CISO

Das muss ein Chief Information Security Officer können

27.03.2019
Von 
Jens Dose ist Redakteur der COMPUTERWOCHE und betreut in erster Linie Themen rund um IT-Sicherheit, Datenschutz und Compliance.
Erfahren Sie, welche Aufgaben ein CISO im Unternehmen hat, welche Ausbildung und Qualifikationen er braucht und wie hoch sein Gehalt ist.

Der Chief Information Security Officer (CISO) ist verantwortlich für die Informations- und Datensicherheit im gesamten Unternehmen. Gegenüber Rollen wie dem Chief Security Officer (CSO) oder dem Ressortleiter für Sicherheit ist das Aufgabenfeld größer.

Der CISO schlägt die Brücke zwischen den traditionell separaten Disziplinen IT, Sicherheit und dem Business eines Unternehmens.
Der CISO schlägt die Brücke zwischen den traditionell separaten Disziplinen IT, Sicherheit und dem Business eines Unternehmens.
Foto: GaudiLab - shutterstock.com

Im Zuge der Digitalisierung durchdringt Software das gesamte Unternehmen, was die IT-Angriffsfläche signifikant vergrößert. Deshalb gewinnt die Rolle des CISO an Bedeutung. Es lohnt sich also, die spezifischen Verantwortlichkeiten, Pflichten und Voraussetzungen dieser Management-Funktion näher zu betrachten.

CISO - eine Definition

Der CISO schlägt die Brücke zwischen den traditionell separaten Disziplinen IT, Sicherheit und dem Business eines Unternehmens. Er erarbeitet die IT-Security-Strategie von den Geschäftszielen aus und sorgt so für das nötige Schutzniveau, ohne die Agilität moderner Geschäftsprozesse zu behindern.

In seiner täglichen Arbeit ist der CISO unter anderem verantwortlich für die Bereiche: Security Operations, Cyber-Risiken und -Intelligence, Schutz vor Datenverlust und Betrug, Sicherheits-Architektur, Identitäts- und Zugangsmanagement (IAM), Programm-Management, Forensik und Governance. Im Rahmen eines Information Security Management Systems (ISMS) auditiert der CISO zudem die Sicherheit der IT und berichtet über die Ergebnisse an die Geschäftsführung.

IT-Security betrifft das gesamte Unternehmen auf allen Ebenen, so dass der CISO einen ganzheitlichen Sicherheitsansatz verfolgen muss. Sowohl Technik und Organisation als auch Kultur und Lieferkette sind wichtige Faktoren, die es im Blick zu behalten gilt. Auch das Reputationsmanagement und Kommunikationsmaßnahmen im Krisenfall liegen im Verantwortungsbereich des IT-Sicherheitschefs.

Der CISO ist meist nicht dem Chief Information Officer (CIO) unterstellt, sondern direkt dem Chief Executive Officer (CEO) oder der Geschäftsführung, da IT-Security nur eine Untermenge seiner Aufgaben darstellt. Er kümmert sich auch um die Sicherung und das Risikomanagement aller anderen (nicht digitalen) Informationswerte eines Unternehmens wie etwa Papierakten.

Verantwortlichkeiten eines CISO

Die Aufgaben eines CISO sind so unterschiedlich, wie das Unternehmen, für das er arbeitet. Stephen Katz gab in einem Interview einen guten Überblick zu den grundlegenden Aspekten der täglichen Arbeit. Katz gilt als Wegbereiter der CISO-Rolle, die er in den 90-er Jahren bei der Citigroup definierte und bekleidete. Er schlüsselt sie wie folgt auf:

Eine detaillierte Beschreibung der Pflichten eines CISOs hat der Schulungsanbieter SANS Institute in einem Whitepaper (PDF) zusammengefasst.

Anforderungen an einen CISO

Die Position eines CISO setzt eine solide technische Ausbildung voraus. Laut dem Informationsportal für IT-Security-Studenten Cyberdegrees.org benötigt ein CISO mindestens einen Bachelor-Abschluss in Computerwissenschaften oder einem verwandten Feld. Vermehrt legen Unterhemen aber auch auf einen Master-Abschluss mit Security-Fokus Wert. Zudem werden sieben bis 12 Jahre Berufserfahrung vorausgesetzt, mindestens fünf davon in einer Management-Position.

IT-Transformation beschleunigen

Des Weiteren sollte ein CISO eine Reihe von technischen Skills mitbringen. Grundlegende Kenntnisse in Programmierung und Systemadministration braucht jeder hochrangige Manager im Technikbereich. Darüber hinaus ist aber auch Wissen über Sicherheitstechnologie wichtig, wie beispielsweise DNS, Routing, Authentifikation, VPN, Proxy-Dienste und DDoS-Abwehr, Programmierverfahren, ethisches Hacking und Bedrohungsmodellierung und -analyse, Firewalls sowie Intrusion-Detection-and-Prevention-Protokolle.

Zusätzlich muss der CISO auch Know-how im Compliance-Bereich besitzen, um dabei zu unterstützen, regulatorische Vorgaben einzuhalten. Darunter fallen beispielsweise je nach Branche und Kerngeschäft die DSGVO, der IT-Grundschutz, KRITIS- oder PCI-Vorgaben. Bei international agierenden Unternehmen gilt es, noch weitere Standards wie HIPAA, NIST, GLBA oder SOX zu beachten.

