Bereits Kunde? Jetzt einloggen.
Lesezeit ca. 5 Min.

Die wichtigsten Aufgaben eines Chief Information Security Officer


Computerwoche - epaper ⋅ Ausgabe 24/2019 vom 03.06.2019

Im Zuge der Digitalisierung durchdringt Software das gesamte Unternehmen, was die IT-Angriffsfläche signifikant vergrößert. Deshalb gewinnt die Rolle des CISO an Bedeutung. Es lohnt sich, die spezifischen Verantwortlichkeiten, Pflichten und Voraussetzungen dieser Management-Funktion näher zu betrachten.


Artikelbild für den Artikel "Die wichtigsten Aufgaben eines Chief Information Security Officer" aus der Ausgabe 24/2019 von Computerwoche. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: Computerwoche, Ausgabe 24/2019

Der Chief Information Security Officer (CISO) ist verantwortlich für die Informations- und Datensicherheit im gesamten Unternehmen. Gegenüber Rollen wie dem Chief Security Officer (CSO) oder dem Ressortleiter für Sicherheit ist das Aufgabenfeld größer. Der CISO schlägt die Brücke zwischen den traditionell ...

Weiterlesen
epaper-Einzelheft 10,99€
NEWS 14 Tage gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von Computerwoche. Alle Rechte vorbehalten.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 24/2019 von Softwarehersteller d.velop organisiert sich nach dem Wabenprinzip. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Softwarehersteller d.velop organisiert sich nach dem Wabenprinzip
Titelbild der Ausgabe 24/2019 von AMD, ARM und Intel – Chiphersteller präsentieren ihre neuen Prozessoren. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
AMD, ARM und Intel – Chiphersteller präsentieren ihre neuen Prozessoren
Titelbild der Ausgabe 24/2019 von BSI veröffentlicht einen Leitfaden für sichere Blockchain. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
BSI veröffentlicht einen Leitfaden für sichere Blockchain
Titelbild der Ausgabe 24/2019 von Zwei große Reedereien schließen sich IBMs Logistik-Blockchain TradeLens an. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Zwei große Reedereien schließen sich IBMs Logistik-Blockchain TradeLens an
Titelbild der Ausgabe 24/2019 von Huawei-Gründer Ren Zhengfei greift US-Präsident Donald Trump an. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Huawei-Gründer Ren Zhengfei greift US-Präsident Donald Trump an
Titelbild der Ausgabe 24/2019 von Bosch Connected World: Auf IoT folgt die „Economy of Things“. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Bosch Connected World: Auf IoT folgt die „Economy of Things“
Vorheriger Artikel
Jetzt bewerben für den CIO of the Year Europe!
aus dieser Ausgabe
Nächster Artikel Henkel macht Mitarbeiter fit für die digitale Zukunft
aus dieser Ausgabe

... separaten Disziplinen IT, Sicherheit und Business eines Unternehmens. Er erarbeitet die IT-Security-Strategie entsprechend den Geschäftszielen aus und sorgt so für das nötige Schutzniveau, ohne die Agilität moderner Geschäftsprozesse zu behindern.

In seiner täglichen Arbeit ist der CISO unter anderem verantwortlich für die Bereiche Security Operations, Cyber-Risiken und -Intelligence, Schutz vor Datenverlust und Betrug, Sicherheits-Architektur, Identitäts- und Zugangs-Management (IAM), Programm-Management, Forensik und Governance. Im Rahmen eines Information-Security-Management-Systems (ISMS) auditiert der CISO zudem die Sicherheit der IT und berichtet über die Ergebnisse an die Geschäftsführung.

Der CISO ist meist nicht dem CIO unterstellt

IT-Security betrifft das gesamte Unternehmen auf allen Ebenen, so dass der CISO einen ganzheitlichen Sicherheitsansatz verfolgen muss. Sowohl Technik und Organisation als auch Kultur und Lieferkette sind wichtige Faktoren, die es im Blick zu behalten gilt. Auch das Reputations-Management und Kommunikationsmaßnahmen im Krisenfall liegen im Verantwortungsbereich des IT-Sicherheitschefs.

Der CISO ist meist nicht dem Chief Information Officer (CIO) unterstellt, sondern direkt dem Chief Executive Officer (CEO) oder der Geschäftsführung, da ITSecurity nur eine Untermenge seiner Aufgaben darstellt. Er kümmert sich auch um die Sicherung und das RisikoManagement aller anderen, nicht digitalen Informationswerte eines Unternehmens wie etwa der Papierakten.

