Chief Security Information Officer (CISO)
Der CISO - Aufklärer, Polizist und Bergführer in Personalunion
- CISOs haben sich in ihrer Funktion als Treiber der IT-Sicherheit vor allem in großen Unternehmen und Mittelständlern mit meist mehr als 1000 Mitarbeitern etabliert. Nahezu jedes DAX30-Unternehmen verfügt über diese Position.
- Die Rollenabgrenzung von CISO und CSO ist nicht immer ganz eindeutig geregelt. Uneinheitlich auch die Rolle des CISOs in der Organisationsstruktur der Unternehmen - das zeigen die Beispiele Linde Group, Allianz und Hellmann Worldwide Logistics.
- Unabhängig davon, ob der CISO an den CIO, Vorstand oder andere Rollen berichtet - er sollte grundsätzlich im Unternehmen gut vernetzt und kommunikationsstark sein, um das Management und die Mitarbeiter aus den Fachabteilungen vom Sinn und Mehrwert der IT-Sicherheit zu überzeugen.
"Ich will nicht der Polizist sein, der auf die Einhaltung von Regeln pocht und Knöllchen verteilt, sondern ein Art Bergführer, der die Vorstände berät und auf den Gipfel führt, ihnen die Risiken bewusst macht, aber auch die Maßnahmen und Wege aufzeigt, wie man diese Gefahren umgeht." Mit diesen Worten beschreibt Stephan Gerhager, Chief Information Security Officer bei der Allianz Deutschland AG, sein Selbstverständnis als CISOCISO. Er blickt auf eine lange Erfahrung als CISO zurück. Vor seiner Zeit bei der Allianz war er drei Jahre bei Audi und sieben Jahre bei E.ON Energie für Informationssicherheit verantwortlich. Alles zu Security auf CIO.de
Foto: Allianz Deutschland AG
Seiner Meinung nach haben IT-Sicherheit und Datenschutz in den letzten Jahren erheblich an Bedeutung gewonnen: "Da mittlerweile nahezu alle Prozesse digitalisiert und viele Systeme über das Internet verbunden sind, werden sie sensibler und angreifbarer. Eine Hacker-Attacke wirkt sich heute unmittelbar auf den Geschäftsbetrieb aus, kann etwa zum Stillstand der Produktion führen und erhebliche finanzielle oder Imageschäden verursachen", erläutert Gerhager.
- Fehlende Fachkenntnisse
Die IT-Industrie wächst schneller, als die Universitäten qualifizierte Fachkräfte in den Markt bringen können. So bleiben zahlreiche IT-Abteilungen unterbesetzt und unterqualifiziert. 76 Prozent der von Trustwave für die Studie Befragten fühlen sich deshalb genötigt, sich selbst in ihrer täglichen Arbeit ständig zu übertreffen, um den Fachkräftemangel etwas zu kaschieren. Trustwave-Marketingchef Cas Purdy sieht externe Security-Service-Unternehmen wie sein eigenes in einer guten Position, IT-Abteilungen zu unterstützen. - Ungeduldiger Vorstand
Vier von zehn Security-Experten mögen Vorstandssitzungen überhaupt nicht. Direkt vor oder nach einem solchen Meeting haben sie nämlich den meisten Stress. Damit ist die Zahl derer, die sich von den eigenen Chefs stark unter Druck gesetzt fühlen sogar knapp höher als die Zahl derer, die sich unmittelbar nach einem großen Datendiebstahl gestresst fühlen (39 Prozent der von Trustwave Befragten). - Erkennen vs. vorbeugen
Die Erkennung von Schwachstellen, Malware und schädlichen Netzwerkaktivitäten stellt für jeden zweiten IT-Security-Experten eine Aufgabe im Tagesgeschäft dar, die mit großem Druck verbunden ist. Es geht darum, Hintertüren in den Systemen zu entdecken, die als Einfallstor missbraucht werden könnten und diese zu schließen, bevor es zu einem Sicherheitsvorfall kommt. Ein Katz-und-Maus-Spiel, was einen gewissen Druck entstehen lässt. - Zu frühe Releases
