Ein CISO braucht mehr als nur Fachwissen

Position des Chief Information Security Officer

von - 23.04.2015
EnBW: Der CISO des Konzerns zählt die Sensibilisierung der Mitarbeiter zu seinen wichtigsten Aufgaben.
EnBW: Der CISO des Konzerns zählt die Sensibilisierung der Mitarbeiter zu seinen wichtigsten Aufgaben.
Der CISO ist heute typischerweise in den oberen Etagen der Unternehmensführung angesiedelt. Laut Brendan Hannigan, General Manager bei IBM Security, bekommen „CISOs endlich einen Platz im Vorstand“. Auch nach Aussage von EnBW-Mann Wolfgang Reibenspies benötigt der CISO „einen direkten Berichtsweg zur Geschäftsleitung“. In vielen Unternehmen ist er direkt dem CSO (Chief Security Officer) unterstellt.
Hannigan geht noch einen Schritt weiter und fordert einer neuen CISO-Studie von IBM zufolge, dass „IT-Verantwort­liche ihren steigenden Einfluss dazu verwenden müssen, bessere Ergebnisse zu erreichen“. Außerdem sollten sie die Absicherung wichtiger Unternehmensbereiche vorantreiben und Fachkräfte rekrutieren.
Wolfgang Reibenspies, CISO bei EnBW: „Wertschätzung, Achtsamkeit und Einfühlungsvermögen sind wesentliche Voraussetzungen für einen CISO.“
In einer CISO-Studie der Kölner Kommunikationsagentur Known Sense wurden 30 Sicherheitsverantwortliche in ausführlichen Interviews befragt. In dieser Studie mit dem Titel „Die Wirklichkeit von CISOs – Strategien, Typen und Visionen: Aus der Abwehr in den Beichtstuhl“ wird die Rolle des CISOs im Unternehmen als „Sonderstellung“ bezeichnet, die mit einer „gewissen Entrückung im Unternehmensbetrieb“ einhergehe. Als eine Schwierigkeit ihrer Aufgaben bezeichneten die befragten CISOs, dass sie selber „nichts Konkretes produzieren, das vorzeigbar wäre und an dem man die eigene Wirksamkeit erleben oder demonstrieren“ könne.
Die Autoren der Studie sehen darin ein grundsätzliches Manko: „Die Sicherung ge­gen Angreifer von außen scheint also für den CISO weniger ein Problem darzustellen als der gleichberechtigte Austausch mit den eigenen Mitarbeitern.“ Wolfgang Reibenspies von EnBW mag dem nicht zustimmen: „Die Zusammenarbeit mit den Fachbereichen ist sehr gut. Reibungen gibt es nicht, sehr wohl aber unterschiedliche Auffassungen, die dann kollegial und kollektiv diskutiert werden.“ Auch Michael Lardschneider von der Munich Re sagt: „Über mangelnde Aufmerksamkeit können sich viele CISOs nicht mehr be­klagen.“
Michael Lardschneider, CSO bei Munich Re
Michael Lardschneider, CSO bei Munich Re: „CISOs brauchen eine dicke Haut und dürfen sich nicht entmutigen lassen.“

Das hat bei dem weltweit agierenden Rückversicherer dazu geführt, dass die damit verbundenen Aufgaben „nicht mehr von einer einzigen Person, sondern von einem Netzwerk von Experten wahrgenommen werden“, so Lardschneider.
Gesteuert werde diese „Sicherheitsorganisation durch den CSO, der im Risiko-Management sitzt und letztlich dem Chief Risk Officer untersteht“. Der CISO sei dagegen nach wie vor Mitglied der IT-Organisa­tion, für die der CIO (Chief Information Officer) verantwortlich ist.
Um die Kollegen zu informieren, verwenden viele CISOs ein Intranet oder sie bauen ein internes Netz mit Multiplikatoren auf, die an verschiedenen Stellen im Unternehmen postiert sind und die Mitarbeiter über neue Sicherheitsrisiken oder über geänderte Regeln informieren. Teils sei es sogar nötig, die Kollegen überhaupt erst auf die Existenz diverser verbindlicher Richtlinien aufmerksam zu machen, bemängeln manche der befragten Praktiker.
Seite
  1. Teil: Ein CISO braucht mehr als nur Fachwissen
  2. Teil: Position des Chief Information Security Officer
  3. Teil: Der Weg zum Chief Information Security Officer
  4. Teil: Zertifizierungsmöglichkeiten für angehende CISOs
Verwandte Themen

Mehr zum Thema