CSO
Alternatives Drucklayout:
› reiner Text
Link: https://www.csoonline.com/de/a/wer-nimmt-die-it-sicherheit-in-die-hand,3671895

CIO oder CISO

Wer nimmt die IT-Sicherheit in die Hand?

Datum:12.11.2021
Autor(en):Heinrich Vaske
Kann der Chief Information Security Officer (CISO) an den CIO berichten oder muss er unabhängig von der IT-Organisation agieren können? Die Meinungen darüber gehen auseinander.

Die ISACA1, der weltweit führende Verband für IT-Revisoren, Wirtschaftsprüfer und IT-Sicherheits- sowie IT-Governance-Experten, wollte es genau wissen. Sie hat knapp 3.700 Cybersicherheits-Experten weltweit befragt. Demnach ist knapp die Hälfte (48 Prozent) der Cybersicherheits-Teams dem CISO unterstellt, jedes vierte Team ist dem CIO zugeordnet.

CISO oder CIO? Wer hat das Sagen?
Foto: NDAB Creativity - shutterstock.com

Gibt es sowohl einen CIO als auch einen CISO im Unternehmen, unterscheidet die ISACA folgende organisatorische Szenarien:

  1. In kleineren und mittleren Unternehmen ist der CISO in der Regel dem Leiter der IT-Abteilung oder einer gleichwertigen Position unterstellt. Im Zuständigkeitsbereich der IT-Organisation geht es dem Sicherheitsbeauftragten darum, Cyberbedrohungen abzuwehren und gesetzliche Auflagen rund um IT-Security und Compliance einzuhalten. In diesem Szenario kommt es laut ISACA immer mal wieder zu Interessenskonflikten, wenn die durchzusetzenden Sicherheitsanforderungen den Business- und Performance-Zielen der IT im Wege stehen. Die ISACA empfiehlt den Betrieben daher, die Aufgaben von IT und Informationssicherheit nach Möglichkeit zu trennen.

  2. Gibt es in größeren Unternehmen einen CISO, so berichtet der heute in den meisten Fällen an den CIO und stützt seine Arbeit auch auf dessen Ressourcen, also auf die Spezialisten in der IT-Abteilung. Security-Profis übernehmen bei diesem üblichen Vorgehen das Management von Sicherheitsrichtlinien, Audits und Überwachungsvorfällen, während sich die anderen um typische Aufgaben wie Infrastruktur und Systembetrieb kümmern. Das Problem ist hier, dass der CISO vom CIO abhängig ist - auch wenn es um das Budget geht. Er wird sich an den Prioritäten der IT orientieren müssen, und die sind in der Regel auf Produktivität und gute Ergebnisse ausgerichtet. Wenn kein Geld da ist, der Geschäftsbereich auf Lösungen drängt oder eventuelle Leistungseinbußen nicht akzeptabel erscheinen, wird sich der CISO hinten anstellen müssen.

  3. In einem weiteren Szenario berichtet der CISO nicht an den CIO, sondern an einen IT-fremden Senior-Manager. Manche Betriebe sind schon aus rechtlichen Gründen gehalten, so vorzugehen. Regulatorische Vorschriften verpflichten sie, ihren Sicherheitsbeauftragten an einen leitenden Angestellten berichten zu lassen. Dann ist etwa der Chief Risk Officer (CRO) verantwortlich oder der Chief Operating Officer (COO), manchmal auch eine andere Position aus dem Topmanagement. Dass CISOs in einer solchen Konstellation ausreichend Einfluss auf die IT-Abteilungen nehmen und dort die Interessen der Informationssicherheit ausreichend wahrnehmen können, ist nicht sicher. Das Durchsetzen von Richtlinien und der eigenen Sicherheitsagenda ist auf eine reibungslose abteilungsübergreifende Zusammenarbeit angewiesen.

  4. Last, but not least gibt es die Konstellation, in der ein CISO an den CIO oder den Chief Executive Officer (CEO) berichtet, dabei aber über eigene Ressourcen verfügt und selbst Provider beauftragen kann. Diese Konstellation dürfte aus Sicht der meisten CISOs ideal sein, bietet sie ihnen doch die Mittel und Befugnisse, um ihre Sicherheitsagenda umzusetzen. Doch mit der Macht wächst auch die Verantwortung, weshalb der CISO in dieser Struktur viel Zeit in die Zusammenarbeit mit den IT-Abteilungen investieren muss. Unter anderem gilt es, die unabhängigen Betreiber von Informationssicherheits-Systemen mit den Kollegen in den IT-Abteilungen zusammenzubringen. Dabei müssen die Kräfte jeden Tag aufs Neue gebündelt und auf die Straße gebracht werden.

Welches Modell Unternehmen verfolgen, hängt von ihren individuellen Voraussetzungen ab. Laut ISACA ist es wichtig, dass die CISOs selbst darauf drängen, einen Platz in der Organisationsstruktur einzunehmen, auf dem sie den größtmöglichen Einfluss haben. Geht es um das Anschaffen neuer Lösungen, das Implementieren einer sicheren Netzwerkarchitektur oder das Umsetzen von Richtlinien und Prozessen, müssen die Sicherheitschefs mit am Tisch sitzen. Wichtig dabei ist die ständige Kommunikation: Lösungen mit den besten Sicherheitsfunktionen und -fähigkeiten helfen nicht weiter, wenn sie nicht auch den Anforderungen an Infrastruktur-, System- und IT-Betriebseinheiten genügen.

