30 Jahre CISO Vom Technik-Versteher zum Business-Erklärer

Foto: Just dance – shutterstock.com

Als 1995 mit Steve Katz erstmals ein CISO die globale IT-Bühne betrat, war der Netscape Navigator der beliebteste Browser der Welt, Mark Zuckerberg besuchte die Mittelschule und von Smartphones wagten nur eingefleischte Technik-Nerds zu träumen. Die US-amerikanische Citicorp hatte Katz damals den Posten des Chief Information Security Officer angeboten – eine völlig neue Position in der Firmenorganisation, die es so zuvor noch nie gegeben hatte.

Mit ausschlaggebend dürfte für die Bank ein Vorfall aus dem Vorjahr gewesen sein. 1994 war es russischen Hackern gelungen, in die Systeme der Citibank einzudringen und Millionen Dollar von Konten abzuzweigen. Zwar glückte es mit Hilfe des FBI, die Hacker dingfest zu machen und den Großteil des geraubten Geldes sicherzustellen. Doch der erste verbrecherische Cybervorfall seiner Art schreckte die Verantwortlichen in der Finanzbranche gehörig auf.

In der Folge schuf Citicorp die Position des CISO. Katz nahm den Posten an, verließ seinen Job als Leiter der Informationssicherheit bei J.P. Morgan und schrieb damit ein neues Kapitel in den Annalen der Cybersicherheitsgeschichte.

Als Katz im Dezember 2023 im Alter von 81 Jahren verstarb, würdigten ihn seine Kolleginnen und Kollegen als “Vater der Cybersicherheit”. Laura Deaner, CISO beim in Milwaukee ansässigen Finanzdienstleister Northwestern Mutual, erinnert sich an Katz als großzügigen Mentor. “Wir haben einen harten Job. Aber er war jederzeit bereit, einfach auf einen Anruf zu reagieren und über Probleme zu sprechen, wenn man mit etwas Bestimmtem zu kämpfen hatte”, erinnert sich die Managerin. “Er gab mir seine persönliche Telefonnummer. Er gab mir die Nummer seiner Frau! Er war einfach ein sehr positiver Mensch im Allgemeinen”, erzählt Deaner gegenüber CSO.

Anweisung an den ersten CISO: Mach was draus!

Katz hatte im Grunde keine Ahnung, was der CISO-Job bedeutet, als er ihn 1995 annahm – genauso wenig wie die Verantwortlichen der Citicorp. “Sie sagten, hier hast Du einen Blankoscheck, baue etwas Großartiges – was auch immer es ist”, erzählte Katz 2021 rückblickend im CISO-Stories-Podcast von Todd Fitzgerald. “Der CEO sagte damals: ‘Der Vorstand hat keine Ahnung, mach einfach etwas.'” Citicorp habe ihm nur zwei Anweisungen gegeben, erinnerte sich der CISO: “Bauen Sie die beste Cybersicherheitsabteilung der Welt auf” und “gehen Sie raus und verbringen Sie Zeit mit unseren wichtigsten internationalen Bankkunden, um den Schaden zu begrenzen”.

Seit den 90er Jahren des vergangenen Jahrhunderts ist der CISO-Job deutlich komplexer geworden. Laut Fitzgeralds Buch “CISO COMPASS: Navigating Cybersecurity Leadership Skills with Insights from Pioneers” aus dem Jahr 2019 läutete Katz’ Berufung die erste CISO-Ära von 1995 bis 2000 ein, in der sich CISOs vor allem auf Passwörter und Anmeldesicherheit konzentrierten. Fitzgerald unterteilt die auf Katz folgende CISO-Rollengeschichte in unterschiedliche Epochen:

• 2000 bis 2004: CISOs für die Einhaltung gesetzlicher Vorschriften

• 2004 bis 2008: Risikoorientierte CISOs

• 2008 bis 2016: Bedrohungsbewusste CISOs für Cybersicherheit (Social/Mobile/Cloud)

• 2016 bis 2022: Datenschutz- und datenbewusste CISOs

• 2022 bis 2027+: Der integrierte, geschäftsresiliente CISO

Im Gespräch mit CSO berichtet Fitzgerald, dass die CISO-Funktion ursprünglich vor allem als technische Position angesehen wurde. Mittlerweile liege der Schwerpunkt jedoch auf der Geschäftsstrategie. “Heute richtet sich der Fokus viel stärker auf Soft Skills sowie darauf, ein Partner des Business zu sein”, sagt er.

