Ein CISO braucht mehr als nur Fachwissen

Ende 2014 hat der Hackerangriff auf Sony weltweit Schlagzeilen gemacht. Bis heute ist nicht geklärt, ob die Nordkoreaner, eine unabhängige Hackergruppe oder ein unzufriedener Mitarbeiter dafür verantwortlich waren.

Der Angriff geschah ungefähr zu dem Zeitpunkt, zu dem Sony mit John Scimone einen neuen CISO (Chief Information Security Officer) ernannte. Der Wechsel an der Spitze der Sicherheitsabteilung kam jedoch zu spät. Scimone konnte den Datendiebstahl nicht mehr verhindern, bei dem unter anderem zahlreiche peinliche Details aus dem Privatleben amerikanischer Filmstars veröffentlicht wurden.

Was macht einen CISO so wichtig und hätte er für Sony den „großen Ansehensverlust“ und einen Schaden „im dreistelligen Millionen-Dollar-Bereich“ (FAZ vom 16.12.2014) verhindern können?

Eine der wichtigsten Aufgaben des Chief Information Security Officers ist der „proaktive Schutz von Menschen, Organen und Organvertretern“, erläutert Wolfgang Reibenspies, langjähriger CISO des Energieversorgers EnBW. Für Reibenspies geht es vor allem um „Aufklärung und Sensibilisierung und damit am Ende um die Menschen, die Informations- und Kommunikationstechnologien für ihre Arbeit nutzen“.

Ein guter CISO wird also im Vorfeld aktiv und verhindert, dass es überhaupt zu einem Datendiebstahl oder einem längeren Ausfall der IT-Systeme kommt. Gerade Letzteres wäre für viele Unternehmen ein Super-GAU, der die Existenz der Firma bedroht.

Zu den Pflichten eines CISOs zählt aber auch, zu verhindern, dass Daten heimlich manipuliert werden. Die Konsequenzen, die sich daraus ergeben, werden häufig unterschätzt. Nach Aussage von Klaus Lenßen, Chief Security Officer bei Cisco Deutschland, „stehen CISOs vor der Aufgabe, Unternehmen über das gesamte Angriffskontinuum zu schützen“.

Michael Lardschneider, früher CISO bei der Munich Re und jetzt Chief Security Officer (CSO) der Münchner Rückversicherungsgesellschaft, zählt zu seinen wichtigsten Aufgaben, „Überzeugungsarbeit zu leisten, auf allen Hierarchieebenen“. Diese Arbeit bedürfe „entsprechender Fachkenntnis – man darf sich nicht ein X für ein U vormachen lassen“, so Lardschneider. Außerdem müsse ein CISO gut Bescheid wissen über die Unternehmenskultur: „Er muss wissen, was geht und was nicht.“ Letztlich komme es darauf an, eine „dicke Haut zu haben und sich nicht entmutigen zu lassen“.

Wolfgang Reibenspies ist sich sicher, dass ein CISO auch mit „weichen“ Fähigkeiten überzeugen muss. Wesentliche Voraussetzungen seien „Wertschätzung, Achtsamkeit und Einfühlungsvermögen, gepaart mit einer hohen Authentizität“. Aber auch „Durchsetzungsfähigkeit mit entsprechendem Durchgriff“ sei notwendig, wenn es zu einem Secu­rity-Vorfall gekommen sei. Hier sei vor allem eine „hohe Prozesskompetenz gefragt, die in Notfallsituationen die schnellstmögliche Rückkehr in den Normalbetrieb organisiert und sicherstellt“.

Michael Lardschneider von der Munich Re betont ebenfalls, dass „neben der fachlichen Qualifikation umfangreiche Softskills wie Kommunikation, Teamfähigkeit und diplomatisches Geschick, Hartnäckigkeit und Kompromissfähigkeit, Belastbarkeit und Vertrauenswürdigkeit“ für einen CISO notwendig seien.