Der CISO im Porträt

Immer auf der Hut

03.06.2008
Von 


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Aufklären, ermitteln, Feuer löschen - alles möglichst unbemerkt. Der Chief Information Security Officer (CISO) - respektive IT-Sicherheitsbeauftragte - ist Prediger, Geheimagent und Notarzt in einem. Ein Beruf zwischen den Extremen.

Zwischen drei und vier Uhr morgens klingelt bei Wolfgang Reibenspies der Wecker - jeden Tag. "CISO sein heißt für mich, immer auf dem Laufenden zu sein, rund um die Uhr in Bereitschaft zu sein." Seine Motivation zieht der CISO des Energieversorgers EnBW aus dem Glück, sein Hobby einst zum Beruf gemacht zu haben. Die Lektüre des 1991 erschienenen Buches "A Short Course on Computer Viruses" von Fred Cohen, der den Begriff "Computervirus" in den Achtzigern erfunden und die Forschung in diesem Bereich über Jahre geprägt hatte, verstärkte Reibenspies' großes Interesse. Fasziniert widmete er sich privat vermehrt dem Thema IT-Sicherheit: "Irgendwann erkannte einer meiner Vorgesetzten die Wichtigkeit des Themas für das Unternehmen und begann, mich zu fördern, aber auch zu fordern", zeichnet er seinen Weg vom Energieanlagenelektroniker zum Sicherheitsbeauftragten nach.

Gewachsen sei der Bedarf durch die Deregulierung des Energiemarktes. Sie habe eine umfassende IT-Security-Strategie nötig gemacht, so Reibenspies. Über die Aufgabe des Projektleiters für neue Sicherheitskonzepte wurde er schließlich Konzernbevollmächtigter IuK-Security. Mittlerweile ist er als "Marke" innerhalb "seines" Unternehmens - wie er nachdrücklich betont - wie auch darüber hinaus unter Sicherheitsbeauftragten und CISOs bekannt. Reibenspies hält ab und an Vorträge auf Kongressen und Konferenzen und gibt sein jahrelang aufgebautes Wissen weiter.

Im Mittelpunkt seines Berufsalltags stehen für ihn auch sonst immer die Menschen. Nur mit ihnen zusammen könne IT-Security erreicht werden, so Reibenspies. Der Respekt vor den Kollegen sei eine wichtige Voraussetzung dafür, daher sind für ihn beispielsweise auch "Witze über Anwender" tabu.

Die grundsätzliche Herausforderung für den CISO ist in seinen Augen der Spagat zwischen IT-Security und unternehmerischer Effizienz. Die oberste Verantwortung für eine sichere IT müsse immer in der Geschäftsleitung verbleiben. Reibenspies fordert, dass künftig der CISO den Reifegrad der Umsetzung bewertet und dafür mit einer Richtlinienkompetenz ausgestattet wird. Nur wenn er verbindliche Entscheidungen treffen dürfe, könne das Sicherheitsbewusstsein steigen. Die Bewertung des Sicherheitsniveaus müsse sich auf die zu bewilligenden Budgets auswirken und die zuständigen Manager müssten entsprechend bezahlt werden, so Reibenspies. Nur so lasse sich die IT-Sicherheit allgemein verbessern.