Abkopplung von der IT

Sicherheitsexperten deuten die abteilungsübergreifende Koordination des Themas IT-Security und dessen Abnabelung von der Technikabteilung als Indizien für eine zunehmende Reife. Letztere hängt nach Beobachtungen von Berater Wirnsperger allerdings weniger von der Firmengröße als von der jeweiligen Industrie ab: So zähle der Bankensektor angesichts der dort zu erfüllenden Regularien zu den sicherheitbewussten Branchen, während etwa im Medienbereich Nachholbedarf bestehe.

Cirosec-Consultant Strobel hält folgende Konstellation für die günstigste: "Im Idealfall berichtet der Sicherheitsverantwortliche entweder direkt an den Vorstand, oder er ist dem CIO unterstellt, verfügt jedoch über einen separaten Berichtskanal zum CEO."

Nicht zuletzt angesichts der mit Security einhergehenden Investitionsentscheidungen hält es auch Ludwig Zink, Consulting Manager bei dem Netzdienstleister International Network Services (INS), für günstig, wenn das Thema Sicherheit nicht primär IT-getrieben ist. Dies allein habe sich in der Praxis allerdings noch nicht als Qualitätsgarant erwiesen: "Manche Unternehmen haben zwar bereits einen CSO - doch ist er nicht selten ein König ohne Reich", so Zink. Häufig habe der Sicherheitschef lediglich eine Reporting-Funktion, während Sicherheitsinitiativen nach wie vor aus einzelnen Abteilungen kämen.

CSO Krebs erachtet seinen Einflussbereich als größer: "Der Security-Bereich ist nicht die Unternehmensleitung, hat aber die Vollmacht Vorgänge situativ zu stoppen und zu beeinflussen", so der Manager, der bei der Finanz IT GmbH Weisungsrecht in allen Sicherheitsbelangen hat, direkt an den Vorsitzenden der Geschäftsführung berichtet und dem eine 20 Experten starke Security-Mannschaft zur Verfügung steht. Allerdings empfindet auch er es als vorteilhaft, nicht in einem operativen Bereich, sondern direkt beim Vorsitzenden der Geschäftsführung in einer mit der Revision vergleichbaren Position angesiedelt zu sein.