Zwischen drei und vier Uhr morgens klingelt bei Wolfgang Reibenspies der Wecker - jeden Tag. "CISO sein heißt für mich, immer auf dem Laufenden zu sein, rund um die Uhr in Bereitschaft zu sein." Seine Motivation zieht der CISO des Energieversorgers EnBW aus dem Glück, sein Hobby einst zum Beruf gemacht zu haben. Die Lektüre des 1991 erschienenen Buches "A Short Course on Computer Viruses" von Fred Cohen, der den Begriff "Computervirus" in den Achtzigern erfunden und die Forschung in diesem Bereich über Jahre geprägt hatte, verstärkte Reibenspies' großes Interesse. Fasziniert widmete er sich privat vermehrt dem Thema IT-Sicherheit: "Irgendwann erkannte einer meiner Vorgesetzten die Wichtigkeit des Themas für das Unternehmen und begann, mich zu fördern, aber auch zu fordern", zeichnet er seinen Weg vom Energieanlagenelektroniker zum Sicherheitsbeauftragten nach.
Gewachsen sei der Bedarf durch die Deregulierung des Energiemarktes. Sie habe eine umfassende IT-Security-Strategie nötig gemacht, so Reibenspies. Über die Aufgabe des Projektleiters für neue Sicherheitskonzepte wurde er schließlich Konzernbevollmächtigter IuK-Security. Mittlerweile ist er als "Marke" innerhalb "seines" Unternehmens - wie er nachdrücklich betont - wie auch darüber hinaus unter Sicherheitsbeauftragten und CISOs bekannt. Reibenspies hält ab und an Vorträge auf Kongressen und Konferenzen und gibt sein jahrelang aufgebautes Wissen weiter.
Im Mittelpunkt seines Berufsalltags stehen für ihn auch sonst immer die Menschen. Nur mit ihnen zusammen könne IT-Security erreicht werden, so Reibenspies. Der Respekt vor den Kollegen sei eine wichtige Voraussetzung dafür, daher sind für ihn beispielsweise auch "Witze über Anwender" tabu.
Die grundsätzliche Herausforderung für den CISO ist in seinen Augen der Spagat zwischen IT-Security und unternehmerischer Effizienz. Die oberste Verantwortung für eine sichere IT müsse immer in der Geschäftsleitung verbleiben. Reibenspies fordert, dass künftig der CISO den Reifegrad der Umsetzung bewertet und dafür mit einer Richtlinienkompetenz ausgestattet wird. Nur wenn er verbindliche Entscheidungen treffen dürfe, könne das Sicherheitsbewusstsein steigen. Die Bewertung des Sicherheitsniveaus müsse sich auf die zu bewilligenden Budgets auswirken und die zuständigen Manager müssten entsprechend bezahlt werden, so Reibenspies. Nur so lasse sich die IT-Sicherheit allgemein verbessern.
Zielbewusst und emotionslos
Einen etwas anderen Tagesablauf als Reibenspies hat Jörg Kehrmann, IT-Sicherheits- und Datenschutzbeauftragter der Wuppertaler Stadtwerke. Der studierte Informatiker arbeitet auf einer "ewigen Baustelle", wie er sagt. Unternehmen dürften Datenschutz und IT-Sicherheit nicht losgelöst voneinander betrachten, deshalb betreue er beide Bereiche sehr gern in Personalunion. Als wichtigste Aufgabe sieht er die Beschaffung und Analyse von Informationen von innen und außen an - über das Unternehmensnetz, geschäftskritische Daten und Prozesse, über die aktuelle Bedrohungslage, die Märkte allgemein. "Die Lösungsorientierung ist mir wichtig, die Analyse von Informationen muss unabhängig von der emotionalen Ebene erfolgen", gibt sich Kehrmann sachlich und zielgerichtet.
