Security ist geschäftsrelevant: Diese Verantwortung tragen CISOs

Foto: pathdoc – shutterstock.com

Fast jedes zweite Unternehmen in Deutschland ist bereits mindestens einmal Opfer einer Cyber-Attacke geworden. Das zeigt eine Umfrage, die im vergangenen Jahr weltweit durchgeführt wurde. Und nicht nur die Anzahl, auch die Professionalität der Angriffe steigt – und damit auch die Anforderungen an die Datensicherheit. Für die deutsche Wirtschaft heißt das: die Bedeutung des Chief Information Security Officers muss neu bewertet werden. Denn aktuell spiegeln Hierarchie und Budgets des noch relativ jungen Berufsbilds die Verantwortung noch nicht wider. Mit der zunehmenden Digitalisierung wird sich dies ändern.

Lesetipp: Die Top CISOs in Deutschland

Notwendig: Frustrationstoleranz und Resilienz

Umfassende Kenntnisse der aktuellen Technologien sind die Grundlage für die Arbeit des CISOs. Bei einer Stellenbesetzung spielen entsprechend spezialisierte Ausbildungen und Zertifizierungen eine wesentliche Rolle. Die Aufgaben variieren jedoch in der Praxis je nach Bedürfnis und Größe des Unternehmens, die diese Position ausschreibt und besetzt. Was muss ein CISO also können, um neue Technologien sinnvoll und effizient einzusetzen sowie das Unternehmen kontinuierlich sicher zu halten?

Die von einem CISO zu bewertenden Risiken zeichnen sich durch eine hohe Unsicherheit bezüglich Eintrittswahrscheinlichkeit und Schadenshöhe aus. Wirtschaftsnobelpreisträger Daniel Kahneman kam zu dem Schluss, dass intuitives Denken speziell im Umgang mit Wahrscheinlichkeiten häufig zu verzerrten Urteilen führt. Da Intuition auf Erfahrung beruht, kann sie nur dann verlässlich funktionieren, wenn vergangene Ereignisse einen prädiktiven Wert für zukünftige Ereignisse haben. Letztendlich kommt es damit auch bei einem CISO auf eine langjährige und umfassende Erfahrung an. Für das Unternehmen ist die realistische Einschätzung der jeweiligen Bedrohungslage und des realen Risikos, sowie Kenntnis von Vorgehensweisen und Eco-Systemen der Angreifer entscheidend. Nur so ist ein professionelles Risiko-Management im Kontext der Unternehmenssituation überhaupt möglich. Darauf basierend folgt eine Entwicklung einer nachhaltigen Cybersecurity-Strategie und Definition der Umsetzung, beispielsweise mit Roadmaps und Programmen. Die Überprüfung und Sicherstellung der vollständigen Anwendung der für die Branche oder für das Unternehmen gültigen Regelwerke, sowie die damit zwingend notwendigen Zertifizierungen sind ebenso wichtig wie der Abgleich der aktuellen Security-Architektur mit dem Soll-Zustand. Entscheidende Persönlichkeitsmerkmale eines CISO sind ein besonders hoher Grad an Frustrationstoleranz und Resilienz.

Außerdem spielen Netzwerke und Verbindungen zunehmend eine Rolle. Insbesondere in Großunternehmen können erfolgreiche CISOs auf langjährig etablierte und substanzielle Netzwerke im Umfeld von Behörden zugreifen, da aktuelle Gesetzgebungen konkrete Auswirkungen auf das eigene Unternehmen mit sich bringen. Zudem helfen Verbindungen zu Universitäten mit Einblicken in die neusten Forschungsergebnisse oder auch bei der Rekrutierung von Fachkräften und Nachwuchs. Kontakte zu anderen Partnern wie Vendoren oder Startups, die neue Technologien und Innovationen vorantreiben, sind ebenfalls bedeutende Wettbewerbsvorteile für das eigene Unternehmen.

Lesetipp: 11 Fakten über den Job eines CISO

Hierarchische Strukturen vs. zukunftsorientierte Konzepte

Häufig wird Information Security durch die Organisation gedanklich noch immer im “Elfenbeinturm” verortet, als reaktiv wahrgenommen und eine mangelnde Umsetzungsstärke angemahnt. Es ist daher eine enge und verständnisvolle Zusammenarbeit mit dem operativen Geschäft erforderlich – auch um die Thematik individuell für einzelne Segmente, Fachbereiche oder Regionen zu adressieren sowie Akzeptanz für möglicherweise einschränkende Regelungen zu erreichen. Transparente und lösungsorientierte Kommunikation anstatt “Warnung und Mahnung” ist dabei ein wesentlicher Erfolgsfaktor. Obwohl die Sinnhaftigkeit und die Effektivität von Awareness-Kampagnen gerne kritisiert wird, erreichen CISOs dadurch häufig ein höheres Maß an messbarer Nachhaltigkeit. Ein kontinuierliches Technologie- und Innovationsmanagement macht möglicherweise schon beim nächsten potenziellen Angriff den Unterschied – und es zieht gleichzeitig Nachwuchstalente an, die sich wesentlich motivierter mit der sinnvollen Anwendung neuer Technologien beschäftigen als bei der Bewahrung eines veralteten Status Quo mitzuwirken.

Lesetipp: 4 Wege, Sicherheitsprofis zu rekrutieren

Wo steht der CISO in deutschen Unternehmen?