Die Aufgaben eines CISO sind so unterschiedlich wie das Unternehmen, für das er arbeitet. Stephen Katz gab in einem Interview einen guten Überblick zu den grundlegenden Aspekten der täglichen Arbeit. Katz gilt als Wegbereiter der CISORolle, die er in den 90er Jahren bei der Citigroup definierte und bekleidete. Die Position eines CISO setzt seiner Meinung nach eine solide technische Ausbildung voraus. Laut dem Informationsportal für IT-Security-Studenten Cyberdegrees.org benötigt ein CISO mindestens einen BachelorAbschluss in Computerwissenschaften oder einem verwandten Studium. Vermehrt legen Unternehmen aber auch auf einen MasterAbschluss mit SecurityFokus Wert. Zudem werden sieben bis zwölf Jahre Berufserfahrung vorausgesetzt, mindestens fünf davon in einer Management-Position.

CISO muss Compliance-Themen können

Des Weiteren sollte ein CISO eine Reihe von technischen Skills mitbringen. Grundkenntnisse in Programmierung und Systemadministration braucht jeder hochrangige Manager im Technikbereich. Darüber hinaus ist aber auch Wissen über Sicherheitstechnik wichtig, etwa zu DNS, Routing, Authentifikation, VPN, Proxy-Diensten und DDoSAbwehr. Auch über Programmierverfahren, ethisches Hacking, Bedrohungsmodellierung und analyse, Firewalls sowie Intrusion-Detection-and-Prevention-Protokolle sollt ein CISO Bescheid wissen.

Zusätzlich muss der CISO Knowhow im Compliance-Bereich besitzen, um die Einhaltung regulatorischer Vorgaben zu unterstützen. Darunter fallen beispielsweise je nach Branche und Kerngeschäft die DSGVO, der IT-Grundschutz, Kritisoder PCIVorgaben. Bei international agierenden Unternehmen gilt es weitere Standards wie HIPAA, NIST, GLBA oder SOX zu beachten.

Technisches Wissen reicht bei Weitem nicht

Da CISOs ManagementAufgaben erledigen und im Idealfall einen engen Kontakt zu den Vorständen pflegen, reicht technisches Wissen allein nicht aus, um sich für diese Position zu qualifizieren. Larry Ponemon, Gründer des gleichnamigen Forschungsinstituts, fasste gegenüber der „SecureWorld“ zusammen: „Die erfolgreichsten CISOs haben gute technische Grundlagen gepaart mit einem Business-Hintergrund.“ Sie besäßen etwa einen MBA-Abschluss und könnten mit anderen C-Level-Managern oder dem Vorstand auf Augenhöhe kommunizieren.

Laut Paul Wallenberg, Manager bei der Personalvermittlung LaSalle Network, orientieren sich die geforderten nichttechnischen Skills stark am jeweiligen Unternehmen. „International agierende Betriebe suchen meist Kandidaten mit einem ganzheitlichen, funktionalen Security-Hintergrund.“ Sie bewerten die Führungsqualitäten anhand des Lebenslaufs und vergangener Leistungen. Auf der anderen Seite suchten Unternehmen mit einem Web- oder Produktfokus CISOs mit speziellen Skillsets im Bereich Anwendungs- und Web-Security.

CISO versus CIO – Alternative CSO

Sicherheitsverantwortliche tendieren manchmal dazu, Systeme abzuschotten, um sie sicherer zu machen. Das kann zu Konflikten mit der IT-Abteilung führen, die dafür verantwortlich ist, Informationen und Anwendungen möglichst reibungslos zur Verfügung zu stellen.

Diese Auseinandersetzung wird wahrscheinlich zwischen dem CISO und dem CIO ausgefochten. Dabei spielt es eine Rolle, wie das Topmanagement des Unternehmens organisiert ist. Berichtet der CISO nicht direkt an den CEO, sondern ist dem CIO unterstellt, kann das zu Problemen führen. Strategische Security-Entscheidungen müssen sich dann unter Umständen der IT-Strategie des CIO unterordnen, was dem Sicherheitsniveau abträglich sein kann.

Ist der CISO direkt unter der Geschäftsführung oder dem Vorstand angesiedelt, erhält er mehr Durchsetzungsvermögen. Damit kann auch eine Titeländerung einhergehen. Laut der Global State of Information Survey 2018 von IDG wird ein CISO meist dem CIO unterstellt, während ein CSO eher auf derselben Hierarchieebene agiert. Zudem ist er dann auch für nicht-technische Sicherheitsthemen verantwortlich.