Der CISO muss auch mal die Scherben zusammenkehren

Im Laufe der Zeit habe sich die Aufgabe des CISO grundlegend gewandelt, ergänzt Yael Nagler, CEO von Yass Partners, einem CISO-Coaching- und Beratungsunternehmen in Washington, DC. Der Schwerpunkt der CISO-Arbeit finde heute mehr in den Konferenzräumen der Geschäftsleitungen statt und weniger im technischen Maschinenraum der IT. Heute gehe es vor allem auch darum, Krisen managen und im Notfall auch die Scherben zusammenkehren zu können.

Das bedeutete allerdings auch, dass die CISOs ihre Fähigkeiten weiterentwickeln mussten. aus Naglers Sicht habe sich der Interaktionsradius im Laufe der Jahre erheblich erweitert. Dieser umfasst beispielsweise, mit Abteilungen wie Technologie, Finanzen, Audit, Recht und Compliance zusammenzuarbeiten. Gartner zufolge ist diese Zusammenarbeit über den IT-Bereich hinaus für moderne CISOs entscheidend. Die Analysten haben zwischen 2020 und 2023 die Leistung von 227 CISOs ausgewertet und kamen zu dem Schluss, dass sich die effektivsten CISOs regelmäßig mit dreimal mehr Nicht-IT-Stakeholdern wie Vertriebs-, Marketing- und anderen Geschäftsbereichsleitern treffen als mit IT-Stakeholdern.

Hilfe – wer versteht den CISO?

moderne CISOs müssen in der Lage sein, Cyberbedrohungen in einer Art und Weise zu kommunizieren, die die Geschäftsbereiche sofort verstehen können. “Es ist die Fähigkeit, Risiken so zu artikulieren, dass sie das Management mit den Geschäftsprozessen im Unternehmen korrelieren kann”, sagt Fitzgerald. Ein CISO müsse in der Lage sein, zu übersetzen, was Risiko bedeutet. “Bedeutet es, dass der Geschäftsbetrieb still steht? Oder bedeutet das, dass wir nicht in der Lage sein werden, Patienten in unserem Krankenhaus zu behandeln, weil wir einen Ransomware-Angriff hatten?”

CISO Deaner sieht eine ihrer wichtigsten Rollen bei zentralen Infosec-Initiativen im eigenen Betrieb, wie zum Beispiel bei der Implementierung eines Business-Continuity-Plans oder Disaster-Recovery-Tests. Da im Zuge der digitalen Transformation IT-Technik in der gesamten Struktur jedes Unternehmens verankert wird, müsse ein CISO auch in der Lage sein, die Cybersicherheit aus dem traditionellen Technologiesilo herauszubrechen. “Es ist wichtig, sicherzustellen, dass Sicherheit ein großer Teil der Unternehmenskultur ist und dass man von oben nach unten davon hört”, bekräftigt Deaner.

Der CISO von heute ist überlastet, gestresst und voller Angst

Keine leichte Aufgabe. Viele der 32.000 CISOs weltweit fühlen sich überfordert und gestresst. Das kollektive Angstgefühl wächst. Umfragen aus dem Januar 2024 unter 663 CISOs in Kanada und den USA ergaben, dass rund drei Viertel der IT-Security-Verantwortlichen offen für einen Jobwechsel seien (Vorjahr: 64 Prozent). Gleichzeitig sank die Zahl der CISOs, die mit ihrem Job und ihrem Unternehmen zufrieden waren, von 74 auf 64 Prozent. Reduzierte Ausgaben für IT-Sicherheit, zunehmende Cybergefahren und immer strengere Cybersicherheitsregeln schürten die Angst, heißt es in der Studie von IANS/Artico.

Die Top CISOs in Deutschland

Die angespannte Psyche heutiger CISOs ist für Fitzgerald keine Überraschung. Er weist darauf hin, dass keine der Kernaufgaben aus früheren Epochen an Bedeutung verloren habe oder gar verschwunden sei. Stattdessen werde von CISOs nun erwartet, dass sie mit einer wachsenden Problempalette fertig werden: Risikomanagement, Überblick über neue Bedrohungen, Einhaltung gesetzlicher Vorschriften, Datenschutz und Stärkung der Resilienz von Unternehmen sowie die Integration von Cybersicherheit in die Unternehmenskultur und den gesamten Betrieb des Unternehmens. “Nichts davon aus den vorangegangenen Phasen ist verschwunden. Sie wurden nicht ersetzt, sondern es kamen einfach immer mehr neue Aufgaben hinzu”, stellt der Experte fest.