An der zunehmenden Bedeutung der Rolle eines CISOs besteht kein Zweifel. Doch wie sieht es mit der aktuellen Verortung in deutschen Unternehmen aus? Noch vor etwas mehr als fünf Jahren waren 74 Prozent des C-Levels der Meinung, dass ein CISO keinen Platz im Vorstand verdient hätte. Fakt ist: die organisatorische Einordnung des CISOs in Deutschland ist weiterhin sehr unterschiedlich. Vom noch seltenen Vorstandsniveau, über teilweise komplexe Governance-Strukturen unterhalb der Compliance-Funktion existieren diverse Ansätze bis hin zum Dasein innerhalb einer operativen IT-Domäne. Für jede Variante gibt es Vor- und Nachteile. Schwarz-weiß-Denken führt nicht zum Erfolg. Zu groß ist die Abhängigkeit des jeweiligen Unternehmens, zum Beispiel von branchenspezifischer Regulatorik, dem Grad der Internationalisierung oder Technologisierung sowie der eigenen Führungs- und Managementkultur. Bei der Prüfung einer möglichen Karriereoption sollten Bewerbende unbedingt das eigene Risikobewusstsein mit der Struktur und dem Reifegrad des potenziellen Arbeitgebers abgleichen.

Darüber hinaus sind Entwicklungsmöglichkeiten außerhalb des Segments nur bedingt realistisch, zumal die Ausbildungen und der jahrelange Aufbau von Netzwerken einen hohen Marktwert besitzen und es umgekehrt vergleichsweise wenig Sinn macht, dieses nur für einen vorübergehenden Ausflug in den Bereich aufzubauen. Der notwendige hohe Spezialisierungsgrad erfordert ein intrinsisches Interesse, welches sich auch nicht wahllos auf andere Funktionsbereiche übertragen lässt. Daher ist die Entwicklung in Richtung der Rolle des Chief Security Officer (CSO) und somit der Verantwortung für die Informations- und physikalische Sicherheit am naheliegendsten. Aber auch der Karriereschritt in Richtung Technologieanbieter, Beratung oder in die Selbständigkeit wird zunehmend beobachtet.

Lesetipp: CISOs gewinnen massiv an Bedeutung

Herausforderung: Cloud-Lösungen und hybride Geschäftsprozesse

Dem aktuellen Trend folgend haben viele Unternehmen Teile ihrer IT-Landschaft und Daten an globale Cloud-Partner ausgelagert. Der CISO trägt damit die schwierige Verantwortung auf Basis dieser hybriden und sich ständig verändernden Situationen ein holistisches Gesamtkonzept zu etablieren, welches dem Unternehmen den größtmöglichen Schutz liefert. Folglich besetzt der CISO in den meisten, auch dezentral organisierten Unternehmen, eine zentrale Funktion. Dies macht es nicht unbedingt leichter, denn er muss sich häufig seine erforderlichen Budgets von vielen weiteren Instanzen im Unternehmen genehmigen lassen. Von diversen Interessenkonflikten in Bezug auf die Kontrollfunktion ganz zu schweigen.

Das Beispiel Zero Trust verdeutlicht das Dilemma. Zero-Trust Sicherheitsmodelle beschreiben einen Ansatz für das Design und die Implementierung von IT-Systemen in einem “Cloud First”-Umfeld. Aktuell in aller Munde – gleichzeitig eine für den Laien kaum vorstellbare Herausforderung für die Sicherheitsarchitektur. Die wenigsten Unternehmen sind bereits in der Lage, dieses neue Paradigma für Cybersecurity in einer hybriden, Cloud-dominierten Welt umzusetzen. Zero Trust ist ein exzellentes Beispiel dafür, dass der CISO neueste Technologien berücksichtigen muss, die einerseits und berechtigterweise einen besseren Schutz der Daten versprechen, andererseits in ihrer Implementierung sehr komplexe Fragestellungen hinsichtlich Organisation, Prozess und auch Investments aufwerfen – was Business Owner, Mitbestimmung und auch Shareholder auf den Plan rufen kann. Der CISO jongliert zwischen Nutzbarkeit, Wertbeitrag und Kostendruck, und ist in vielen Fällen in Bezug auf den erforderlichen Durchgriff machtlos – zumindest theoretisch. CISOs mit den richtigen Kommunikationsfähigkeiten, Überzeugungskraft und Businessorientierung können entscheidend zum Wettbewerbsvorteil beitragen.

Lesetipp: Die 7 besten Gründe, ein CISO zu sein

CISOs gewinnen an Bedeutung

Mit jeder weiteren Cyber-Attacke erhöht sich in den Unternehmen der Druck, aber auch die Bereitschaft zu investieren sowie notwendige Strategien und Strukturen zu schaffen. Die Verantwortung anzunehmen und erfolgreiche Konzepte zu implementieren, wird sich für CISOs in zunehmender Visibilität, Stellenwert und attraktiven Gehältern widerspiegeln. Der CISO befindet sich damit im Jahr 2023 in seinem Unternehmen in einer imminent wichtigen Rolle. Inwiefern die enorme Verantwortung zu nachhaltiger Informationssicherheit führt, hängt eben nicht nur vom intelligenten Einsatz neuer Technologien, sondern auch von der sozialen und kommunikativen Kompetenz des CISOs ab. (ms)

Jetzt kostenlos für den CSO-Newsletter anmelden