Das muss ein Chief Information Security Officer drauf haben

Das muss ein Chief Information Security Officer drauf haben

Der Chief Information Security Officer (CISO) ist verantwortlich für die Informations- und Datensicherheit im gesamten Unternehmen. Gegenüber Rollen wie dem Chief Security Officer (CSO) oder dem Ressortleiter für Sicherheit ist das Aufgabenfeld größer.

 

Im Zuge der Digitalisierung durchdringt Software das gesamte Unternehmen, was die IT-Angriffsfläche signifikant vergrößert. Deshalb gewinnt die Rolle des CISO an Bedeutung. Es lohnt sich also, die spezifischen Verantwortlichkeiten, Pflichten und Voraussetzungen dieser Management-Funktion näher zu betrachten.

CISO – eine Definition

Der CISO schlägt die Brücke zwischen den traditionell separaten Disziplinen IT, Sicherheit und dem Business eines Unternehmens. Er erarbeitet die IT-Security-Strategie von den Geschäftszielen aus und sorgt so für das nötige Schutzniveau, ohne die Agilität moderner Geschäftsprozesse zu behindern.

In seiner täglichen Arbeit ist der CISO unter anderem verantwortlich für die Bereiche: Security Operations, Cyber-Risiken und -Intelligence, Schutz vor Datenverlust und Betrug, Sicherheits-Architektur, Identitäts- und Zugangsmanagement (IAM), Programm-Management, Forensik und Governance. Im Rahmen eines Information Security Management Systems (ISMS) auditiert der CISO zudem die Sicherheit der IT und berichtet über die Ergebnisse an die Geschäftsführung.

IT-Security betrifft das gesamte Unternehmen auf allen Ebenen, so dass der CISO einen ganzheitlichen Sicherheitsansatz verfolgen muss. Sowohl Technik und Organisation als auch Kultur und Lieferkette sind wichtige Faktoren, die es im Blick zu behalten gilt. Auch das Reputationsmanagement und Kommunikationsmaßnahmen im Krisenfall liegen im Verantwortungsbereich des IT-Sicherheitschefs.

Der CISO ist meist nicht dem Chief Information Officer (CIO) unterstellt, sondern direkt dem Chief Executive Officer (CEO) oder der Geschäftsführung, da IT-Security nur eine Untermenge seiner Aufgaben darstellt. Er kümmert sich auch um die Sicherung und das Risikomanagement aller anderen (nicht digitalen) Informationswerte eines Unternehmens wie etwa Papierakten.

Verantwortlichkeiten eines CISO

Die Aufgaben eines CISO sind so unterschiedlich, wie das Unternehmen, für das er arbeitet. Stephen Katz gab in einem Interview einen guten Überblick zu den grundlegenden Aspekten der täglichen Arbeit. Katz gilt als Wegbereiter der CISO-Rolle, die er in den 90-er Jahren bei der Citigroup definierte und bekleidete. Er schlüsselt sie wie folgt auf:

Security Operations

Unmittelbare Bedrohungen in Echtzeit analysieren und im Ernstfall sofortige Gegenmaßnahmen koordinieren.

Cyber-Risiko und Intelligence

Stets informiert bleiben über aufkommende Sicherheitsbedrohungen. Den Vorstand dabei unterstützen, mögliche Sicherheitsrisiken aufgrund von Akquisitionen oder anderen Geschäftsentscheidungen zu verstehen.

Vorbeugung von Datenverlust und Betrug

Sicherstellen, dass Mitarbeiter keine Daten versehentlich, fahrlässig oder vorsätzlich missbrauchen oder stehlen.

Security-Architektur

Security-Hard- und Software planen, einkaufen und in Betrieb nehmen. Sicherstellen, dass IT und Netzwerk anhand der geeignetsten Security Best Practices modelliert sind.

Identitäts- und Zugriffsmanagement (IAM)

Sicherstellen, dass nur berechtigtes Personal Zugriff auf sensible, geschützte Daten und Systeme hat.

