CIO oder CISO

Wer nimmt die IT-Sicherheit in die Hand?

Kann der Chief Information Security Officer (CISO) an den CIO berichten oder muss er unabhängig von der IT-Organisation agieren können? Die Meinungen darüber gehen auseinander.
Von 
CSO | 12. November 2021 05:30 Uhr

Die ISACA, der weltweit führende Verband für IT-Revisoren, Wirtschaftsprüfer und IT-Sicherheits- sowie IT-Governance-Experten, wollte es genau wissen. Sie hat knapp 3.700 Cybersicherheits-Experten weltweit befragt. Demnach ist knapp die Hälfte (48 Prozent) der Cybersicherheits-Teams dem CISO unterstellt, jedes vierte Team ist dem CIO zugeordnet.

CISO oder CIO? Wer hat das Sagen?
CISO oder CIO? Wer hat das Sagen?
Foto: NDAB Creativity - shutterstock.com

Gibt es sowohl einen CIO als auch einen CISO im Unternehmen, unterscheidet die ISACA folgende organisatorische Szenarien:

  1. In kleineren und mittleren Unternehmen ist der CISO in der Regel dem Leiter der IT-Abteilung oder einer gleichwertigen Position unterstellt. Im Zuständigkeitsbereich der IT-Organisation geht es dem Sicherheitsbeauftragten darum, Cyberbedrohungen abzuwehren und gesetzliche Auflagen rund um IT-Security und Compliance einzuhalten. In diesem Szenario kommt es laut ISACA immer mal wieder zu Interessenskonflikten, wenn die durchzusetzenden Sicherheitsanforderungen den Business- und Performance-Zielen der IT im Wege stehen. Die ISACA empfiehlt den Betrieben daher, die Aufgaben von IT und Informationssicherheit nach Möglichkeit zu trennen.

  2. Gibt es in größeren Unternehmen einen CISO, so berichtet der heute in den meisten Fällen an den CIO und stützt seine Arbeit auch auf dessen Ressourcen, also auf die Spezialisten in der IT-Abteilung. Security-Profis übernehmen bei diesem üblichen Vorgehen das Management von Sicherheitsrichtlinien, Audits und Überwachungsvorfällen, während sich die anderen um typische Aufgaben wie Infrastruktur und Systembetrieb kümmern. Das Problem ist hier, dass der CISO vom CIO abhängig ist - auch wenn es um das Budget geht. Er wird sich an den Prioritäten der IT orientieren müssen, und die sind in der Regel auf Produktivität und gute Ergebnisse ausgerichtet. Wenn kein Geld da ist, der Geschäftsbereich auf Lösungen drängt oder eventuelle Leistungseinbußen nicht akzeptabel erscheinen, wird sich der CISO hinten anstellen müssen.

  3. In einem weiteren Szenario berichtet der CISO nicht an den CIO, sondern an einen IT-fremden Senior-Manager. Manche Betriebe sind schon aus rechtlichen Gründen gehalten, so vorzugehen. Regulatorische Vorschriften verpflichten sie, ihren Sicherheitsbeauftragten an einen leitenden Angestellten berichten zu lassen. Dann ist etwa der Chief Risk Officer (CRO) verantwortlich oder der Chief Operating Officer (COO), manchmal auch eine andere Position aus dem Topmanagement. Dass CISOs in einer solchen Konstellation ausreichend Einfluss auf die IT-Abteilungen nehmen und dort die Interessen der Informationssicherheit ausreichend wahrnehmen können, ist nicht sicher. Das Durchsetzen von Richtlinien und der eigenen Sicherheitsagenda ist auf eine reibungslose abteilungsübergreifende Zusammenarbeit angewiesen.

  4. Last, but not least gibt es die Konstellation, in der ein CISO an den CIO oder den Chief Executive Officer (CEO) berichtet, dabei aber über eigene Ressourcen verfügt und selbst Provider beauftragen kann. Diese Konstellation dürfte aus Sicht der meisten CISOs ideal sein, bietet sie ihnen doch die Mittel und Befugnisse, um ihre Sicherheitsagenda umzusetzen. Doch mit der Macht wächst auch die Verantwortung, weshalb der CISO in dieser Struktur viel Zeit in die Zusammenarbeit mit den IT-Abteilungen investieren muss. Unter anderem gilt es, die unabhängigen Betreiber von Informationssicherheits-Systemen mit den Kollegen in den IT-Abteilungen zusammenzubringen. Dabei müssen die Kräfte jeden Tag aufs Neue gebündelt und auf die Straße gebracht werden.

