Chief Security Information Officer (CISO)

Der CISO - Aufklärer, Polizist und Bergführer in Personalunion

10.05.2016
Von 
Jürgen Mauerer ist Journalist und betreibt ein Redaktionsbüro in München.

Uneinheitlich: Die Rolle des CISO in der Organisationsstruktur

Sehr uneinheitlich gestaltet sich auch die Rolle des CISOs in der Organisationsstruktur der Unternehmen. Dies zeigen die Beispiele Linde Group, Allianz AG und Hellmann Worldwide Logistics.

Hellmann Worldwide Logistics

Andreas Goretzky, ist als CISO mit seinem Team weltweit für die Informationssicherheit bei Hellmann Worldwide Logistics zuständig, einem global tätigen Logistikdienstleister mit rund 13.000 Mitarbeitern. Er ist nicht dem Head of Global IT unterstellt, sondern berichtet direkt an den für Security Verantwortlichen im Vorstand. "Der Head of Global IT ist als Kollege auf gleicher Ebene für den IT-Betrieb verantwortlich. Damit vermeiden wir Interessenskonflikte und gehen dem Vorwurf aus dem Weg, wir würden uns selbst auditieren. Für Safety, sprich Werksschutz oder Brandschutz, ist ein Risk Manager zuständig. Bei einem Sicherheitsvorfall tragen der Head of Global IT und der CISO gemeinsam Verantwortung", berichtet Andreas Goretzky.

Als CISO besitzt er bei Hellmann Worldwide Logistics kein eigenes IT-Budget, sondern verfügt nur über einen kleinen Etat in der Personalkostenstelle. Benötigt Andreas Goretzky Geld für notwendige Security IT-Maßnahmen, wird dies im Executive Board oder/und in einem Steuerungsgremium entschieden, das sich aus Vertretern der IT und der Fachabteilungen zusammensetzt.

Andreas Goretzky, CISO bei Hellmann Worldwide Logistics.
Andreas Goretzky, CISO bei Hellmann Worldwide Logistics.
Foto: Hellmann Worldwide Logistics

Linde Group

Dr. Andrzej Debski, Chief Information Security Officer beim DAX-Unternehmen Linde Group, ist in der IT-Organisationseinheit verankert und dem CIO unterstellt. Dazu sagt er: "Das hat viele Vorteile aber auch einige Nachteile, vor allem dann, wenn es um einen hohen Grad der Objektivität geht. Im Sicherheitsumfeld ist es wichtig, das Prinzip der Rollenteilung zu befolgen und zumindest die Funktionen von Governance, Umsetzung und Kontrolle zu trennen. Das ist ähnlich zu etablierten gesellschaftlichen Strukturen mit Legislative, Exekutive und Judikative."

Das Thema Safety ist bei Linde im SHEQ-Ressort (Safety Health Environment Quality) angesiedelt. Dazu zählen unter anderen entsprechende organisatorische und technische Maßnahmen zum Schutz von Mitarbeitern, der Arbeitsumgebung (Gebäude, Produktionsanlagen, Transportmittel, etc.) und der Umwelt. Linde arbeitet mit Gasen und Gasprodukten, so dass Sicherheitsaspekte nach wie vor eine wichtige Rolle spielen.

Als CISO erhält Andrzej Debski zwar Teile des IT-Budgets, die Höhe und Ausgestaltung wechselt aber je nach aktuellen Schwerpunkten. "Die Budget-Hoheit Frage scheint ein Dauerthema fast überall zu sein. Auf der einen Seite ist man bestrebt hohe Qualität der Schutzmaßnahen zu gewährleisten; das geht kaum zum Nulltarif. Auf der anderen Seite ist man in der Regel mit einem engen Korsett der Finanzierung konfrontiert. Ich glaube, es hängt hier viel von den Geschäftszielen, Geschäftsprioritäten, positiven und negativen Erfahrungswerten und der allgemeinen Unternehmenskultur ab."

Dr. Andrzej Debski, CISO der Linde Group.
Dr. Andrzej Debski, CISO der Linde Group.
Foto: Linde Group

Allianz Deutschland

Bei der Allianz existiert keine zentrale Einheit, die für Corporate Security zuständig ist. Die unterschiedlichen Security Funktionen sind auf verschiedene Abteilungen verteilt, es gibt aber regelmäßige ressortübergreifende Jour-Fixes der fünf für Sicherheitsfragen verantwortlichen Personen, die als Stabsstelle fungieren: CSO, CISO, Compliance Officer, Datenschutzbeauftragter, Auditor. Der CSO der Allianz kümmert sich um den Gebäudeschutz, der Datenschutzbeauftragte um rechtliche Fragen rund um personenbezogene Daten, der Compliance Officer aus der Rechtsabteilung ist für Compliance-Fragen verantwortlich und der Auditor prüft auf Einhaltung der Vorgaben. "Der ständige Austausch ist sehr wichtig. Als CISO habe ich zudem eine indirekte Reporting-Line zum COO im Vorstand", sagt Gerhager.

