Braucht Ihr Unternehmen einen Chief Information Security Officer?

Das Thema Cyber Security ist in aller Munde: Kaum ein Tag vergeht, ohne dass Unternehmen auf der ganzen Welt Hackerangriffe melden oder abwehren müssen. Denn das neue Zeitalter der Digitalisierung, Industrie 4.0 und Big Data birgt neben Chancen auch Risiken – und so muss Informationssicherheit zum strategischen Ziel erklärt werden.

Um den Gefahren der digitalen Welt nicht hilflos ausgeliefert zu sein, fahren viele Unternehmen eine neue Strategie: Sie stellen einen Chief Information Security Officer, abgekürzt CISO, ein.

Dabei handelt es sich um einen Experten für IT-Sicherheit, der auch ein Teil der Geschäftsführung werden kann und in der Position direkt dem Chief Executive Officer (CEO) berichtet. Allein die Einbindung dieses Berufs in die operierende Geschäftsebene deutet darauf hin, welchen Stellenwert Cyber Security in Unternehmen erreicht hat – und es ist abzusehen, dass dieser Bereich noch mehr an Bedeutung gewinnen wird.

IT-Sicherheit als strategisches Ziel

Den digitalen Risiken sind dabei alle Branchen ausgesetzt – von Finanzdienstleistern über Energieversorger bis hin zu Mittelständlern. Schließlich haben alle sensible Daten, die sie schützen müssen, seien es Kundeninformationen oder neueste Forschungsergebnisse. Zudem müssen auch Hackerangriffe auf Produktionssysteme sowie Betriebsabläufe abgewendet werden, damit ein Unternehmen problemlos seinen Alltag meistern kann.

Genau hier setzt ein CISO an – er ist dafür verantwortlich, das gesamte Unternehmen zu schützen und Maßnahmen zu ergreifen, die die IT-Sicherheit gewährleisten. Mit seinem Team erarbeitet und realisiert er konkrete Handlungsschritte; dabei müssen alle Unternehmensbereiche im Auge behalten werden, von der Technik bis zur Lieferkette.

Grundsätzlich sollte der CISO als die wichtigste Maßnahme des Risikomanagements gesehen werden: Ein Unternehmen sollte diesen Posten besetzen bevor Sicherheitslücken entstehen und Datendiebstähle passieren können. Mit Hilfe eines CISOs wird im Vorfeld daran gearbeitet, längere Systemausfälle zu verhindern und Daten hinreichend zu schützen.

Die Aufgaben eines CISO

Angesichts des breiten Spektrums der Angriffsmöglichkeiten ist ein CISO vielseitig beschäftigt:

  • bestehende Risikofaktoren müssen identifiziert und neutralisiert werden
  • die Kernaufgabe besteht darin, ein IT-sicherheitssystem aufzubauen und stetig an die aufkommenden Herausforderungen anzupassen
  • ein CISO muss auch einen starken Fokus auf die menschliche Komponente haben: Eine seiner Hauptaufgaben besteht darin, alle Mitarbeiter des Unternehmens für Gefahren zu sensibilisieren und sie regelmäßig zu schulen, um ihr Sicherheitsbewusstsein zu stärken (Security Awareness)
  • da nicht alle Mitglieder der Führungsebene und Mitarbeiter ähnliche IT-Kompetenzen besitzen, muss ein CISO imstande sein, technische Zusammenhänge und Abwehrstrategien kompetent und plausibel zu erklären
  • ein CISO muss zudem in das Risikomanagement eingebunden werden - nur so ist er in der Lage, Gefahren abzuschätzen und Handlungsempfehlungen auszusprechen
  • sollte er auch ein Mitglied des Führungsstabs sein, muss er das Unternehmen nach außen repräsentieren. Je nach Größe und Branchenrelevanz könnte er in Kontakt mit Öffentlichkeitsarbeit kommen - er sollte daher darauf eingestellt sein, mit der Presse zu reden oder öffentlich Stellung zu bestimmten Sachverhalten zu nehmen.

Zusammenfassend lässt sich sagen, dass sich die Aufgaben eines CISO auf viele Aufgabenbereiche verteilen. Neben dem Schutz des Unternehmens vor Cyber-Bedrohungen und der Reduzierung von Schwachstellen muss er über entsprechende Soft Skills verfügen, um Mitarbeiter schulen zu können und ein Sicherheitsbewusstsein im Unternehmen aufzubauen.

Benötigt Ihr Unternehmen einen CISO?