CISOs in der Haftung und mit einem Bein im Knast

Hinzu kommt ein sich immer weiter verschärfendes regulatorisches Umfeld. In den USA wurde 2023 der ehemalige Uber-CISO Joe Sullivan verurteilt, weil er eine Datenschutzverletzung nicht offengelegt hatte. Im selben Jahr erhob die US-Börsenaufsichtsbehörde Securities and Exchange Commission Anklage gegen den CISO von SolarWinds, Timothy G. Brown, im Zusammenhang mit einem Cyberangriff im Jahr 2020. “In CISO-Kreisen wird derzeit viel über Haftung gesprochen. Wir sind alle besorgt darüber”, räumt Deaner ein.

Foto: SolarWinds/CSOonline.com

Nach Ansicht von CISO-Coach Nagler könnten sich die regulatorischen Parameter jedoch als “das beste Geschenk” für CISOs erweisen. “Führungskräfte nehmen diese Regeln sehr wohl zur Kenntnis”. Das führe im besten Fall zu durchdachterem Handeln und einer verantwortungsvolleren Entwicklung von (Cybersicherheits-)Programmen in den Unternehmen. “Das ist eine großartige Gelegenheit für CISOs, ihre Rolle und ihren Wert für das Unternehmen über die reine Technologie hinaus zu entwickeln und zu einem strategischen Partner zu werden”, sagt sie.

CISO an C-Level – bitte kommen!

Doch bis dahin scheint es noch ein weiter Weg zu sein. Die IANS/Artico-Studie hat ergeben, dass lediglich jeder fünfte CISO im eigenen Unternehmen als C-Level-Führungskraft gilt. Nur die Hälfte der CISOs spricht vierteljährlich mit ihrem Vorstand. Obwohl sich 85 Prozent der Befragten klare Leitlinien zur Risikotoleranz von ihrem Management wünschen, erhalten gerade einmal 36 Prozent einen solchen Rahmen. “Oft berichten CISOs immer noch an den CIO oder CTO, also den technischen Teil im Unternehmen”, konstatiert Fitzgerald. Eigentlich sollten sie dem CEO unterstellt sein, doch das seien die wenigsten.

Ständig neue Cyberbedrohungen, die KI-Revolution und eine sich kontinuierlich verändernde Gesetzeslandschaft – für viele CISOs stellt sich die Frage nach ihrem Rollenverständnis für die Zukunft. Viele CISOs seien schlichtweg “ausgebrannt”, stellte Gartner-Analyst Sam olyaei 2022 fest. Infolgedessen müsse ihre Rolle völlig neu definiert werden: als Führungskraft des gemeinsamen Risikomanagements, nicht als einzelner Gatekeeper mit dem Auftrag, Verstöße zu verhindern. Statt Cyberrisiken zu behandeln, müssten CISOs sicherstellen, “dass Führungskräfte über die Fähigkeiten und das Wissen verfügen, um fundierte, qualitativ hochwertige Entscheidungen über Informationsrisiken zu treffen”, so Olyaei.

Management muss mehr Verantwortung für Sicherheit übernehmen

In diesem Sinne fordert Beraterin Nagler die CISOs von heute auf, “zu erkennen, dass es nicht ihre alleinige Verantwortung ist”, das heikle Gleichgewicht zwischen Risikomanagement und Geschäftswachstum auszubalancieren. Vielmehr sei es ihre Pflicht, “dafür zu sorgen, dass das Führungsteam in der Lage ist, dies auszubalancieren: indem sie die Dinge erklären, antizipieren und verstehen, wohin es geht.” Fitzgerald rät den CISOs, sich auf Strategie und Governance zu konzentrieren und “sicherzustellen, dass die richtigen Dinge getan werden und dass die Verantwortung für die Sicherheit im gesamten Unternehmen übernommen wird, nicht nur für die technischen Teile.”

Der erste CISO Steve Katz hat dies bereits früh erkannt und vorausgesehen. Rückblickend beschrieb er seine Herangehensweise an den Job bei Citicorp im Jahr 1995 folgendermaßen: “Die IT-Abteilungen waren der kleinste Teil des Problems”, erinnerte sich Katz. “Vom ersten Tag an war die zugrunde liegende Philosophie, dass Informationssicherheit ein Geschäftsrisikoproblem ist – alles dreht sich also um das richtige Handling von Geschäftsrisiken.” (ba)