Gerhager ist als CISO für die Informationssicherheit aller sensiblen Daten zuständig und dem CIO unterstellt. "Hier handelt es sich aber um eine besondere Konstruktion, da der CIO nicht direkt für den IT-Betrieb verantwortlich ist, sondern die Rolle als IT-Vorstand einnimmt. Er stellt die IT-Anforderungen und steuert den internen IT-Dienstleister AMOS, der sich um die Implementierungen kümmert. Es besteht hier kein Rollenkonflikt für den CIO zwischen Budget und Security, da die Security-Funktion vom IT-Betrieb getrennt ist", so Gerhager weiter.

Der CISO der Allianz verfügt über ein eigenes Budget für Basisaufgaben. Da er alle Business-Projekte beratend zum Thema Informationssicherheit begleitet, laufen alle entstehenden Zusatzkosten für IT-Security über das entsprechende Projekt.

Als "Bergführer, der die Vorstände berät und auf den Gipfel führt", sieht sich Allianz-CISO Stephan Gerharger.
Als "Bergführer, der die Vorstände berät und auf den Gipfel führt", sieht sich Allianz-CISO Stephan Gerharger.
Foto: Africa Studio - shutterstock.com

Aufklärung und Überzeugungsarbeit

Unabhängig davon, ob der CISO an den CIO, Vorstand oder andere Rollen berichtet - er sollte grundsätzlich im Unternehmen gut vernetzt und kommunikationsstark sein, um das Management und die Mitarbeiter aus den Fachabteilungen vom Sinn und Mehrwert der IT-Sicherheit zu überzeugen. "Ein CISO kann es nicht allen im Unternehmen recht machen. Robuste Sicherheit ist in vielen Fällen nicht gleichzeitig mit großer Flexibilität oder Anwenderfreundlichkeit verbunden. Die große Herausforderung ist es daher, die Balance zwischen Sicherheit, Kosten und Bedienbarkeit zu finden und die unterschiedlichen Interessen und Einflussfaktoren ausgewogen unter einen Hut zu bringen", betont Linde-CISO Andrzej Debski. Kommunikationsnetze, Systeme und Anwendungen müssten auch im Sicherheitsmodus effektiv arbeiten können und bedienbar bleiben.

Andreas Goretzky von Hellmann Worldwide Logistics setzt zur Sensibilisierung der Mitarbeiter auf Transparenz und Awareness-Workshops: "Wir informieren darüber, wie Hacker arbeiten, um die Risiken aufzuzeigen, das Sicherheitsbewusstsein zu schärfen und geben Tipps zum richtigen Verhalten." Hinzu kommen Plakataktionen, E-Mails oder auch elektronische Umfragen, um herauszufinden, was die Mitarbeiter über die Sicherheitsprozesse im Unternehmen wissen. Auch bei den Newcomer-Workshops für neue Mitarbeiter ist Andreas Goretzky oder ein Mitglied des CISO-Teams mit Informationen zu Security-Themen präsent: "Größter Risikofaktor für Sicherheit im Unternehmen ist nicht die Technik, sondern immer noch der Mensch."

Die wichtigsten Aufgaben des CISO

  • Strategische Planung und Entwicklung von Konzepten, Standards und Richtlinien für die Informationssicherheit;

  • Technische Implementierung von IT-Sicherheit;

  • Steuerung und Koordination der Sicherheitsmaßnahmen unter Berücksichtigung marktüblicher Standards (IS-Prozessmanagement, ITIL, ISO 27001, COBIT etc.);

  • Koordinierung und Training der Sicherheitskoordinatoren der Fachbereiche;

  • Incident und Configuration Management;

  • Kontinuierliche Analyse und Optimierung der IT-Sicherheitsstrategien in Anlehnung an die Geschäftsprozesse;

  • Analyse und Bewertung der Risiken für die Informationssicherheit (bereichs- und standortübergreifend);

  • Planung und Umsetzung der Sicherheitskonzepte in enger Zusammenarbeit mit den Fachabteilungen und IT);

  • Durchführung/Betreuung und Begleitung von Audits;

  • Begleitung der Projektarbeit und der Realisierung;

  • Prävention: Organisation und Koordination von Sensibilisierungs- und Schulungsmaßnahmen zum Thema Informationssicherheit.