Cybersicherheit ist zu einem entscheidenden Thema geworden. Wird sie nicht hochprofessionell gemanagt, kann ein Unternehmen zum Ziel von Hackern werden, was schwerwiegende Konsequenzen für die Finanzen und den Ruf nach sich zieht. An der Spitze der Hierarchie steht der CISO, dessen Bedeutung so stark gewachsen ist, dass er oft direkten Kontakt zur Geschäftsführung hat…
Ein Datenschutzverstoß kann ein Unternehmen Millionen kosten und sogar Auswirkungen auf die Kundentreue haben. Die Effekte können über Jahre hinweg spürbar sein. Um solchen Bedrohungen vorzubeugen, ist es für Unternehmen einer bestimmten Größe unerlässlich, einen CISO einzustellen.
Ein CISO (Chief Information Security Officer) ist ein leitender Angestellter, der mit der Cybersicherheit, also dem Schutz kritischer Daten, beauftragt ist.
Was macht ein CISO?
Ein CISO verbringt seine Woche damit, mit seinen Teams in der IT-Abteilung zu interagieren, wobei eines aus Sicherheitsspezialisten besteht.
Zu seinen Aufgaben gehören:
- Die Entwicklung und Steuerung einer Cybersicherheitsstrategie.
- Die Prävention und Erkennung von Cyberangriffen.
- Die Gestaltung von Trainingsprogrammen zur Sicherheitsbewusstseinsbildung, denn häufig ist es die Nachlässigkeit eines einfachen Mitarbeiters, die das System gefährden kann.
- Das Reporting an das Management über die implementierten Cybersicherheitsverfahren.
- Die Bewertung des notwendigen Investitionsvolumens in Cybersicherheit.
Der CISO entwickelt Empfehlungen, die auf den neuesten Erkenntnissen im Bereich der Cybersicherheit basieren – da regelmäßig neue Schwachstellen entdeckt werden – um zu beurteilen, ob die Infrastruktur aufgerüstet werden muss und um neue Sicherheitswerkzeuge angesichts neuer Bedrohungen zu planen.
Der CISO steht ebenfalls regelmäßig im Kontakt mit seiner Hierarchie. Er muss regelmäßig seine Vision in Bezug auf Cybersicherheit übermitteln und sicherstellen, dass alle seine Ziele unterstützen.
Sollte ein größeres Ereignis eintreten, beteiligt sich der CISO an der Planung und Umsetzung des Wiederherstellungsplans nach einem Angriff, der das Verteidigungssystem durchdrungen hat. Normalerweise ist er für die Wiedererlangung der Kontrolle über die Operationen verantwortlich.
Benötigen alle Unternehmen einen CISO?
Das hängt von der Größe des Unternehmens ab. Sicher ist, dass es heutzutage unerlässlich ist, mindestens eine Person für die Cybersicherheit zu haben. Eine Startup kann diese Rolle an eine externe Firma auslagern. Dennoch müssen große Unternehmen – und sogar einige mittlere – einen CISO einstellen.
Welche Fähigkeiten muss ein CISO besitzen?
Ein CISO hat in der Regel eine oder mehrere IT-Zertifizierungen im Bereich Cybersicherheit. Er muss insbesondere die Sicherheit von Cloud- und Anwendungsbereichen dieses Feldes beherrschen. Er muss auch die Risiken kennen, die mit neuen Technologien wie generativen KIs verbunden sind.
Vor allem muss der CISO mit den wichtigsten Sicherheitsstandards vertraut sein, die von großen Referenzorganisationen wie der NIST (National Institute of Standards and Technology) und der ISO (Internationale Organisation für Normung) festgelegt wurden. Zudem sind Fähigkeiten im Management, in der Kommunikation, in der Verhandlung und im Führungsbereich wünschenswert.
Was ist der Unterschied zwischen einem CIO und einem CISO?
In der Hierarchie der IT-Verantwortlichkeiten steht der CIO (Chief Information Officer) an oberster Stelle. Er definiert die Gesamtvision der IT-Strategie und überwacht die wichtigsten IT-Projekte.
Der CISO hat seinerseits eine ergänzende Aufgabe. Es liegt an ihm, sicherzustellen, dass jede Initiative des CIO den entscheidenden Cybersicherheitsanforderungen entspricht, die für das reibungslose Funktionieren des Unternehmens entscheidend sind.
Tatsächlich ist die Funktion des CISO so entscheidend geworden, dass viele große amerikanische Unternehmen, insbesondere die, die zu den Fortune 500 gehören, den CISO auf derselben Ebene wie den CIO positionieren.
Entwicklung der Rolle des CISO
Es zeigt sich, dass die Cybersicherheit zu einem entscheidenden Problem geworden ist und daher der CISO zunehmend direkt mit den oberen Führungskräften interagiert: CEO, Finanzdirektor usw. Diese wünschen informiert zu werden über potenzielle Risiken und die Strategien, die zu deren Abwehr umgesetzt werden. Aus Sicht des Managements handelt es sich nicht mehr um eine einfache IT-Angelegenheit, sondern um eine Angelegenheit, die mit dem Überleben des Unternehmens selbst zusammenhängt.
Der Verwaltungsrat verlangt nun, detailliert über die technologischen Risiken und die definierten Schutzpolitiken informiert zu werden, bis ins kleinste Detail der Gesellschaftsoperation.
