Chief Information Security Officer: Ein neues Berufsbild für CISOs

Foto: Ralf Kleinfeld

Die Rolle des CISO ist auf Informationssicherheit ausgelegt. Wie hat sich das Berufsbild Ihrer Meinung nach verändert?

Kleinfeld: Ich glaube, dass die Diskussion über den Unterschied zwischen IT- und Informationssicherheit mehr Sichtbarkeit bekommen hat. Viele Menschen denken, dass es sich dabei um die gleiche Disziplin handelt. Das sollte stärker herausgearbeitet werden. Informationssicherheit konzentriert sich auf den Schutz von allen Informationen und orientiert sich daher an der geschäftlichen Perspektive. IT-Sicherheit ist ein spezieller Teilbereich, der einen größeren technischen Bezug hat.

Ein CISO muss sich heutzutage sehr stark mit dem Geschäftsmodell und der Strategie im Unternehmen beschäftigen, um die Informationssicherheit daran anzupassen. Durch die Digitalisierung hat sich die Struktur der Unternehmen verändert. Deshalb sollte Informationssicherheit in die Digitalisierungsstrategie integriert werden.

Lesetipp: 4 Fragen vor dem CISO-Job

Was ist der Hintergrund dafür, dass Sie das Berufsbild des CISO bei der CISO Alliance neu definiert haben? Und was unterscheidet Ihre Definition von der herkömmlichen Jobbeschreibung?

Kleinfeld: Häufig ist der CISO als Rolle etabliert. Mit der Rollenbeschreibung wollen wir als CISO Alliance erreichen, dass sich dieser Bereich zu einem eigenen Berufsbild entwickelt. Das, was wir als CISO verstehen, sollte möglichst in jeder Organisation etabliert sein.

Unsere Definition soll dafür sorgen, dass Unternehmen, Interessierte und Stelleninhaber ein gemeinsames Bild davon haben, was ein oder eine CISO mitbringen sollte. Es gibt zwar zahlreiche Schulungen und Zertifikate, die sich stark auf den inhaltlichen beziehungsweise fachlichen Teil der Informationssicherheit fokussieren, aber bisher ist uns noch keine klare Rollenbeschreibung bekannt.

Häufig liest man in Stellenausschreibungen für CISOs: “Ich hätte gerne jemand, der schon zehn Jahre Erfahrung in der Informationssicherheit mitbringt und einen Hochschulabschluss hat.” Die Rolle des CISO braucht aber auch eine starke überfachliche Qualifikation. Die notwendigen Fähigkeiten lassen sich jedoch oft nicht von Zertifizierungen ableiten.

Wünschenswert wäre es, dass es eines Tages auch eine Berufsausbildung für den CISO gibt. Wenn sich heute jemand dazu entscheidet, CISO zu werden, dann müsste die Person in der Regel fünf Jahre warten, bis sie ausreichend Erfahrung gesammelt hat.

Sie interessieren sich für CISO-Themen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten.

In der Sicherheit gibt es zahlreiche Rollenbezeichnungen. Wie grenzt sich der CISO ab?

Kleinfeld: Während der CSO häufig für die allgemeine Sicherheit zuständig ist, verfolgt der CISO die Spezialisierung auf die Informationssicherheit. Auch das hat sich in den vergangenen Jahren gewandelt. In Themenbereichen, die nicht direkt mit Informationssystemen zu tun haben, gibt es trotzdem sehr häufig eine Verbindung zur Informationssicherheit.

So ist zum Beispiel, wenn es in einem Unternehmen brennt, nicht sofort erkennbar, dass dort eine Expertise in der Informationssicherheit gebraucht wird. Da gibt es sicherlich einige Sicherheitsthemen, die davon losgelöst sind. Dennoch haben Themen, die man früher als klassische Sicherheitsthemen bezeichnet hätte, heute eine direkte Verbindung zur Informationssicherheit. Das liegt daran, dass sich Organisationen mittlerweile immer mehr auf digitale Tools stützen und das führt zu einer Überschneidung der Sicherheitsthemen.