Welche Projekte wann und wie abgearbeitet werden, entscheidet der Sicherheitsbeauftragte nach der Dringlichkeit und den unternehmerischen Vorgaben. Aufgaben im Bereich des Datenschutzes seien durch die gesetzlichen Bestimmungen leichter zu priorisieren als die in der allgemeinen IT-Sicherheit. Hier sei viel eigene Abwägungskompetenz gefordert, so Kehrmann. Dass er die mitbringt, zeigt seine Akzeptanz innerhalb des Unternehmens: "Täglich werde ich nach meiner Meinung zu meinen Fachthemen befragt, weil ich für meinen lösungsorientierten Arbeitsstil bekannt bin." Der Informatiker sieht sich als "Streetworker", der seinen Kolleginnen und Kollegen mit Rat und Tat zur Seite steht, viel Aufklärungsarbeit betreibt, ab und zu aber auch unbeliebte Entscheidungen durchsetzen muss. "Immer wieder kommt es zu teilweise kontroversen Diskussionen mit den Fachbereichen im Unternehmen", gibt Kehrmann zu. Das fachliche Know-how und sein "soziales Gen" glichen Meinungsverschiedenheiten aber gut aus.
Hilfe zur Selbsthilfe
Sowohl Reibenspies als auch Kehrmann sind nicht der IT-Abteilung unterstellt, sondern berichten direkt an die Geschäftsleitung. Das verdeutlicht die Wichtigkeit, die die Unternehmen dem Thema beimessen. "Security-Management ist kein reines IT-Thema mehr - es wird zum Bestandteil des unternehmerischen Risiko-Managements", stellt Michael Lardschneider, Sicherheitsbeauftragter der Münchener Rückversicherung, fest. Dass die IT-Sicherheit immer häufiger auf die Geschäftsprozesse im Allgemeinen Einfluss nimmt, zeigt auch die Einstellung der Sicherheitsbeauftragten selbst: Heinz-Peter Voss, Datenschutz- und IT-Sicherheitsbeauftragter der Roland-Rechtsschutz-Versicherung, sieht sich mehr als Controller denn als Sicherheitsexperte. "Ich versuche, das Thema Security in die einzelnen Abteilungen zu bringen, und delegiere mehr, als dass ich es selbst mache." Hilfe zur Selbsthilfe sozusagen.
Eine der wichtigsten Aufgaben der Sicherheitsbeauftragten selbst ist die Prävention. So betreuen einige von ihnen eigene Intranet-Seiten, auf denen die Mitarbeiter hilfreiche Informationen zum Thema Security finden. Ab und an organisieren sie Schulungen. Ein weiteres Betätigungsfeld ist die Mitentscheidung über Security-Budgets und die Konzeption von Sicherheits-Policies in Zusammenarbeit mit der Geschäftsleitung. Darüber hinaus müssen die CISOs ständig auf die Einhaltung der Richtlinien achten und auch außerhalb des Unternehmens die aktuelle Gefährdungslage einschätzen können. Wer als CISO zusätzlich zur Informationssicherheit den Datenschutz verantwortet, hat auch juristisch immer auf dem neuesten Stand zu sein. Stetige Weiterbildung ist im Sicherheits-Management daher besonders wichtig. Aus dem operativen Geschäft halten sich die meisten CISOs eher heraus, wie Voss betont. Die strategische Planung als "jemand, der den Überblick behält", obliege ihrem Berufsstand häufiger. Bestes Beispiel ist Reibenspies, dessen Mitstreiter bei der EnBW über alle Standorte verteilt sind, so dass die Kommunikation oft auf virtuellem Wege erfolgt. Reibenspies sieht das Team als Schlüsselfaktor der unternehmensweiten IT-Security an und bewertet den ständigen Austausch als wesentliche Bestandteile des Erfolgs.
Ein Beruf (noch) ohne einheitliche Ausbildung
Foto: Michael Lardschneider
Um den gestiegenen Anforderungen an den CISO-Beruf Rechnung zu tragen, müsse es nach Lardschneiders Auffassung Ausbildungsmöglichkeiten für CISOs geben. Diese sollten sich weniger auf technische Inhalte konzentrieren, sondern das psychologische und juristische Handwerkszeug vermitteln sowie auf soziale Komponenten und Management-Herausforderungen abgestellt sein. Auf diese Weise könnten das Thema und der Berufsstand langfristig auf einem hohen Level installiert werden. Eigene Studiengänge zur Informationssicherheit, wie unter anderem die Ruhr-Universität Bochum vor kurzem eingerichtet hat, seien ein guter Anfang. Lardschneider und einige seiner Kollegen von der Münchener Rück werden dort ab dem kommenden Semester die praktische Seite des Berufs vermitteln und Studierende auf eine Karriere als Security-Manager vorbereiten.