Vielen Unternehmen ist die breite Front, an der ihnen Schaden zugefügt werden kann, gar nicht bewusst. Einige schützen ihre Systeme vor Angriffen von außen – nur um dann machtlos zusehen zu müssen, wenn ein Mitarbeiter unbedacht einen virenverseuchten E-Mail-Anhang öffnet. Sie sind von der Komplexität der miteinander verbundenen technischen, physischen und personellen Komponenten überfordert.

In so einem Fall lohnt es sich, jemanden einzustellen, der diese Zusammenhänge erkennen und daran arbeiten kann, Ihr Unternehmen von allen Seiten vor Sicherheitsrisiken zu schützen.

Hier sind 5 Merkmale, an denen Sie erkennen können, ob es in Ihrem Unternehmen Zeit für einen CISO ist:

  • Sollte Cybersecurity Ihrer Meinung nach einen ganz neuen Stellenwert bekommen? Sind Sie bereit, dieses Thema mit anderen Führungskräften zu diskutieren? Dann wird es Zeit für einen CISO - der auch eine direkte Stimme gegenüber dem CTO, dem CIO, dem CEO und möglicherweise sogar dem Vorstand hat.
  • Wenn Ihr Unternehmen nicht mehr die Risikobereitschaft hat, nur durch reale Hackerangriffe reagieren zu lernen und Präventivmaßnahmen immer wichtiger werden, ist es eindeutig angebracht, dass ein erfahrener Sicherheitsbeauftragter Ihrem Team beitritt.
  • CISOs berichten häufig an einen anderen CxO und nicht immer direkt an den CEO. Während die Berichtsstruktur für ihren Erfolg politisch und kulturell wichtig ist, muss ein CISO die Sicherheitsbedürfnisse, -ziele und -visionen für die Organisation unabhängig darstellen und darf nicht zu tief in eine operative Kapazität vergraben sein.
  • Ein CISO wird zweifellos das Verhalten der Organisation neu erfinden. Wenn Sie nicht möchten, dass Ihr neuer CISO aus Sicherheitsgründen echte organisatorische Änderungen empfiehlt und umsetzt, warten Sie, bis Ihr Unternehmen bereit ist, Worte in die Tat umzusetzen, bevor Sie Ihrem Führungsteam einen CISO hinzufügen.
  • Sehen Sie Sicherheit ausschließlich als ein operatives, toolbasiertes Fachgebiet? Denken Sie, Ihr CISO sollte die Firewall-Regeln überprüfen oder den Code auf Schwachstellen untersuchen? Wenn ja, bleibt ein echter CISO wahrscheinlich Zukunftsmusik.

Grundsätzlich lässt sich sagen: Sobald ein Unternehmen eine bestimmte Größe erreicht hat, möglicherweise mehrere Hundert bis Tausend Mitarbeiter, wird der Bedarf nach der Bündelung der IT-Sicherheitskompetenzen zu groß. Ohne die Position eines CISO wird es schwer bis unmöglich, die Übersicht zu behalten und die Sicherheitsrisiken niedrig zu halten.

Mit einem CISO gibt es zudem einen Hauptverantwortlichen, der auch in die Geschäftsebene miteinbezogen werden kann und wertvolle Arbeit beim Risikomanagement leisten kann.

Fazit

Die Führung jedes Unternehmens sollte sich darum bemühen, ein vertrauenswürdiges und verlässliches IT-Sicherheitsteam aufzubauen. Angeführt von einem kompetenten CISO kann es sich gut gegen die Gefahren der Digitalisierung wappnen. Eine Garantie, dass jeder Hackerangriff abgewehrt werden kann, gibt es natürlich nicht – aber Sicherheitsrisiken können so erheblich reduziert werden.

Legt ein Unternehmen Wert auf eine eigene Cyber Security-Abteilung kommuniziert es automatisch nach außen und auch nach innen an die eigenen Mitarbeiter: Wir nehmen Datensicherheit und Datenschutz sehr ernst. Das schafft Vertrauen – nicht zuletzt bei den eigenen Kunden.

Für kleine Unternehmen macht die Einstellung eines CISO zunächst wenig Sinn. Hier wäre stattdessen ein Security Director oder generell ein Mitarbeiter mit Cyber Security-Background interessant. Nichtsdestotrotz müssen auch sie sich ernsthafte Gedanken um die eigene IT-Sicherheit machen und verstärkt Mitarbeiter einstellen, die in diesem Bereich hohe Kompetenzen haben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

de_DEDeutsch
en_USEnglish de_DEDeutsch