Welches Modell Unternehmen verfolgen, hängt von ihren individuellen Voraussetzungen ab. Laut ISACA ist es wichtig, dass die CISOs selbst darauf drängen, einen Platz in der Organisationsstruktur einzunehmen, auf dem sie den größtmöglichen Einfluss haben. Geht es um das Anschaffen neuer Lösungen, das Implementieren einer sicheren Netzwerkarchitektur oder das Umsetzen von Richtlinien und Prozessen, müssen die Sicherheitschefs mit am Tisch sitzen. Wichtig dabei ist die ständige Kommunikation: Lösungen mit den besten Sicherheitsfunktionen und -fähigkeiten helfen nicht weiter, wenn sie nicht auch den Anforderungen an Infrastruktur-, System- und IT-Betriebseinheiten genügen.

Die ISACA empfiehlt CISOs, auf die IT-Abteilungen zuzugehen, deren Anforderungen und Wünsche zu dokumentieren und diese genau so ernst zu nehmen, wie ihre eigenen Sicherheitskonzepte. Zusammen mit den IT-Organisationen sollten sie einen harmonischen Prozess anstreben, in dem jede Seite ihre Interessen deutlich machen kann.

In einem Unternehmen stehen die geschäftlichen Anforderungen über allem - eine Nachricht, die nicht jeder CISO wahr haben will. Das Managen von Informationssicherheit bedeutet immer, den bestmöglichen Kompromiss zwischen Sicherheit und Geschäft zu finden - und dabei die Gesetze und regulatorischen Vorschriften einzuhalten. Allein aus Sicherheitsgründen neue Lösungen anzuschaffen oder die Netzwerkarchitektur zu erneuern, kann immer nur der letzte Ausweg sein. Andere Lösungen, die auf vorhandenen Ressourcen basieren, sind zu priorisieren, soweit das zu verantworten ist.

Auch CISOs brauchen einen Business Case für Investitionen. Es hilft, wenn sie beispielsweise die Anschaffung einer neuen Sicherheitslösung mit einer zu erwartenden höheren betrieblichen Effizienz begründen oder das Konsolidieren und Abschalten bestehender Sicherheitssysteme in Aussicht stellen können. So kann etwa die Anschaffung einer Lösung für Endpoint Detection and Response (EDR) und Deep Packet Inspection (DPI) in Kombination mit einem agentenbasierten Antivirenmodul viele Einzelsysteme ersetzen - von der Antivirensoftware über Lösungen für Forensik und Wiederherstellung sowie zum Erkennen von Anomalien bis hin zu Incidence-Response-Management- und Control-Management-Systemen sowie Lösungen für die Netzwerkanalyse.

Für einen guten Risikomanagement-Prozess sind Formalien wichtig. CISO sollten Entscheidungen dokumentieren und eine detaillierte Risikobewertung vornehmen - gerade wenn sie mit einer Entscheidung unzufrieden sind. Sie sollten nicht vergessen, dass ihre Position der gesamten Organisation dient und es ihre wichtigste Aufgabe ist, Führungskräften die Bedrohungslage und die Sicherheitsrisiken deutlich zu machen. Sorgfalt ist höchste Pflicht dabei, ebenso ein angemessener Risikomanagement-Prozess, bevor Sicherheitslösungen gekauft, neue Richtlinien eingeführt oder organisatorische Veränderungen vorgenommen werden.

CISOs müssen versuchen, das Beste aus ihrer Position und den ihnen zur Verfügung stehenden Ressourcen zu machen. Grundlage ihres Handelns ist immer der Prozess der Risikobewertung. CISOs müssen die Cyber-Bedrohungslandschaft des Unternehmens analysieren und den Führungskräften präsentieren können. Und sie sollten technologische und organisatorische Lösungen parat haben, um die Risiken zu senken.

Ob der CIO oder ein CISO zuständig ist, entscheidet sich oft auch aufgrund der Größe eines Unternehmens, seiner Branche sowie dem Umfang der gesetzlichen Vorschriften. Diskutiert wird sie aber immer häufiger, da im Zuge des digitalen Wandels der Unternehmen die Cybersicherheit immer enger mit den Geschäftsmodellen und -bausteinen verwoben ist.

Heinrich Vaske ist Editorial Director von COMPUTERWOCHE, CIO und CSO sowie Chefredakteur der europäischen B2B-Marken von IDG. Er kümmert sich um die inhaltliche Ausrichtung der Medienmarken - im Web und in den Print-Titeln.