Ein CISO braucht mehr als nur Fachwissen

Der Weg zum Chief Information Security Officer

von - 23.04.2015
IT-Sicherheit: Es ist viel zu tun! Das zeigen Antworten auf die Frage, ob es in den letzten Jahren einen gravierenden Sicherheitsvorfall im Unternehmen gab.
IT-Sicherheit: Es ist viel zu tun! Das zeigen Antworten auf die Frage, ob es in den letzten Jahren einen gravierenden Sicherheitsvorfall im Unternehmen gab.
Chief Information Security Officer ist keine geschützte Berufsbezeichnung und es gibt auch keinen festgelegten Ausbildungsweg. Wer CISO werden will, kann allerdings verschiedene Zertifizierungslehrgänge belegen (siehe „Zertifizierungsmöglichkeiten für angehende CISOs“).
Auch die Kölner CISO-Studie kommt zu dem Ergebnis: „Die berufliche Entwicklung hin zur Position des CISOs wird von den Befragten als eine eher zufällige Entwicklung dargestellt.“ Die Autoren stellen darüber hinaus fest, dass die „Ausbildungen und Berufsentwicklungen der Befragten in der Regel nicht auf eine Tätigkeit als Chief Information Security Officer ausgerichtet waren“.

Drei CISO-Typen

Eine immer noch aktuelle Studie der Kölner Kommunikationsagentur Known Sense von 2008 hat drei verbreitete CISO-Typen identifiziert, die in Unternehmen anzutreffen sind. Die Studie beschreibt sie so:

Zentrale Kontrollinstanz oder Fräulein Rottenmeier
Die Prozesse laufen, wenn er will, und er scheint unersetzbar. Alles dreht sich um ihn – dennoch ist er einsam. Sicherheitskultur wird durch ihn nicht vermittelt, sondern erzwungen. In diesem Typus sind Züge einer Diva enthalten. Man rechnet mit wechselnden Stimmungen und versucht, ihm, der oft unnahbar erscheint, alles recht zu machen. „Wenn der CISO der beliebteste Mann im Unternehmen ist, stimmt etwas nicht“, so ein O-Ton.
Er ist vergleichbar mit der literarischen Figur des Fräulein Rottenmeier aus „Heidi“.

Sicherheitsservice oder Mutter Teresa
Dieser Typus möchte, dass Sicherheit nicht in unangenehmer Weise spürbar ist. Seine Freundlichkeit kann aber in Aggression kippen, wenn die Mitarbeiter allzu ungesichert agieren. Dann kann er Freiheiten sofort einschränken. Probleme und Störungen sind sein Lebenselixier, die seine Rolle als helfender Engel manifestieren. Auch wenn er sich gut in die User hineinversetzen kann, schafft er es oftmals nicht, die Relevanz seiner Belange durchzusetzen. So fürchtet er letztlich doch um seine Existenz im Unternehmen. „Ich komme mir vor wie ein Mann vom ADAC. Den holt man auch nur, wenn man am Straßenrand liegen geblieben ist“, sagt einer. Als Person ist dieser Typus wohl am ehesten mit Mutter Teresa vergleichbar.

Streetworker oder Columbo
Er versteht Sicherheit nicht als Lösung von der Stange, sondern als eine individuelle Konfiguration. Seine Strategie zeichnet sich durch Beweglichkeit und seinen Wunsch nach interdisziplinärem Austausch aus. Interessen der Sicherheit und die der Mitarbeiter werden miteinander in ein Verhältnis gebracht. Beim Streetworker wird der Versuch deutlich, sich in den anderen hineinzuversetzen, ohne die eigenen Belange aufzugeben. „Mein Vorsatz ist: Vergiss nie, dass du auch mal da gesessen hast, wo die jetzt sitzen.“
Dieser CISO versetzt sich wie ein Streetworker in die Lage der Mitarbeiter und versucht, seine Interessen auf dieser Ebene zu vermitteln.
Der jetzige CSO und frühere CISO der Munich Re, Michael Lardschneider, begann seine Laufbahn bei dem Rückversicherer als „Underwriter in der Einbruchdiebstahl- und Raubversicherung“. Nach drei Jahren wechselte er in die IT-Abteilung und spezialisierte sich dort auf den Kampf gegen Computer­viren. 1994 wurde er IT-Sicherheitsbeauftragter der Zentrale in München und übernahm 1998 die neu geschaffene Position des CISOs, der damals dem Zentralbereich IT zugeordnet war. Im Zuge einer Umorganisation 2008 wurde er zum CSO ernannt und war damit zuständig für das Security Risk Management, das Business Continuity Management und die Security Awareness im gesamten Konzern.
Wolfgang Reibenspies von EnBW erlernte dagegen zunächst den Beruf des Elektronikers und kam über die Bereiche Administration und Anwenderunterstützung auf den Posten des CISOs bei EnBW. Reibenspies selbst bezeichnet sich als Autodidakt.
Es gibt also keinen Königsweg, um Chief Information Security Officer zu werden – oder um einen guten CISO für das eigene Unternehmen zu finden. Die folgende Seite dieses Beitrags zeigt einige Zertifizierungen, mit denen Interessenten ihre Fachkenntnisse belegen können. Dass sie auch über die nötigen Soft­skills verfügen, müssen sie dann in der Praxis beweisen.
Seite
  1. Teil: Ein CISO braucht mehr als nur Fachwissen
  2. Teil: Position des Chief Information Security Officer
  3. Teil: Der Weg zum Chief Information Security Officer
  4. Teil: Zertifizierungsmöglichkeiten für angehende CISOs
Verwandte Themen

Mehr zum Thema