Die Rolle des CISO

Kocher: Auch wenn die CISOs schon ein „C“ in der Bezeichnung haben, sind sie vielerorts noch nicht auf der CxO-Ebene angesiedelt. Das müsste sich meiner Meinung nach ändern. Jemand, der sich grundsätzlich mit dem Risk-Management auseinandersetzt, das kann auch ein CSO oder CRO sein, sollte deshalb in der Geschäftsleitung einen Sitz haben. Denn die weiteren Mitglieder der Führungsetage haben tendenziell andere Interessen.

Nehmen wir etwa den CFO. Er sieht in der IT meist einen reinen Kostenfaktor und in der IT-Security erst recht. Wenn dann die unterschiedlichen Interessen nicht auf Augenhöhe austariert werden können, weil der CISO etwa auf einer tieferen Hierarchieebene angesiedelt ist, kann sich dies negativ auf die Risikobeurteilung auswirken.

Kocher: Grundsätzlich sollten CIO und CISO zusammenarbeiten und an einem Strang ziehen. Allerdings gibt es auch Interessenkonflikte zwischen den beiden. Um ein etwas plakatives Bild zu verwenden, ist der CIO für den IT-Betrieb zuständig. Das heißt, er ist daran interessiert, dass die Lämpchen auf dem IT-Management-Monitor alle grün leuchten und falls sie doch einmal rot werden sollten, schnell wieder auf Grün wechseln. Der CISO dagegen ist in der Verantwortung, dass die Lämpchen lange grün bleiben und nicht lange rot werden. Konflikte sind hier schon mal möglich.

Wenn ich dies auf die Anwenderebene herunterbreche, ist es sogar so, dass die IT oft der „Enabler“ ist, während die IT-Security eher hinderlich sein kann. Denken Sie nur an die Absicherung der Systeme durch Passwörter und weitere Faktoren. Will man hier als CISO einen optimalen Schutz implementieren, wird das für den Anwender unweigerlich komplex und „verhindert“ damit das Arbeiten.

Auf der anderen Seite hängt der Arbeitsplatz auch von der IT-Security ab. Denn wenn ein Unternehmen wegen eines größeren Vorfalls große Umsatzeinbußen erleidet, dann ist dieses gefährdet. Ziel der IT-Security muss es daher sein, möglichst diskret zu schützen, ohne den Anwender zu sehr in Mitleidenschaft zu ziehen.

Kocher: Das sind in der Regel eher die größeren Firmen, die sich im Allgemeinen der Risiken einer mangelnden IT-Security bewusst sind. In klassischen KMUs fehlt diese Po­sition noch. Typischerweise ist da der IT-Leiter auch für die Security zuständig. Tendenziell wird die IT dort auch noch als reines Arbeitswerkzeug wahrgenommen, über dessen Schutz man sich noch wenig Gedanken macht. Allerdings steigt auch hier das Bewusstsein für die IT-Security.

Kocher: Im Grunde genommen das Skill Set eines Projektleiters. Er ist der Kommunikator und sollte über Management­fähigkeiten verfügen. Denn in der Regel hat er ein Team aus technisch versierten IT-Security-Fachleuten, mit dem er Projekte umsetzt. Der CISO braucht also beides, ein bestimmtes tech­nisches Know-how auf der einen Seite. Auf der anderen Seite muss er mit seinem Team und mit der Geschäftsleitung sowie dem Verwaltungsrat stufengerecht kommunizieren können. Dem CISO kommt somit eine klassische Mittlerrolle zu: Er muss „unten“ die Technik verstehen und die Gefahrenlage nach „oben“ verständlich erklären sowie für das Management richtig verpacken können.

Kocher: Durchaus. Denn viele mittelgroße Unternehmen benötigen nicht ständig einen CISO. Deshalb gibt es bereits Firmen, die sich mit anderen einen CISO teilen. Wir stellen beispielsweise solche Leute zur Verfügung, natürlich unter strengsten Non-disclosure Agreements (NDAs). Schließlich darf man hier das Vertrauen der Kunden in keiner Weise gefährden.

com! professional: Ab welcher Größe raten Sie einer Firma, einen CISO zu engagieren, sei es fest oder leihweise?

Kocher: Eigentlich braucht jede Firma, egal wie groß, ab und zu die Sichtweise des CISOs auf die eigene IT-Infrastruktur. Das kann bei kleinen Unternehmen bedeuten, dass sich ein CISO einmal im Jahr die Prozesse und die Sicherheitsmaßnahmen anschaut oder dass er bei der Einführung neuer IT-Produkte und -Abläufe hinzugezogen wird, um sich die mal mit der IT-Security-Brille anzuschauen und zu überprüfen. Schließlich hat jede Firma, wenn sie gehackt wird, Geld zu verlieren.