Reibenspies und Lardschneider messen der Persönlichkeit, den Charaktereigenschaften und den sozialpsychologischen Fähigkeiten eines Sicherheitsbeauftragten mehr Bedeutung bei als den fachlichen Vorkenntnissen. "Den klassischen CISO gibt es nicht, vieles hängt vom Unternehmen, den Geschäftsfeldern und von ihm persönlich ab", sagt der EnBWler. Der CISO habe von Berufs wegen häufig eine Außenseiterstellung. Er müsse viel mit seinem Team und sich selber ausmachen und Spannungen aushalten können. IT-Sicherheit hält Reibenspies nur teilweise für erlernbar, der Löwenanteil sei eine Frage der Persönlichkeit. Der Arbeitsalltag bestehe zumeist aus gesprächsintensiven Verhandlungen. Der CISO sei in erster Linie Diplomat - da seien Zertifikate und Abschlussurkunden wenig hilfreich, warnt Reibenspies. IT-Security sei vielmehr ein psychologisches Thema, das viel Kommunikationsfähigkeit, Menschenkenntnis und Sozialkompetenz verlange und entsprechend geschult werden müsse. "IT-Sicherheit gehört von Anfang an dazu, sie muss Bestandteil jeglicher IT-Ausbildung werden."
Frauen? Mit Sicherheit!
Foto: Maria Specht
Maria Specht, IT-Sicherheitsbeauftragte der WWK Versicherungen, plädiert neben einer eigenständigen Ausbildung ebenso dafür, das Thema IT-Security als verpflichtenden Bestandteil in das Informatikstudium oder andere techniklastige Studiengänge zu integrieren. Das unterstreiche die Wichtigkeit und bringe voraussichtlich mehr ITler dazu, sich beruflich schwerpunktmäßig der IT-Sicherheit zu widmen, prognostiziert sie. Je mehr Unternehmen eigene Vollzeitstellen im Security-Management schafften, desto dringender werde der Handlungsbedarf, auch das (Informatik-)Studium umzustrukturieren, so Specht. Ein interessanter Nebeneffekt: Der Anteil der Frauen in der IT könne gesteigert werden, weil ein Beruf in der IT-Security eine wesentlich stärkere Kommunikationsfähigkeit verlange als andere IT-Jobs und daher für Frauen attraktiver sei. Noch falle sie unter lauter Männern auf, sagt Specht. Sie kam nach dem Informatikstudium als IT-Projekt-Managerin zur WWK und verantwortet nunmehr seit drei Jahren als dem Bereichsleiter IT untergeordnete "Ein-Frau-Stabsstelle" das strategische IT-Sicherheits-Management bei dem Münchener Versicherer.
In einem sind sich alle CISOs einig: Sie müssen ihre Arbeit sichtbarer machen, um das Sicherheitsbewusstsein von Mitarbeitern und Öffentlichkeit zu stärken. Da sich die Vermeidung von Vorfällen wie Datenabflüssen selten nachweisen lässt, kämpfen viele Sicherheitsbeauftragte immer wieder um ihre Budgets. Lardschneider fasst die Misere, in der CISOs noch sehr oft stecken, treffend zusammen: "Wenn nichts passiert, können wir nicht beweisen, dass ohne uns etwas passiert wäre. Wenn dann aber doch etwas passiert, sind wir im Grunde nicht zu gebrauchen." Dennoch liebt er seinen Beruf und meint, ähnlich wie viele seiner Kollegen: "Wer damit groß geworden ist, lebt Sicherheit von ganzem Herzen."