Da CISOs Management-Aufgaben erledigen und im Idealfall einen engen Kontakt zu den Vorständen pflegen, reicht technisches Wissen allein nicht aus, um sich für diese Position zu qualifizieren. Larry Ponemon, Gründer des gleichnamigen Forschungsinstituts, fasste gegenüber der "SecureWorld" zusammen: "Die erfolgreichsten CISOs haben gute technische Grundlagen gepaart mit einem Business-Hintergrund." Sie besäßen etwa einen MBA-Abschluss und könnten mit anderen C-Level-Managern oder dem Vorstand auf Augenhöhe kommunizieren.

Laut Paul Wallenberg, Manager bei der Personalvermittlung LaSalle Network, orientieren sich die geforderten nicht-technischen Skills stark am jeweiligen Unternehmen. "International agierende Betriebe suchen meist Kandidaten mit einem ganzheitlichen, funktionalen Security-Hintergrund." Sie bewerten die Führungsqualitäten anhand des Lebenslaufs und vergangener Leistungen. Auf der anderen Seite suchten Unternehmen mit einem Web- oder Produktfokus CISOs mit speziellen Skillsets im Bereich Anwendungs- und Web-Security.

Zertifizierung zum CISO

Da es keinen vorgezeichneten Ausbildungsweg zum CISO gibt, existieren Zertifikate, die die nötige Fachkompetenz vermitteln sollen. Die Auswahl an Angeboten ist groß, Cyberdegrees.org listet allein sieben. LaSalle-Manager Wallenberg hebt drei davon als die seiner Meinung nach wichtigsten hervor:

In Deutschland bieten auch einige Verbände und Weiterbildungsunternehmen Zertifizierungen für den hiesigen Markt an. Hier einige Beispiele:

CISO vs. CIO vs. CSO

Sicherheitsverantwortliche tendieren manchmal dazu, Systeme abzuschotten, um sie sicherer zu machen. Das kann zu Konflikten mit der IT-Abteilung führen, die dafür verantwortlich ist, Informationen und Anwendungen möglichst reibungslos zur Verfügung zu stellen.

Diese Auseinandersetzung wird wahrscheinlich zwischen dem CISO und dem CIO ausgefochten. Dabei spielt es eine Rolle, wie die Top-Management-Ebene des Unternehmens organisiert ist. Berichtet der CISO nicht direkt an den CEO, sondern ist dem CIO unterstellt, kann das zu Problemen führen. Strategische Security-Entscheidungen müssen sich dann unter Umständen der übergreifenden IT-Strategie des CIO unterordnen, was dem Sicherheitsniveau abträglich sein kann.

Ist der CISO direkt unter der Geschäftsführung oder dem Vorstand angesiedelt, erhält er mehr Durchsetzungsvermögen. Damit könnte auch eine Titeländerung einhergehen. Laut der Global State of Information Survey 2018 von IDG wird ein CISO meist dem CIO unterstellt, während ein CSO eher auf derselben Hierarchieebene agiert. Zudem ist er dann auch für nicht-technische Sicherheitsthemen verantwortlich.

CIO und CISO auf Augenhöhe einzusetzen kann das Konfliktpotenzial senken und als Signal für das gesamte Unternehmen gelten, dass Sicherheit ernst genommen wird. Das bedeutet allerdings auch, dass der CISO technische Initiativen nicht blockierten sollte. So sagte Ducati-CIO Piergiorgio Grossi im i-CIO Magazin, es sei Aufgabe des CISO, der IT zu helfen, robustere Produkte und Services bereitzustellen, anstatt einfach "Nein" zu sagen. Diese gemeinsame Verantwortung für strategische Projekte verändert die Beziehungsdynamik der beiden Disziplinen und kann für einen neuen CISO das entscheidende Erfolgselement sein.

CISO-Jobprofil

Ist ein Unternehmen auf der Suche nach einem CISO, spielten viele der oben genannten Punkte in die Stellenbeschreibung mit hinein. "Firmen entscheiden zuerst, ob sie einen CISO anheuern wollen, dann holen sie Freigaben für die Hierarchiestufe, Berichtsstruktur und den offiziellen Titel der Position," erklärt LaSalle-Manager Wallenberg. In kleineren Betrieben könne auch ein Ressortleiter oder Security-Director CISO werden. Abschließend gelte es, die minimalen Voraussetzungen und Qualifikationen für die Rolle zu formulieren und den internen oder externen Ausschreibungsprozess zu starten.

In der Stellenausschreibung selbst sollte das Engagement des Unternehmens für Sicherheit von Anfang an klar herausgestellt werden, um die Aufmerksamkeit hochqualifizierter Kandidaten zu bekommen. Dabei hilft es, genau zu beschreiben, wo der CISO in der Unternehmenshierarchie angesiedelt ist und wie viele Berührungspunkte mit der Geschäftsführung oder dem Vorstand geplant sind.

Auch wenn die Stelle besetzt ist, sollte die Stellenbeschreibung regelmäßig auf den neuesten Stand gebracht und bereitgehalten werden. Es ist nicht immer klar, wann der Mitarbeiter zu einer neuen Herausforderung wechselt, und der CISO ist eine kritische Position, die nicht unbesetzt bleiben sollte.

CISO Gehalt

Der CISO hat eine hochrangige Position inne und wird meist auch entsprechend bezahlt - allerdings variiert der Betrag stark. Gehaltsrechner wie Glassdoor dotieren CISO-Stellen in Deutschland auf durchschnittlich 90.000 Euro pro Jahr mit viel Luft nach oben und unten. Andererseits sprechen Personalvermittler auch von CISO-Einkommen, die die 200.000-Euro-Marke beim Jahresgehalt sprengen - sofern der Kandidat der richtige Experte für die spezielle Position ist.