computerwoche.de

CISO

In Zeiten des datengetriebenen Business ist IT-Sicherheit ein zentrales Management-Thema und der Chief Information Security Officer (CISO) ist verantwortlich dafür, sie umzusetzen. Als Vermittler und Lenker der IT-Security-Strategie beeinflusst die Management-Funktion alle Unternehmensbereiche und Hierarchieebenen - was einzigartige Herausforderungen mit sich bringt.

News

Auf einen Blick

Das Wichtigste zum Thema CISO:

  • Der CISO schlägt die Brücke zwischen den traditionell separaten Disziplinen IT, Sicherheit und dem Business eines Unternehmens. Er erarbeitet die IT-Security-Strategie von den Geschäftszielen aus und sorgt so für das nötige Schutzniveau, ohne die Agilität moderner Geschäftsprozesse zu behindern.
  • In seiner täglichen Arbeit ist der CISO unter anderem verantwortlich für die Bereiche: Security Operations, Cyber-Risiken und -Intelligence, Schutz vor Datenverlust und Betrug, Sicherheits-Architektur, Identitäts- und Zugangsmanagement (IAM), Programm-Management, Forensik und Governance.
  • IT-Security betrifft das gesamte Unternehmen auf allen Ebenen, so dass der CISO einen ganzheitlichen Sicherheitsansatz verfolgen muss. Sowohl Technik und Organisation als auch Kultur und Lieferkette sind alles wichtige Faktoren, die es im Blick zu behalten gilt.
  • Auch das Reputationsmanagement und Kommunikationsmaßnahmen im Krisenfall liegen im Verantwortungsbereich des CISO.
  • Da der CISO sowohl in der IT als auch im Business beheimatet ist, benötigt er Kompetenzen in beiden Sphären.
  • Klare Stellenvoraussetzungen existieren nicht, jedoch sollte eine Fachausbildung im Bereich der (Wirtschafts-)Informatik, Verschlüsselung, Mathematik, Naturwissenschaften, Wirtschaftswissenschaften mit IT-Schwerpunkt oder Vergleichbares vorhanden sein.
  • Weiterhin ist fundierte Berufserfahrung in der IT-Security hilfreich. Dazu zählen unter anderem die Bereiche Threat Response, Analytics, Intelligence, Anti-Malware, Netzwerkadministration, IT-Forensik und sichere Programmierung.
  • Ein CISO muss grundsätzlich in der Lage sein, mit seinem Team ein Informationssicherheits-Managementsystem (ISMS) aufzubauen und die Fachkompetenz seiner Mitarbeiter in den Themenfeldern Kommunikationssicherheit, IT-Sicherheit, Netzwerksicherheit sowie des Datenschutzes und der Datensicherheit sicherzustellen.
  • Um eine Informationssicherheitskultur im Unternehmen zu prägen, ist eine unternehmerische Denkweise und Kommunikationsstärke wichtig in dieser Rolle.
  • Ein CISO muss im Stande sein, Vorständen die Zusammenhänge, Gefahren und Abwehrstrategien plausibel und mit Business-Fokus zu erläutern.
  • In seiner Management-Funktion sollte der CISO das Unternehmen nach außen repräsentieren können. Im Krisenfall ist es seine Aufgabe, der Öffentlichkeit zu erläutern, was geschehen ist und was das Unternehmen gegen die Angriffe unternimmt.
  • Advanced Threats - die Angriffsvektoren auf das eigene Unternehmen orientieren sich an den generellen Technologie-Trends im Markt. IoT, Cloud Computing und KI treiben den digitalen Transformationsprozess voran, bieten den Aggressoren aber ebenso hochentwickelte Waffen. Angreifer haben alle Zeit der Welt, ihre Attacken zu planen, während die Verteidiger augenblicklich reagieren müssen, um kritische Schäden zu vermeiden.
  • Risikobewertung - für die richtige Balance zwischen Schutz und Performance der IT gilt es, akkurate Risikoanalysen als Basis für die Sicherheitsstrategie durchzuführen. Da sich die Bedrohungslage jedoch ständig ändert, ist dies eine besonders herausfordernde Aufgabe.
  • Schwachstelle Lieferkette - neben dem eigenen Unternehmen gilt es, auch die Supply Chain an das notwendige Sicherheitsniveau anzupassen. In globalisierten Märkten und angesichts des Trends zu Managed Services kann dies zu einer hochkomplexen und aufwändigen Aufgabe werden.
  • Social Engineering - Social Engineering ist die häufigste Angriffsmethode auf Unternehmen, da es mittlerweile für Hacker einfacher ist, Mitarbeiter zu manipulieren, als die technischen Schutzmechanismen eines Unternehmens zu überwinden. Wie lässt sich das durch fahrlässig, versehentlich oder vorsätzlich handelnde Innentäter entstehende Risiko eindämmen, ohne die Persönlichkeitsrechte der Mitarbeiter zu verletzen?
  • Compliance - spätestens seit Inkrafttreten der DSGVO ist Compliance ein Führungsthema. Es ist Aufgabe des CISOs, alle geltenden Richtlinien und Vorgaben in Prozessen abzubilden und zu überwachen sowie entsprechende Rollen (beispielsweise einen Datenschutzbeautragten) zu besetzen.