Der CISO im Porträt

Immer auf der Hut

03.06.2008
Von 


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.

Zielbewusst und emotionslos

Einen etwas anderen Tagesablauf als Reibenspies hat Jörg Kehrmann, IT-Sicherheits- und Datenschutzbeauftragter der Wuppertaler Stadtwerke. Der studierte Informatiker arbeitet auf einer "ewigen Baustelle", wie er sagt. Unternehmen dürften Datenschutz und IT-Sicherheit nicht losgelöst voneinander betrachten, deshalb betreue er beide Bereiche sehr gern in Personalunion. Als wichtigste Aufgabe sieht er die Beschaffung und Analyse von Informationen von innen und außen an - über das Unternehmensnetz, geschäftskritische Daten und Prozesse, über die aktuelle Bedrohungslage, die Märkte allgemein. "Die Lösungsorientierung ist mir wichtig, die Analyse von Informationen muss unabhängig von der emotionalen Ebene erfolgen", gibt sich Kehrmann sachlich und zielgerichtet.

Welche Projekte wann und wie abgearbeitet werden, entscheidet der Sicherheitsbeauftragte nach der Dringlichkeit und den unternehmerischen Vorgaben. Aufgaben im Bereich des Datenschutzes seien durch die gesetzlichen Bestimmungen leichter zu priorisieren als die in der allgemeinen IT-Sicherheit. Hier sei viel eigene Abwägungskompetenz gefordert, so Kehrmann. Dass er die mitbringt, zeigt seine Akzeptanz innerhalb des Unternehmens: "Täglich werde ich nach meiner Meinung zu meinen Fachthemen befragt, weil ich für meinen lösungsorientierten Arbeitsstil bekannt bin." Der Informatiker sieht sich als "Streetworker", der seinen Kolleginnen und Kollegen mit Rat und Tat zur Seite steht, viel Aufklärungsarbeit betreibt, ab und zu aber auch unbeliebte Entscheidungen durchsetzen muss. "Immer wieder kommt es zu teilweise kontroversen Diskussionen mit den Fachbereichen im Unternehmen", gibt Kehrmann zu. Das fachliche Know-how und sein "soziales Gen" glichen Meinungsverschiedenheiten aber gut aus.

Hilfe zur Selbsthilfe

Sowohl Reibenspies als auch Kehrmann sind nicht der IT-Abteilung unterstellt, sondern berichten direkt an die Geschäftsleitung. Das verdeutlicht die Wichtigkeit, die die Unternehmen dem Thema beimessen. "Security-Management ist kein reines IT-Thema mehr - es wird zum Bestandteil des unternehmerischen Risiko-Managements", stellt Michael Lardschneider, Sicherheitsbeauftragter der Münchener Rückversicherung, fest. Dass die IT-Sicherheit immer häufiger auf die Geschäftsprozesse im Allgemeinen Einfluss nimmt, zeigt auch die Einstellung der Sicherheitsbeauftragten selbst: Heinz-Peter Voss, Datenschutz- und IT-Sicherheitsbeauftragter der Roland-Rechtsschutz-Versicherung, sieht sich mehr als Controller denn als Sicherheitsexperte. "Ich versuche, das Thema Security in die einzelnen Abteilungen zu bringen, und delegiere mehr, als dass ich es selbst mache." Hilfe zur Selbsthilfe sozusagen.

Eine der wichtigsten Aufgaben der Sicherheitsbeauftragten selbst ist die Prävention. So betreuen einige von ihnen eigene Intranet-Seiten, auf denen die Mitarbeiter hilfreiche Informationen zum Thema Security finden. Ab und an organisieren sie Schulungen. Ein weiteres Betätigungsfeld ist die Mitentscheidung über Security-Budgets und die Konzeption von Sicherheits-Policies in Zusammenarbeit mit der Geschäftsleitung. Darüber hinaus müssen die CISOs ständig auf die Einhaltung der Richtlinien achten und auch außerhalb des Unternehmens die aktuelle Gefährdungslage einschätzen können. Wer als CISO zusätzlich zur Informationssicherheit den Datenschutz verantwortet, hat auch juristisch immer auf dem neuesten Stand zu sein. Stetige Weiterbildung ist im Sicherheits-Management daher besonders wichtig. Aus dem operativen Geschäft halten sich die meisten CISOs eher heraus, wie Voss betont. Die strategische Planung als "jemand, der den Überblick behält", obliege ihrem Berufsstand häufiger. Bestes Beispiel ist Reibenspies, dessen Mitstreiter bei der EnBW über alle Standorte verteilt sind, so dass die Kommunikation oft auf virtuellem Wege erfolgt. Reibenspies sieht das Team als Schlüsselfaktor der unternehmensweiten IT-Security an und bewertet den ständigen Austausch als wesentliche Bestandteile des Erfolgs.