C-Level-Deathmatch: Der Niedergang des CIO

Foto: Rido | shutterstock.com

Vor einem halben Jahrhundert arbeitet das Gros der Unternehmen noch papierbasiert – sowohl was Geschäftsprozesse als auch Buchhaltung und Vertrieb angeht. Die Unternehmen selbst sind zu diesem Zeitpunkt zudem stark standortgebunden und erzielen ihren Umsatz häufig vor allem über persönliche Interaktionen.

Dann werden erst Computer und später Netzwerke erschwinglich – das Business verlagert sich von papiergebunden zu Computer-nativ. Die Unternehmen bauen Netzwerke für ihre Server und Endbenutzer auf und geben ihnen entsprechende Endgeräte an die Hand, um ihre Tasks zu erledigen. Das rasante Innovationstempo des modernen IT-Ökosystems begünstigt den Aufstieg des Chief Information Officer (CIO): Zunächst als Führungskraft, die Systeme managt, dann als Leiter der IT-Organisation, der die digitale Transformation der Geschäftsprozesse vorantreibt.

Der CISO entsteigt der Schatten-IT

Doch IT ist – nicht nur in Bezug auf Hardware, Software und Lizenzen – teuer: User Support, Change- und Vendor Management treiben die Kosten für Unternehmen. Entsprechend stehen viele CIOs vor allem unter dem Druck, Kosten senken zu müssen – und weniger unter dem, Innovationen voranzutreiben. Insbesondere der Fakt, dass der CIO in einigen Fällen dem CFO unterstellt ist, unterstreicht diese Annahme. So wird der CIO zunehmend zur personifizierten 80/20-Regel im Unternehmen: 80 Prozent des Bedarfs bei 20 Prozent der Ausgaben realisieren.

Parallel zu dieser Entwicklung verlagern sich die Umsatzströme der Unternehmen von persönlichen Kontakten und Callcentern zunehmend auf das weltweite Netz: Das Back-Office operiert netzwerkbasiert – die Applikationen, die das Business antreiben, internetbasiert. Weil der CIO weiterhin vor allem Kosten senken muss, sind die IT-Teams weniger flexibel, wenn es darum geht, auf neue Anforderungen zu reagieren. Engineering Teams sind deshalb maßgeblich dafür verantwortlich, dass innovative Technologieplattformen in den Unternehmen Einzug halten – es sind die ersten Schatten-IT-Anwendungen. Diese von der IT-Abteilung nicht unterstützten Applikationen entwickeln sich schnell zu geschäftskritischen Elementen, deren Sicherheit gewährleistet werden muss – die Geburtsstunde des Chief Information Security Officer (CISO).

Über die letzten 20 Jahre hat sich diese Dynamik gehalten: Der CIO verantwortet einen weitläufigen, oft monolithischen Bereich – der CISO kümmert sich um den Schutz der oft von Chaos geprägten Schatten-IT. Zwar überschneiden sich die Aufgabenbereiche von CIO und CISO geringfügig, doch das Modell der Koexistenz steht. Bis die Cloud aufkommt.

Das CIO-Modell wankt zunehmend

Das Cloud-native Unternehmen ist der erste “Schlag” gegen das traditionelle CIO-Modell dar: Die Anwendungen werden aus dem Unternehmensnetzwerk herausgelöst, auf der Rechenumgebung eines Drittanbieters aufgebaut und in der Umgebung eines Cloud-Anbieters gehostet. Das führt auch dazu, dass sich agile IT-Teams verändern und zu einer Art internem Dienstleister werden – viele Teammitglieder finden sich inzwischen in einer Cloud-Devops-Rolle wieder. In anderen Fällen managen die Engineering-Teams ihre eigenen Cloud-Umgebungen und verzichten dabei gänzlich auf IT-Support. Cloud Native scheint nach Location Native und Internet Native der (vorerst) letzte Schritt für umsatzwirksame Unternehmensaktivitäten zu sein.

Die durch Software as a Service (SaaS) angeschobene Revolution hat schließlich das Potenzial, der Rollentrennung von CIO und CISO endgültig den Garaus zu bereiten. Jede Anwendung, die das Kerngeschäft von Unternehmen unterstützt, ist inzwischen im SaaS-Ökosystem verfügbar – von HR über Finance bis hin zu Marketing. Gleichzeitig ist SaaS das “Nonplusultra” der Schatten-IT: Services können von den Endbenutzern beschafft und in Sekunden bereitgestellt werden. Abgesehen von der nötigen Integration mit einem Identity-Management-Anbieter erfordern diese Applikationen nur ein Minimum an IT-Support.

Allerdings birgt eine schnelle Akquisition und Migration von Anbietern auch diverse Risiken, die die Aufmerksamkeit der CISOs auf sich ziehen. Weil die meisten traditionell IT-basierten Support-Aktivitäten in Zusammenhang mit den Applikationen vom jeweiligen SaaS-Anbieter übernommen werden, besteht primär Bedarf in Sachen Security-Support. Für die meisten Unternehmen wäre es deshalb pure Verschwendung, wenn sowohl CIO als auch CISO diesen Support jeweils separat leisten würden.

Mit Blick auf die Startup-Szene zeichnet sich die künftige Entwicklung bereits ab: In diesem Umfeld ist es sehr wahrscheinlich, dass künftig ein “Director of Security” sowohl für die IT als auch die Sicherheit zuständig ist, weil es als primäre Triebfeder für kundenspezifischen IT-Support angesehen wird, Security-Probleme zu lösen. Wenn diese Unternehmen weiter wachsen, wird sich daran nichts mehr ändern – sie werden nur noch einen IT- und Security-Entscheider auf C-Level in der Organisation haben.