Wenn IT-Produkte veröffentlicht werden, bevor sie wirklich fertig sind – das ist ein Problem, das 77 Prozent der von Trustwave Befragten nur zu gut kennen. Denn zumeist mangelt es den neuen Errungenschaften gerade an einem – an Sicherheit. Dennoch werden Sicherheitsspezialisten häufig von ihren Unternehmen dazu genötigt, das unfertige Produkt so schnell wie möglich aus der Tür zu bringen. - Internet der Dinge
Wenn alles mit allem vernetzt ist und entsprechend viele neue Angriffspunkte entstehen, sind neue Aufgaben für Security-Experten nicht weit. Das Internet der Dinge (IoT) beherrscht viele Unternehmen und stellt IT-Verantwortliche vor die Aufgabe, entsprechende Lösungen zu entwickeln und zu integrieren. Mehr als jeder zehnte Security-Verantwortliche fühlt sich dadurch unter Druck gesetzt, dass ihm gar nicht die Wahl gelassen wird, ob er IoT-Technologie überhaupt als sinnvoll erachtet. Es geht oftmals nur darum, sie schnellstmöglich einzubauen – unter Sicherheitsaspekten alle andere als schnell erledigt. - Big Data
Der Diebstahl von Kundendaten und von Intellectual Property bestimmt die Schlagzeilen – entsprechend groß ist die Angst von Unternehmensverantwortlichen, dass ihnen so etwas auch widerfahren könnte. Security-Verantwortliche haben großen Druck dadurch, fast die Hälfte von ihnen fürchtet sich vor einem Hack im großen Stil – dass erst Kundendaten abhandenkommen, dann auch noch Firmengeheimnisse verschwinden und es anschließend neben dem herben Imageverlust auch noch zu Gerichtsverfahren kommt. Ganz unbegründet ist diese Angst nicht – zahlreiche reale Fälle, die genau so oder ähnlich abgelaufen sind, geben dieser Befürchtung Nahrung. - Angebot und Nachfrage
Dass es an Security-Personal fehlt, wurde bereits deutlich. Der Bedarf an Experten ist dennoch erstaunlich: Fast jeder Dritte für die Trustwave-Studie Befragte wünscht sich eine Vervierfachung des IT- und IT-Security-Personalstamms im eigenen Unternehmen. Jeder zweite immerhin eine Verdoppelung. Ähnlich groß ist der Wunsch nach einem höheren IT-Security-Budget. - Sicherheit des Arbeitsplatzes
Wenn es zu einem Security-Vorfall gekommen ist, fürchtet nur jeder zehnte Verantwortliche um seinen Job – was maßgeblich mit dem Fachkräftemangel zusammenhängt. Sollte doch einmal die Entlassung drohen, finden Security-Experten schnell wieder einen Arbeitgeber. Also immerhin ein Punkt, an dem sich nur wenige größere Sorgen machen müssen.
Sicherheit wird zur Management-Disziplin
Diese Gefahren und Risiken gelten für alle Branchen. Firmen unterliegen denselben Angriffsmustern, selbst wenn sie unterschiedliche Schwerpunkte setzen - sei es, dass eine Versicherung sensible Kundendaten schützen muss, ein Energie-Unternehmen die Informationen der Anlagensteuerung absichert, damit das Stromnetz nicht ausfällt, oder der Automobilhersteller geistiges Eigentum wie die Entwicklungs-Daten neuer Fahrzeugmodelle hütet.
Angesichts zunehmender Hacker-Attacken sollten daher alle Unternehmen Informations-Sicherheit zum strategischen Ziel erklären. Neben technischen Maßnahmen gehören dazu Policies, Prozesse, Sicherheitsstrategien und -architekturen sowie die Sensibilisierung der Mitarbeiter für die Sicherheitsrisiken (Security Awareness). Eine wichtige Rolle bei der Umsetzung dieser Strategie spielt der Chief Information Security Officer (CISO).