Dann gibt es beispielsweise in einigen Organisationen noch den Business ISO (BISO), der im Vergleich zum CISO eine stärkere Perspektive der geschäftlichen Prozesse einnimmt und sich weniger um IT-Sicherheit kümmert. Die CISO Alliance möchte auch durch eine Abgrenzung Hilfestellung anbieten. Möglicherweise werden weitere Berufsbilder erstellt.

Wichtig ist, dass sich die verschiedenen Rolleninhaber innerhalb einer Organisation vernetzen, Gemeinsamkeiten und Unterschiede herausarbeiten, sowie die Zusammenarbeit definieren.

Gilt Ihre CISO-Rollenbeschreibung nur für Deutschland oder auch in anderen Ländern?

Kleinfeld: Den Fokus haben wir natürlich auf Deutschland gelegt. Die CISO Alliance ist aktuell eine deutsche Organisation. So haben wir zum Beispiel auch Themen wie das TKG (Telekommunikationsgesetz), die es nur hierzulande gibt. Aber insgesamt glaube ich nicht, dass sich das Rollenbild im Vergleich zu anderen Ländern großartig unterscheidet, abgesehen von spezifischen gesetzlichen Anforderungen der jeweiligen Länder.

Viele CISOs klagen, dass sie sich nicht ernst genug genommen fühlen. Sollte die Position des CISO künftig deshalb direkt an die Geschäftsleitung mit angebunden werden?

Kleinfeld: Es sollte auf jeden Fall eine Art indirekte Berichtslinie geben. Wenn CISOs das Gefühl haben, nicht ernst genug genommen zu werden, wird das Problem natürlich nicht einfach dadurch gelöst, dass man den CISO an die Geschäftsleitung organisatorisch aufhängt. In diesem Fall hängt es ebenfalls davon ab, wie die Geschäftsleitung damit umgeht. Ich glaube es muss zur Organisation passen. Am Ende hat es etwas mit der Haltung zu tun. Das heißt, es kommt auf die Kultur und Reife im Unternehmen an. Sollte der CISO beispielsweise von einem niedrigen Niveau kommen, ist es vielleicht gar nicht so gut, wenn er direkt am Vorstand hängt. In manchen anderen Fällen kann das aber auch genau richtig sein.

Insgesamt liegen die Verantwortung und Haftung jedoch bei der Geschäftsführung. Das ist auch so in der EU-Richtlinie NIS2 vorgesehen. Da wird nicht festgelegt, dass der CISO für die Umsetzung der Anforderungen verantwortlich ist, sondern die Geschäftsleitung.

Wo sehen Sie die größten Herausforderungen für die CISOs in der Zukunft?

Kleinfeld: Die größten Herausforderungen für CISOs in der Zukunft sehe ich in folgenden Bereichen: Sichtbarkeit und Integration in die Geschäftsstrategie, risikobasierte Priorisierung und Vernetzung sowie Wissensaustausch. Informationssicherheit muss dauerhaft in die Geschäftsstrategie integriert werden, auch in Krisenzeiten, da Kriminelle Schwächen ausnutzen, die durch mangelnde Integration entstehen. Daher ist es entscheidend, dass CISOs eine zentrale Rolle in der strategischen Planung einnehmen.

Eine weitere Herausforderung ist die risikobasierte Priorisierung. CISOs stehen vor der ständigen Aufgabe, Maßnahmen nach ihrer Dringlichkeit zu priorisieren. Es geht darum, ein ausgewogenes Risikomanagement zu betreiben, bei dem dringende Sicherheitsmaßnahmen sofort umgesetzt werden, während weniger kritische Maßnahmen strategisch geplant werden.

Schließlich ist der Wissensaustausch und die Vernetzung zwischen Organisationen und deren CISOs von großer Bedeutung. Durch das Teilen von Erfahrungen und bewährten Lösungen können Herausforderungen effizienter und effektiver gemeistert werden. Persönliche und organisatorische Netzwerke bieten hier wertvolle Plattformen für den Wissensaustausch und die gemeinsame Problemlösung.

Diese drei Bereiche sind entscheidend, um die Informationssicherheit in einer sich ständig verändernden digitalen Landschaft zu gewährleisten.

Lesetipp: So pushen Sie Ihre CISO-Karriere