CIO und CISO auf Augenhöhe einzusetzen kann das Konfliktpotenzial senken und als Signal für das gesamte Unternehmen gelten, dass Sicherheit ernst genommen wird. Das bedeutet allerdings auch, dass der CISO technische Initiativen nicht blockierten sollte. So äußerte Ducati-CIO Piergiorgio Grossi auf der Plattform „I – Global Intelligence for the CIO“, statt einfach Nein zu sagen sei es Aufgabe des CISO, der IT zu helfen, robustere Produkte und Services bereitzustellen. Diese gemeinsame Verantwortung für wichtige Projekte kann für einen neuen CISO das entscheidende Erfolgselement sein.

Ist ein Unternehmen auf der Suche nach einem CISO, spielen viele der genannten Punkte in die Stellenbeschreibung hinein. „Firmen entscheiden zuerst, ob sie einen CISO anheuern wollen, dann holen sie Freigaben für die Hierarchiestufe, Berichtsstruktur und den offiziellen Titel der Position“, sagt Personalvermittler Wallenberg. In kleineren Betrieben könne auch ein Ressortleiter oder Security Director CISO werden. Abschließend gelte es, die minimalen Voraussetzungen und Qualifikationen für die Rolle zu formulieren und den internen oder externen Ausschreibungsprozess zu starten.

CISO-Position darf nicht unbesetzt bleiben

In der Stellenausschreibung selbst sollte das Engagement des Unternehmens für Sicherheit von Anfang an klar herausgestellt werden, um die Aufmerksamkeit hochqualifizierter Kandidaten zu bekommen. Dabei hilft es, genau zu beschreiben, wo der CISO in der Unternehmenshierarchie angesiedelt ist und wie viele Berührungspunkte mit der Geschäftsführung oder dem Vorstand geplant sind.

Auch wenn die Stelle besetzt ist, sollte die Stellenbeschreibung regelmäßig auf den neuesten Stand gebracht und bereitgehalten werden. Es ist nicht immer klar, wann der Mitarbeiter zu einer neuen Herausforderung wechselt, und der CISO ist eine kritische Position, die nicht unbesetzt bleiben sollte.

Zertifizierung zum CISO

Da es keinen vorgezeichneten Ausbildungsweg zum CISO gibt, existieren Zertifizierungen, die die nötige Fachkompetenz vermitteln sollen. Die Auswahl an Angeboten ist groß, allein Cyberdegrees.org listet sieben auf. Paul Wallenberg von der Personalvermittlung LaSalle Network hebt drei davon besonders hervor:

1. Certified Information Systems Security Professional (CISSP) für IT-Profis, die Security zu ihrem Fokus machen möchten.

2. Certified Information Security Manager (CISM) ist beliebt, wenn Sicherheitswissen vertieft werden soll. Es ebnet den Weg in eine Führungs- oder Programm-Management-Position.

3. Certified Ethical Hacker (CEH) ist für Security-Experten geeignet, um detaillierteres Know-how über komplexe Bedrohungen für die Unternehmenssicherheit zu erhalten.

In Deutschland bieten auch einige Verbände und Weiterbildungsunternehmen Zertifizierungen für den hiesigen Markt an. Hier einige Beispiele:

Der Bundesverband IT-Sicherheit Teletrust offeriert Schulungen zum Teletrust Information Security Professional (TISP).

Die Akademie des Branchenverbands Bitkom bietet einen Zertifikatslehrgang nach BSI IT-Grundschutz und ISO/IEC 27001/27002 an.

Beim TÜV Nord können Interessenten ein CISO-Seminar belegen, nach dessen erfolgreichem Abschluss die Teilnehmer ein TÜV-Nord-CERT-Zertifikat erhalten.

Der Consulting- und Trainingsdienstleister CBT bietet Kurse für den Erwerb des Zertifikats „CERT Chief Information Security Officer Professional CISO.PROF“ an.

CISO-Gehälter

Der CISO hat eine hochrangige Position inne und wird meist auch entsprechend bezahlt – allerdings variiert der Betrag stark. Gehaltsrechner wie Glassdoor taxieren CISO-Stellen in Deutschland auf durchschnittlich 90.000 Euro pro Jahr mit viel Luft nach oben und unten. Andererseits sprechen Personalvermittler auch von CISO-Einkommen, die die 200.000-Euro-Marke beim Jahresgehalt sprengen – sofern der Kandidat der richtige Experte für die spezielle Position ist.


Foto: LeoWolfert/Shutterstock