark am jeweiligen Unternehmen. "International agierende Betriebe suchen meist Kandidaten mit einem ganzheitlichen, funktionalen Security-Hintergrund." Sie bewerten die Führungsqualitäten anhand des Lebenslaufs und vergangener Leistungen. Auf der anderen Seite suchten Unternehmen mit einem Web- oder Produktfokus CISOs mit speziellen Skillsets im Bereich Anwendungs- und Web-Security.
Zertifizierung zum CISO
Da es keinen vorgezeichneten Ausbildungsweg zum CISO gibt, existieren Zertifikate, die die nötige Fachkompetenz vermitteln sollen. Die Auswahl an Angeboten ist groß, Cyberdegrees.org listet allein sechs. LaSalle-Manager Wallenberg hebt drei davon als die seiner Meinung nach wichtigsten hervor:
Certified Information Systems Security Professional (CISSP) für IT-Profis, die Security zu ihrem Fokus machen möchten.
Certified Information Security Manager (CISM) ist beliebt, wenn sie Sicherheitswissen vertieft werden soll. Es ebnet den Weg in eine Führungs- oder Programm-Management-Position.
Certified Ethical Hacker (CEH) ist für Security-Experten geeignet, um detaillierteres Know-how über komplexe Bedrohungen für die Unternehmenssicherheit zu erhalten.
In Deutschland bieten auch einige Verbände und Weiterbildungsunternehmen Zertifizierungen für den hiesigen Markt an. Hier einige Beispiele:
Der Bundesverband IT-Sicherheit Teletrust offeriert Schulungen zum TeleTrusT Information Security Professional (TISP).
Die Akademie des Branchenverbandes Bitkom bietet einen Zertifikatslehrgang nach BSI IT-Grundschutz und ISO/IEC 27001/27002 an.
Beim TÜV Nord können Interessenten ein CISO-Seminar belegen, nach dessen erfolgreichem Abschluss die Teilnehmer ein TÜV-NORD-CERT-Zertifikat erhalten.
Der Consulting- und Trainingsdienstleister CBT bietet Kurse für den Erwerb des Zertifikats "Chief Information Security Officer CISO" an.
CISO vs. CIO vs. CSO
Sicherheitsverantwortliche tendieren manchmal dazu, Systeme abzuschotten, um sie sicherer zu machen. Das kann zu Konflikten mit der IT-Abteilung führen, die dafür verantwortlich ist, Informationen und Anwendungen möglichst reibungslos zur Verfügung zu stellen.
Diese Auseinandersetzung wird wahrscheinlich zwischen dem CISO und dem CIO ausgefochten. Dabei spielt es eine Rolle, wie die Top-Management-Ebene des Unternehmens organisiert ist. Berichtet ein CISO nicht direkt an den CEO, sondern ist dem CIO unterstellt, kann das zu Problemen führen. Strategische Security-Entscheidungen müssen sich dann unter Umständen der übergreifenden IT-Strategie des CIO unterordnen, was dem Sicherheitsniveau abträglich sein kann.
Ist ein CISO direkt unter der Geschäftsführung oder dem Vorstand angesiedelt, erhält er mehr Durchsetzungsvermögen. Damit könnte auch eine Titeländerung einhergehen. Laut der Global State of Information Security Survey (PDF) wird ein CISO meist dem CIO unterstellt, während ein CSO eher auf derselben Hierarchieebene agiert. Zudem ist er dann auch für nicht-technische Sicherheitsthemen verantwortlich.
CIO und CISO auf Augenhöhe einzusetzen kann das Konfliktpotenzial senken und als Signal für das gesamte Unternehmen gelten, dass Sicherheit ernst genommen wird. Das bedeutet allerdings auch, dass der CISO technische Initiativen nicht blockierten sollte. Die gemeinsame Verantwortung für strategische Projekte verändert die Beziehungsdynamik der beiden Disziplinen und kann für einen neuen CISO das entscheidende Erfolgselement sein.
CISO-Jobprofil
Ist ein Unternehmen auf der Suche nach einem CISO, spielten viele der oben genannten Punkte in die Stellenbeschreibung mit hinein. "Firmen entscheiden zuerst, ob sie einen CISO anheuern wollen, dann holen sie Freigaben für die Hierarchiestufe, Berichtsstruktur und den offiziellen Titel der Position," erklärt LaSalle-Manager Wallenberg. In kleineren Betrieben könne auch ein Ressortleiter oder Security-Director CISO werden. Abschließend gelte es, die minimalen Voraussetzungen und Qualifikationen für die Rolle zu formulieren und den internen oder externen Ausschreibungsprozess zu starten.
In der Stellenausschreibung selbst sollte das Engagement des Unternehmens für Sicherheit von Anfang an klar herausgestellt werden, um die Aufmerksamkeit hochqualifizierter Kandidaten zu bekommen. Dabei hilft es, genau zu beschreiben, wo ein CISO in der Unternehmenshierarchie angesiedelt ist und wie viele Berührungspunkte mit der Geschäftsführung oder dem Vorstand geplant sind.
Auch wenn die Stelle besetzt ist, sollte die Stellenbeschreibung regelmäßig auf den neuesten Stand gebracht und bereitgehalten werden. Es ist nicht immer klar, wann der Mitarbeiter zu einer neuen Herausforderung wechselt, und der CISO ist eine kritische Position, die nicht unbesetzt bleiben sollte.
CISO Gehalt
Der CISO hat eine hochrangige Position inne und wird meist auch entsprechend bezahlt - allerdings variiert der Betrag stark. Gehaltsrechner wie Glassdoor dotieren CISO-Stellen in Deutschland auf durchschnittlich etwa 95.000 Euro Grundgehalt pro Jahr mit viel Luft nach oben und unten. Andererseits sprechen Personalvermittler auch von CISO-Einkommen, die die 200.000-Euro-Marke beim Jahresgehalt sprengen - sofern der Kandidat der richtige Experte für die spezielle Position ist.
Allen CISOs und denen, die es werden wollen sei zudem unser neues Portal https://www.csoonline.com/de/ wärmstens empfohlen.