Programm-Management

Aufkommende Sicherheitsanforderungen erfüllen, indem Programme und Projekte eingeführt werden, die Risiken beseitigen. Darunter fallen beispielsweise regelmäßige System-Patches.

Fehlersuche und Forensik

Herausfinden, was bei einem Datenleck schiefgelaufen ist, die Verantwortlichen zur Rechenschaft ziehen, wenn sie aus dem eigenen Unternehmen stammen, und Pläne entwickeln, um ähnliche Krisen in Zukunft zu verhindern.

Governance

Sicherstellen, dass alle zuvor genannten Initiativen fehlerlos laufen, ausreichend finanziert sind und die Unternehmensführung versteht, wie wichtig sie sind.

Anforderungen an einen CISO

Die Position eines CISO setzt eine solide technische Ausbildung voraus. Laut dem Informationsportal für IT-Security-Studenten Cyberdegrees.org benötigt ein CISO mindestens einen Bachelor-Abschluss in Computerwissenschaften oder einem verwandten Feld. Vermehrt legen Unterhemen aber auch auf einen Master-Abschluss mit Security-Fokus Wert. Zudem werden sieben bis 12 Jahre Berufserfahrung vorausgesetzt, mindestens fünf davon in einer Management-Position.

Des Weiteren sollte ein CISO eine Reihe von technischen Skills mitbringen. Grundlegende Kenntnisse in Programmierung und Systemadministration braucht jeder hochrangige Manager im Technikbereich. Darüber hinaus ist aber auch Wissen über Sicherheitstechnologie wichtig, wie beispielsweise DNS, Routing, Authentifikation, VPN, Proxy-Dienste und DDoS-Abwehr, Programmierverfahren, ethisches Hacking und Bedrohungsmodellierung und -analyse, Firewalls sowie Intrusion-Detection-and-Prevention-Protokolle.

Auch der Faktor Mensch rückt zunehmend in den Fokus des CISOs. Mit ausgefeiltem Phishing, E-Mail-Betrug oder Social Engineering umgehen Angreifer die technischen Schutzmaßnahmen von Unternehmen. Damit wird die Sensibilisierung und Schulung der Mitarbeiter durch Security-Awareness-Maßnahmen zu einer zentralen Aufgabe der Sicherheitsverantwortlichen.

Zusätzlich muss der CISO auch Know-how im Compliance-Bereich besitzen, um dabei zu unterstützen, regulatorische Vorgaben einzuhalten. Darunter fallen beispielsweise je nach Branche und Kerngeschäft die DSGVO, der IT-Grundschutz, KRITIS- oder PCI-Vorgaben. Bei international agierenden Unternehmen gilt es, noch weitere Standards wie HIPAA, NIST, GLBA oder SOX zu beachten.

Da CISOs Management-Aufgaben erledigen und im Idealfall einen engen Kontakt zu den Vorständen pflegen, reicht technisches Wissen allein nicht aus, um sich für diese Position zu qualifizieren. Larry Ponemon, Gründer des gleichnamigen Forschungsinstituts, fasste gegenüber der „SecureWorld“ zusammen: „Die erfolgreichsten CISOs haben gute technische Grundlagen gepaart mit einem Business-Hintergrund.“ Sie besäßen etwa einen MBA-Abschluss und könnten mit anderen C-Level-Managern oder dem Vorstand auf Augenhöhe kommunizieren.

Laut Paul Wallenberg, Manager bei der Personalvermittlung LaSalle Network, orientieren sich die geforderten nicht-technischen Skills stark am jeweiligen Unternehmen. „International agierende Betriebe suchen meist Kandidaten mit einem ganzheitlichen, funktionalen Security-Hintergrund.“ Sie bewerten die Führungsqualitäten anhand des Lebenslaufs und vergangener Leistungen. Auf der anderen Seite suchten Unternehmen mit einem Web- oder Produktfokus CISOs mit speziellen Skillsets im Bereich Anwendungs- und Web-Security.