Befugnisse und Qualifikationen

Was ein Top-CISO beherrschen muss

Sabine Thiemann ist Principal bei der Executive-Search-Boutique i-potentials und verantwortet im Schwerpunkt Suchmandate für CxO-Positionen. Sie ist Leadership-Expertin mit mehr als 20 Jahren Erfahrung in der Besetzung von Top-Führungspositionen. Im Laufe ihrer Karriere hat Sabine Thiemann vorwiegend mit Großunternehmen und internationalen Konzernen zusammengearbeitet. Bei i-potentials berät sie auch Organisationen aus dem transformierenden Mittelstand und Scale-Ups jeweils mit PE-Beteiligung.
Die Jahresgehälter von CISOs übersteigen mittlerweile 200.000 Euro. Sie müssen unternehmerisch denken, sehr gut kommunizieren und nach außen repräsentieren können.
  • Die Jahresgehälter liegen bis zu 40 Prozent höher als noch vor zwei bis drei Jahren.
  • Ein CISO muss die Autorität besitzen, mit seinen Ansichten und Empfehlungen frühzeitig gehört zu werden und diese auf Vorstandsebene zu diskutieren
  • Ein Top-CISO muss auch im Krisenfall der Öffentlichkeit erläutern, was geschehen ist

Meine Kollegen bei Heidrick & Struggles haben kürzlich junge Vorstände aus DAX, MDAX und den größten Familienunternehmen Deutschlands befragt. Ein Ergebnis: Alle Teilnehmer der Studie "Die neue Generation. Junge Vorstände: was sie denken, wie sie führen, was sie bewegt" haben sich bereits mindestens einmal mit dem Thema Cyber SecuritySecurity auseinandergesetzt, über die Hälfte gaben den Eindruck zu Protokoll, dass ihre berufliche Kommunikation in irgendeiner Form von außen "mitgehört" wird. Und 74 Prozent sagten, dass Cyber Security mittel- bis langfristig das Top-Management intensiv beschäftigen wird. Alles zu Security auf CIO.de

Damit rückt ein Thema auf die Agenda, das wir uns vor einem Jahrzehnt nicht hätten träumen lassen. Die Antwort: Es ist ein neues Berufsbild entstanden, der Chief Information Security Officer, international kurz CISO genannt, der dafür Sorge tragen muss, dass Kommunikation und Daten eines Unternehmens sicher sind.

CISO-Einkommen nicht mehr weit vom CIO entfernt

Wie sehr der CISO in den Fokus rückt, belegen auch die ansteigenden Gehälter, die für diesen Fach-Experten inzwischen gezahlt werden. Meine britischen Kollegen besetzten kürzlich eine CISO-Position für 175.000 Britische Pfund und auch in Deutschland werden inzwischen Jahresgehälter von mehr als 200.000 Euro für den richtigen Mann oder die richtige Frau bezahlt. Das sind rund 40 Prozent mehr an Vergütung als noch vor zwei bis drei Jahren. Der oberste Sicherheitschef ist damit beim Einkommen nicht mehr weit vom CIO entfernt.

Und dieser Trend wird sich auch nicht mehr umkehren: Zunehmende DigitalisierungDigitalisierung, Industrie 4.0Industrie 4.0, Big DataBig Data und vielfältige Vernetzungen der Unternehmen mit dem Internet schaffen immer mehr Einfallstore für Angriffe. Cyberkriminalität hat sich zu einem eigenen Wirtschaftszweig entwickelt. Messbare Schäden werden für die Unternehmen zunehmen. Der CISO wird damit immer wichtiger, sein Wertbeitrag steigt, die Zeit spielt für ihn. Alles zu Big Data auf CIO.de Alles zu Digitalisierung auf CIO.de Alles zu Industrie 4.0 auf CIO.de

8 Merkmale eines Top-CISO

Was ein bestens qualifizierter CISO können muss:

  1. Ein CISO muss grundsätzlich in der Lage sein, mit seinem Team ein Informationssicherheits-Managementsystem aufzubauen (Design/Architektur und Sicherstellung der Anwendung); er muss die Fachkompetenz seiner Mitarbeiter in den Themenfeldern Kommunikationssicherheit, IT-Sicherheit, Netzwerksicherheit sowie des Datenschutzes und der Datensicherheit sicherstellen

  2. Der CISO muss in der Lage sein, eine "unabhängige" Organisationeinheit für die Informationssicherheit aufzubauen, damit die Umsetzung der entsprechenden Sicherheitsziele garantiert wird; dazu gehört auch das Aufsetzen einer internen und externen Auditierung

  3. Eine unternehmerische Denkweise (der business-orientierte CISO) ist ebenso wichtig in dieser Rolle als auch die Kommunikationsstärke, um eine Informationssicherheitskultur im Unternehmen zu prägen, d.h. das Bewusstsein aller Unternehmensmitarbeiter für sicherheitsrelevante Themen zu schaffen bzw. durch Schulungen zu sensibilisieren

  4. Neben der Steuerung der Informationssicherheit, sollte sich der CISO in das unternehmensweite Risikomanagement einbinden lassen, mit dem Ziel notwendige Handlungsempfehlungen direkt auszusprechen

  5. Ein CISO muss im Stande sein, den Vorständen, die in der zweiten Hälfte ihrer Karriere stehen und nicht mit den neuen Technologien aufgewachsen sind, die Zusammenhänge, Gefahren und Abwehrstrategien plausibel zu erläutern

  6. Best Practice CISOs fokussieren auf Kultur und Prozesse, in dem sie den Mitarbeitern erläutern, wie diese ungewollte operative Fehler vermeiden.

  7. Es geht also nicht nur darum Reparaturbetrieb zu sein, sondern die ganze Organisation so weiterzubilden, dass Angriffe von außen geringe Chancen haben.

  8. Ein Top-CISO muss das Unternehmen auch nach außen repräsentieren können, er erläutert der Öffentlichkeit im Krisenfall, was geschehen ist und was das Unternehmen gegen die Angriffe unternimmt.

Weil der CISO eine noch relativ neue Führungsverantwortung ist, lautet eine zentrale Frage: Wie soll er organisatorisch aufgehängt sein? Hier hat sich noch kein Standard durchgesetzt. Eine Studie hat herausgefunden, dass derzeit 15 Prozent der CISOs direkt an den CEO berichten, Tendenz künftig stark steigend. Der CISO als Mitarbeiter des CIO ist natürlich auch denkbar, wobei einige Experten von einem gewissen Wettstreit der beiden Funktionen ausgehen, zwischen denen nicht immer die gleichen Interessen bestehen.

Der CISO muss sich auch einmal mit einem "Nein" durchsetzen

In jedem Fall muss bei den Themen Cyber-, Informations- beziehungsweise IT-Sicherheit sichergestellt sein, dass eine klare Funktionstrennung vorliegt, so dass die Sicherheit von Prozessen und Kundeninformationen gewährleistet ist. Der CISO muss sich auch einmal mit einem "Nein" durchsetzen, wenn es Risikobedenken gibt. So gesehen kann der CISO auch in anderen Funktionsbereichen, etwa im Risikomanagement oder der Rechtsabteilung verankert sein.

Eine vorausschauende Security-Strategie macht sich auch Gedanken, was im Ernstfall geschehen soll, wenn massiv Daten abgesaugt wurden und dies insbesondere Kunden betrifft. In diesem Fall bilden CEO, CIO und CISO den Krisenstab. Im Zusammenspiel dieser drei Funktionen werden Lösungen gesucht und entschieden sowie die Kommunikation des Vorfalls inhaltlich vorbereitet.

Ein CISO braucht Autorität

Wie immer die Berichtslinien und hierarchische Aufhängung im konkreten Fall aussehen, der CISO muss die Autorität besitzen, mit seinen Ansichten und Empfehlungen frühzeitig gehört zu werden und diese auf Vorstandsebene zu diskutieren.

Zur Startseite