Über Billigprodukte und Treppenwitze

"Hype um Blockchain stößt mir sauer auf"

28.02.2018
Von 


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.

Noch viel kritischer ist die organisatorische Position des CSO oder CISO zu sehen. Oftmals berichtet dieser tatsächlich an den CIO - den er aber eigentlich kontrollieren und beaufsichtigen sollte. Aus meiner Sicht muss zunächst die Relevanz der Rolle des CIO durch seine Positionierung im - zumindest - erweiterten Vorstand angepasst werden.

Der CISO oder CSO sollte dann - quasi am CIO vorbei - an ein anderes Mitglied des Vorstandes berichten; etwa den CFO. Nur so kann sichergestellt werden, das sowohl die Belange der IT in ihrer Funktion als Treiber der Digitalisierung als auch die Rolle des CISO in seiner Funktion als Wächter der Sicherheit unter Einhaltung des Datenschutzes angemessen repräsentiert werden. Mit einer solchen Konstellation ergibt sich das Verständnis für die IT Sicherheit in den Vorstandsfunktionen nahezu von alleine. Oder sagen wir es anders: Informationssicherheit ist ganz klar ein Vorstandsthema und muss dort auch regelmäßig in den Bordmeetings auf der Agenda erscheinen.

Einige Manager "dem Lauf der Zeit abgewandt"

Es werden auf zahlreichen Security-Fachkonferenzen, in Wirtschaftsforen und auch im politischen Umfeld gerne viele "Sonnntagsreden" geschwungen, aber wirklich nennenswert mehr investieren wollen die wenigsten. Und wenn, dann nur, wenn sie es müssen - sei es durch neue Gesetze, Compliance-Vorgaben etc.. Warum tun sich viele Unternehmen immer noch schwer, die Wichtigkeit des Themas Security zu begreifen, insbesondere im SMB-Umfeld?

Sebastian Rohr: Natürlich gilt der Spruch "Tue Gutes und rede darüber". Das führt auch dazu, dass solche Unternehmer, beziehungsweise Manager, zu Events eingeladen werden, die besonders prestigeträchtige Projekte umsetzen. Ihre Aussage zur Verpflichtung durch Gesetze und Vorgaben muss ich leider teilen: Ohne die Androhung einer Peitsche scheinen die wenigsten Verantwortlichen in den Unternehmen von sich aus etwas für eine Verbesserung der Lage der Informationssicherheit tun zu wollen.

Meine bescheidene Interpretation hierzu ist, dass die wenigsten dieser Entscheider bislang begriffen haben, in welcher besonderen Abhängigkeit von der IT sie sich bereits befinden und welche Auswirkung ein kritischer Schlag in die IT für sie haben könnte. Die Bestrebungen der Bundesregierung zu KRITIS haben mir jedoch gezeigt, dass mit entsprechender Motivation auch eher träge Branchen und mit wenig Budget gesegnete öffentliche Institutionen wie Krankenhäuser dazu bewegt werden können, über ihre IT-Strukturen deren Schutz und die nachhaltige Sicherung der IT-Verfügbarkeit nachzudenken.

Für alle anderen, dem Lauf der Zeit abgewandten Managern im Mittelstand, kann ich nur das Zitat von Michail Gorbatschow bereitstellen: "Wer zu spät kommt, den bestraft das Leben." Anders gesagt: Wer jetzt die Zeichen der auf digitale Transformation stehenden Zeit ignoriert, wird mit der Zeit obsolet werden und verschwinden.