Studie: Die drei Typen CISO
Die Kölner PR-Agentur known_sense hat vor wenigen Wochen die Security-Studie "Aus der Abwehr in den Beichtstuhl" veröffentlicht, die sich mit den CISOs in deutschen Unternehmen auseinandersetzt. In Einzelbefragungen wurden die menschliche Psychologie, die zu großen Teilen hinter der IT-Sicherheit steckt, und die Persönlichkeiten der CISOs näher beleuchtet. Drei wesentliche Charaktertypen kristallierten sich dabei heraus:
-
Fräulein Rottenmeier (die zentrale Kontrollinstanz)
Die Prozesse laufen, wenn er will, und er scheint unersetzbar. Alles dreht sich um ihn - dennoch ist er einsam. Er vermittelt nicht, sondern erzwingt eine Sicherheitskultur. In dem Typus "zentrale Kontrollinstanz" sind Züge einer Diva enthalten. Man rechnet mit wechselnden Stimmungen und versucht, ihm, der oft unnahbar erscheint, alles recht zu machen. "Wenn der CISO der beliebteste Mann im Unternehmen ist, stimmt etwas nicht", so ein O-Ton der zentralen Kontrollinstanz. Menschlich-analoge Seiten werden von ihm konsequent abgespalten, um sich nicht zu "beschmutzen" oder sich auf andere Sichtweisen einlassen zu müssen - vergleichbar der literarischen Figur des Fräulein Rottenmeier aus "Heidi".
-
Mutter Teresa (der Sicherheitsservice)
Dieser Typus möchte, dass Sicherheit nicht in unangenehmer Weise spürbar ist. Seine Freundlichkeit kann aber in Aggression kippen, wenn die Mitarbeiter allzu ungesichert agieren. Dann kann der Sicherheitsservice Freiheiten sofort einschränken. Probleme und Störungen sind sein Lebenselixier, die seine Rolle als helfender Engel manifestieren. Auch wenn er sich gut in die User hineinversetzen kann, schafft er es oftmals nicht, die Relevanz seiner Belange zu verdeutlichen. So fürchtet er letztlich doch um seine Existenz im Unternehmen, beispielsweise durch die vermeintliche Bedrohung seitens externer Security-Sevice-Anbieter. "Ich komme mir vor wie ein Mann vom ADAC. Den holt man auch nur, wenn man am Straßenrand liegen geblieben ist", sagt einer, oder: "Ich bin nicht der, der die Blondine als Belohnung bekommt" ein anderer. Als Person ist der Sicherheitsservice wohl am ehesten mit Mutter Teresa vergleichbar.
-
Columbo (der Streetworker)
Er versteht Sicherheit nicht als Lösung von der Stange, sondern als individuelle Konfiguration. Seine Strategie zeichnet sich durch Beweglichkeit und seinen Wunsch nach interdisziplinärem Austausch aus. Er bringt die Interessen der Sicherheit und die der Mitarbeiter miteinander ins Verhältnis und versucht sich in Empathie, ohne die eigenen Belange aufzugeben. "Mein Vorsatz ist: Vergiss nie, dass du auch mal da gesessen hast, wo die jetzt sitzen." Der Streetworker führt seine Kollegen sinnstiftend und richtet so eine Sicherheitskultur ein. Durch diese Einbeziehung gerät der Mitarbeiter in die Lage, seine eigene (analoge) Perspektive in die (digitale) Perspektive der Informationssicherheit zu überführen. Ein solcher CISO versetzt sich wie ein Streetworker in die Lage der Mitarbeiter und versucht, seine Interessen auf dieser Ebene zu vermitteln. In gewisser Weise entsichert sich der Streetworker sogar selbst, weil er durchaus bereit ist, Risiken in Kauf zu nehmen, um der analogen Sichtweise der Mitarbeiter zu begegnen. Er lebt das Paradox. Er hält es aus, anstatt es zu verbannen. Diese Strategie setzt auf ein Verzahnen der beiden unterschiedlichen Prinzipien. Das vermittelnde Verhalten erzeugt Eigenart und Profil, Akzeptanz und Loyalität. Es entspricht am ehesten der bekannten Figur Inspektor Columbo aus der gleichnamigen TV-Krimi-Serie.