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Hier stellen sich folgende Fragen: Hat sich die Position des Chief Information Security Officers bei Unternehmen in Deutschland bereits durchgesetzt? Wo ist der CISO organisatorisch im Unternehmen angesiedelt? In welchem Verhältnis steht der CISO zum CSO (Chief Security Officer) und zum CIO?
CISO etabliert sich in (großen) Unternehmen
Interessant sind hier die Ergebnisse einer Umfrage von Dell unter 175 IT-Verantwortlichen von Unternehmen jeder Größe in Deutschland zum Thema Sicherheit. Demnach war im Oktober 2015 in 64 Prozent der befragten Unternehmen der CIO für die IT-Sicherheit verantwortlich, nur sechs Prozent hatten die Position des CISO eingerichtet. Hier besteht aber eine klare Korrelation zur Mitarbeiterzahl: Je größer das Unternehmen, desto häufiger existiert ein CISO.
Dies bestätigt Marc Fliehe, Bereichsleiter Sicherheit beim Branchenverband Bitkom: "CISOs haben sich in ihrer Funktion als Treiber der IT-Sicherheit vor allem in großen Unternehmen und Mittelständlern mit meist mehr als 1000 Mitarbeitern etabliert. Nahezu jedes DAX30-Unternehmen verfügt über diese Position." Neben der Größe sei die CISO-Position abhängig von der Branche des jeweiligen Unternehmens, der IT-Durchdringung und der Bedeutung, die das oberste Management der IT-Security zumisst.
Foto: Bitkom
Matthias Zacher, Senior Consultant bei IDC, bestätigt all diese Punkte, sieht aber bei der Abgrenzung der Position des CISO vom CSO (Chief Security Officer) noch Nachholbedarf. "Es gibt noch keine klare, einheitliche Definition und Sichtweise für die Position des CSO und CISO. Teilweise werden diese beiden Begriffe synonym verwendet. Das hängt vom Zuschnitt der Aufgaben und den Zuständigkeiten im jeweiligen Unternehmen ab. Ein Beispiel: Ist der CISO oder der CSO für die Sicherheit von Produktionsanlagen zuständig?"
Begriffsklärung: CIO, CSO und CISO
Semantisch unterscheiden sich der CSO und der CISO durch den Buchstaben "I" für Information. Fehlt aber eine genaue Rollenbeschreibung, kann es zu Überschneidungen oder Missinterpretationen kommen. Daher hier eine kurze Abgrenzung der drei Positionen CISO, CSO und CIO, wie sie sich aus unserer Recherche ergeben haben:
CISO: Der Fokus des CISO liegt auf der Sicherheit digitaler Informationen, sprich Daten und Informationen in elektronischer Form, sowie den dazugehörigen Komponenten wie Netzwerken, Systemen und Anwendungen. Zu seinen Aufgaben zählen präventive, aufdeckende als auch reagierende Sicherheitsmaßnahmen. In seiner Verantwortung liegt es zudem, Ziele und Richtlinien zur Einhaltung der IT-Sicherheit für sein Unternehmen zu erarbeiten, festzulegen und praktisch umzusetzen. Der CISO überprüft das Sicherheitsbewusstsein der Mitarbeiter regelmäßig und schult sie bei Bedarf.
CSO: Beim CSO geht es meist mehr um Safety, also die Sicherheit der physisch-technischen Infrastruktur wie etwa Gebäude- und Personenschutz, Alarmanlagen, Videoüberwachung, Brandschutz, Terrorabwehr oder Schutz vor Einbrüchen. Daher bekleidet diese Position häufig ein ehemaliger Personenschützer. Bei dieser Rollenbeschreibung befindet sich der CSO mit dem CISO auf der gleichen Hierarchieebene. In manchen Unternehmen ist der CSO zusätzlich für IT-Sicherheit sowie Risk und Compliance verantwortlich. In diesem Fall ist der CSO dem CISO übergeordnet.
CIO: Der CIO ist ganz allgemein für den reibungslosen Betrieb der ITK-Infrastruktur verantwortlich. Häufig ist er auch für IT-Security zuständig, so dass der CISO an ihn berichtet.