[Hinweis auf Bildergalerie: Aufgaben eines CISO ] gal1

Die ISACA empfiehlt CISOs, auf die IT-Abteilungen zuzugehen, deren Anforderungen und Wünsche zu dokumentieren und diese genau so ernst zu nehmen, wie ihre eigenen Sicherheitskonzepte. Zusammen mit den IT-Organisationen sollten sie einen harmonischen Prozess anstreben, in dem jede Seite ihre Interessen deutlich machen kann.

In einem Unternehmen stehen die geschäftlichen Anforderungen über allem - eine Nachricht, die nicht jeder CISO wahr haben will. Das Managen von Informationssicherheit bedeutet immer, den bestmöglichen Kompromiss zwischen Sicherheit und Geschäft zu finden - und dabei die Gesetze und regulatorischen Vorschriften einzuhalten. Allein aus Sicherheitsgründen neue Lösungen anzuschaffen oder die Netzwerkarchitektur zu erneuern, kann immer nur der letzte Ausweg sein. Andere Lösungen, die auf vorhandenen Ressourcen basieren, sind zu priorisieren, soweit das zu verantworten ist.

Auch CISOs brauchen einen Business Case für Investitionen. Es hilft, wenn sie beispielsweise die Anschaffung einer neuen Sicherheitslösung mit einer zu erwartenden höheren betrieblichen Effizienz begründen oder das Konsolidieren und Abschalten bestehender Sicherheitssysteme in Aussicht stellen können. So kann etwa die Anschaffung einer Lösung für Endpoint Detection and Response (EDR) und Deep Packet Inspection (DPI) in Kombination mit einem agentenbasierten Antivirenmodul viele Einzelsysteme ersetzen - von der Antivirensoftware über Lösungen für Forensik und Wiederherstellung sowie zum Erkennen von Anomalien bis hin zu Incidence-Response-Management- und Control-Management-Systemen sowie Lösungen für die Netzwerkanalyse.

Für einen guten Risikomanagement-Prozess sind Formalien wichtig. CISO sollten Entscheidungen dokumentieren und eine detaillierte Risikobewertung vornehmen - gerade wenn sie mit einer Entscheidung unzufrieden sind. Sie sollten nicht vergessen, dass ihre Position der gesamten Organisation dient und es ihre wichtigste Aufgabe ist, Führungskräften die Bedrohungslage und die Sicherheitsrisiken deutlich zu machen. Sorgfalt ist höchste Pflicht dabei, ebenso ein angemessener Risikomanagement-Prozess, bevor Sicherheitslösungen gekauft, neue Richtlinien eingeführt oder organisatorische Veränderungen vorgenommen werden.

CISOs müssen versuchen, das Beste aus ihrer Position und den ihnen zur Verfügung stehenden Ressourcen zu machen. Grundlage ihres Handelns ist immer der Prozess der Risikobewertung. CISOs müssen die Cyber-Bedrohungslandschaft des Unternehmens analysieren und den Führungskräften präsentieren können. Und sie sollten technologische und organisatorische Lösungen parat haben, um die Risiken zu senken.

Ob der CIO oder ein CISO zuständig ist, entscheidet sich oft auch aufgrund der Größe eines Unternehmens, seiner Branche sowie dem Umfang der gesetzlichen Vorschriften. Diskutiert wird sie aber immer häufiger, da im Zuge des digitalen Wandels der Unternehmen die Cybersicherheit immer enger mit den Geschäftsmodellen und -bausteinen verwoben ist.

Links im Artikel:

1 https://www.isaca.de/

Bildergalerien im Artikel:

gal1 Aufgaben eines CISO
Vorbeugung von Datenverlust und Betrug
Sicherstellen, dass Mitarbeiter keine Daten versehentlich, fahrlässig oder vorsätzlich missbrauchen oder stehlen.
Foto: Lightspring - shutterstock.com
Security Operations
Unmittelbare Bedrohungen in Echtzeit analysieren und im Ernstfall sofortige Gegenmaßnahmen koordinieren.
Foto: Gorodenkoff - shutterstock.com
Cyber-Risiko und Intelligence
Stets informiert bleiben über aufkommende Sicherheitsbedrohungen. Den Vorstand dabei unterstützen, mögliche Sicherheitsrisiken aufgrund von Akquisitionen oder anderen Geschäftsentscheidungen zu verstehen.
Foto: Sergey Tarasov - shutterstock.com
Security-Architektur
Security-Hard- und Software planen, einkaufen und in Betrieb nehmen. Sicherstellen, dass IT und Netzwerk anhand der geeignetsten Security Best Practices modelliert sind.
Foto: Gorodenkoff - shutterstock.com
Identitäts- und Zugriffsmanagement (IAM)
Sicherstellen, dass nur berechtigtes Personal Zugriff auf sensible, geschützte Daten und Systeme hat.
Foto: Black Salmon - shutterstock.com
Programm-Management
Aufkommende Sicherheitsanforderungen erfüllen, indem Programme und Projekte eingeführt werden, die Risiken beseitigen. Darunter fallen beispielsweise regelmäßige System-Patches.
Foto: FERNANDO BLANCO CALZADA - shutterstock.com
Fehlersuche und Forensik
Herausfinden, was bei einem Datenleck schiefgelaufen ist, die Verantwortlichen zur Rechenschaft ziehen, wenn sie aus dem eigenen Unternehmen stammen, und Pläne entwickeln, um ähnliche Krisen in Zukunft zu verhindern.
Foto: Prath - shutterstock.com
Governance
Sicherstellen, dass alle zuvor genannten Initiativen fehlerlos laufen, ausreichend finanziert sind und die Unternehmensführung versteht, wie wichtig sie sind.
Foto: Alfa Photo - shutterstock.com

IDG Tech Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.