Die letzte Bastion des CIO ist es möglicherweise, Endgeräte zu managen. Da Apple, Google, Microsoft und andere hervorragenden Support bieten und EDR-Anbieter zunehmend administrative Tasks übernehmen, stellt sich jedoch die Frage: Wie lange kann ein CIO überleben, der sich nicht um Security kümmert? (fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Die Top CISOs in Deutschland

Foto: Kuka

Nach seiner Tätigkeit in verschiedenen Sicherheitsbehörden des öffentlichen Dienstes hat Thomas Franke bei ZF im Bereich der Unternehmenssicherheit und anschließend in der Informationssicherheit verschiedene globale Projekte verantwortlich durchgeführt. 2017 hat er die Position des CISO und DPO in der Kuka Group übernommen.

Foto: KEB Automation

Gernot Zauner ist seit 2023 als CISO für die Informationssicherheit bei KEB Automation zuständig. Bereits zuvor war er in verschieden Positionen im IT-Security-Bereich tätig.

Foto: Häfele

Daniel Feinler ist bereits seit mehr als elf Jahren bei Häfele für den IT-Bereich zuständig. Im Mai 2023 hat er die Rolle des CISO übernommen.

Foto: Versicherungskammer Bayern

Bodo Dobronski und Heike Tschabrun sind seit 2017 die CISOs des Konzerns Versicherungskammer. Bodo Dobronski hat einen Universitätsabschluss der TU Dresden als Informatiker, Heike Tschabrun einen Abschluss als Sozialwirtin der Fachhochschule Ravensburg.

Foto: Henkel

Stefan Braun ist bereits seit 2008 bei Henkel. Als CISO ist er seit 2021 für die IT-Sicherheit zuständig. Zuvor war er im IT Audit, der IT und im Konzerncontrolling tätig. Seine Berufslaufbahn begann er bei Accenture und Procter & Gamble nach einem Studium der Informatik an der RWTH Aachen und dem INSA Lyon.

Foto: Schufa Holding AG

Seit Ende 2022 ist Christopher Ruppricht als CISO für die IT-Sicherheit bei der Schufa verantwortlich. Zuvor war er als als CISO für paydirekt zuständig.

Foto: Max Imbiel

Zum 1. Oktober trat Max Imbiel seine neue Stelle als Deputy Group CISO bei der Online-Bank N26 an. Seine Aufgabe im CISO Office von N26 ist es, das Unternehmen bestmöglich gegen Cyberbedrohungen aufzustellen und die Daten und Informationen von Kunden sowie Mitarbeitern zu schützen. Imbiel hat einen Computer Science and Economics Bachelor-Abschluss in Computer Science and Economics.

Foto: Holger Bajohr-May

Holger Bajohr-May begann seine Karriere bei den Technische Werke Ludwigshafen am Rhein bereits vor 25 Jahren mit der Ausbildung zum Industriekaufmann. Vom PC-Techniker über den SAP-Anwendungsbetreuer arbeitete er sich hoch und ist seit diesem Jahr CISO.

Foto: GEA Group

Iskro Mollov ist seit 2020 der Group CISO und Vice President Security, Business Continuity and Crisis Management bei GEA Group. In seiner Funktion berichtet er an den Vorstand sowie an den Prüfungsausschuss der Aufsichtsrates und verantwortet ganzheitlich die Sicherheitsbereiche: Informationssicherheits-Governance, IT-Sicherheit, OT-Sicherheit, Produkt-Sicherheit, Physische Sicherheit, HR Sicherheit, Sicherheit in der Lieferkette, Sicherheit digitaler Medien sowie übergreifend Business Continuity Management (BCM) und Krisenmanagement.

Foto: Vorwerk Gruppe

Seit Juli 2021 ist Florian Jörgens CISO der Vorwerk Gruppe. Neben dieser Tätigkeit ist er seit seinem Master-Abschluss 2015 unter anderem an diversen Hochschulen als Dozent, Autor und wissenschaftlicher Mitarbeiter tätig. Weiterhin hält er Fachvorträge rund um die Themen Informationssicherheit, Awareness und Cyber-Security. Florian Jörgens wurde im September 2020 vom CIO-Magazin mit dem Digital Leader Award in der Kategorie „Cyber-Security“ ausgezeichnet.

Foto: Bauer Global Technology

Hendrik Janssen zeichnet seit Juli 2016 als CISO und Global Technology Director Security bei Bauer Global Technology verantwortlich. Er war 12 Jahre lang Soldat auf Zeit bei der Bundeswehr im Bereich Cybersicherheit.

Foto: Ralf Kleinfeld

Begonnen hat Ralf Kleinfeld bei Otto vor über elf Jahren als Teamlead Network and Security. Seit neun Jahren ist er nun als Department Manager Information Governance für die Informationssicherheit verantwortlich. Kleinfeld hat Abschlüsse vo der Quadriga University of Applied Sciences in Berlin und der Technische Universität Kaiserslautern.

Foto: Allianz Technology

Fabian Topp ist CISO bei Allianz Technology. Er ist ISO 27001 Lead Implementer, Lead Auditor und CISM zertifiziert. Er besitzt Universtätsabschlüsse in Politologie wie auch Rechtswissenschaften.