„Wer keine Verantwortlichkeit für IT-Sicherheit hat, muss sich nicht wundern, auch keine IT-Sicherheit zu haben.“ Linus Neumann, Sprecher des Chaos Computer Clubs, wird nicht müde, das zu betonen. Seiner Ansicht nach handeln viele Unternehmen immer noch irrational, wenn es um Cyberabwehr geht: „Es herrscht große Angst vor Angriffen, es wird aber nicht systematisch oder sogar gezielt der Schutz erhöht“, stellt der Experte fest. Was in solchen leicht verwundbaren Firmen meist fehlen dürfte? Ein sogenannter CISO.
Der Chief Information Security Officer ist der oberste Verantwortliche für IT- und Cybersicherheit in einem Unternehmen. In den USA ist dieser Posten auf der Führungsebene weit verbreitet. Hierzulande ist er bisher eher die Ausnahme. „Auch bei Unternehmen, die Angriffen zum Opfer gefallen sind, herrscht nicht selten die Idee vor, man könne nun weitermachen wie bisher, statt aus den Fehlern der Vergangenheit endlich zu lernen“, kritisiert Neumann.
CSO, CIO CISO, CTO: Was ist der Unterschied?
„Dem CISO kommt heute eine sehr große Bedeutung zu“, erklärt Michael Falk, Partner und Experte für Cybersecurity bei der Beratungsgesellschaft KPMG. „Er wägt die Chancen und Risiken im Rahmen der Digitalisierung des Unternehmens ab. Konkret bedeutet das, dass er sowohl negative Auswirkungen beim Verlust von Informationen an Dritte (unter anderem durch Industriespionage) als auch beim Ausfall von IT-Systemen reduzieren soll.“
So mancher Firmenchef ist zwar bereit, seinem obersten Systemadministrator einen Sicherheitsspezialisten zur Seite zu stellen, fühlt sich aber bei der Frage überfordert, was und wen genau er da braucht. Denn mittlerweile gibt es viele Akronyme zur Sicherheit auf der C-Ebene. Wie unterscheiden sie sich genau? CCC-Sprecher Neumann bricht die Aufgabenbereiche so herunter:
- Chief Security Officer (CSO): Sicherheit generell
- Chief Information Officer (CIO): IT generell
- Chief Information Security Officer (CISO): IT-Sicherheit
- Chief Technology Officer (CTO): Technische Entwicklung
„Der CIO bestimmt die strategische Richtung der Digitalisierung und ermöglicht digitale Transformation“, erläutert Falk. „CSO und CISO sind dagegen Funktionen des Risikomanagements – die müssen Chancen und Risiken abwägen. Deshalb ist die Rolle des CISO nicht gut mit der CIO-Aufgabe zu kombinieren.“ Eine Trennung und Spezialisierung der Aufgaben rund um IT und Sicherheit sind laut Neumann deshalb je nach Größe und Ausrichtung des Unternehmens wünschenswert. So könne der CISO als unabhängige Kontrolle zum CIO agieren. Leider passiere es jedoch häufig, „dass der CISO spät in neue Vorhaben involviert wird“, moniert der Sicherheitsexperte. „Früh ist sinnvoll, weil IT-Sicherheit das Unternehmen und seine Ziele flankieren, nicht verhindern soll.“
Ohne CISO gibt es Schwächen in der IT-Sicherheit
Damit der CISO wirksam arbeiten kann, muss er laut Neumann in der Lage sein, Sicherheitsmaßnahmen notfalls auch gegen den Widerstand von Kollegen durchzusetzen. „Der CISO gehört an den Tisch der Vorstände“, unterstreicht auch KPMG-Experte Falk. Denn der CISO bilde häufig das Bindeglied zwischen IT, Fachbereichen und Top-Management. „Insofern beherrscht er mehrere ‚Sprachen' und muss häufig komplexe Sachverhalte auf einen nachvollziehbaren und verständlichen Kern verdichten.“
Dafür benötige der CISO vor allem eines: das Vertrauen der Beteiligten. Trotzdem sind diese Sicherheitsexperten am Vorstandstisch laut Falk hierzulande immer noch eher die Ausnahme, abgesehen von einigen regulierten Bereichen. „Die Botschaften des CISOs werden deshalb oft über mehrere Ebenen in der internen Kommunikation verwässert“, kritisiert der Experte.
Wie weit oben ein CISO in der „Befehlskette“ angesiedelt ist, hält Thomas Tschersich dabei eher für zweitrangig. Er ist als Chief Security Officer (CSO) der Deutschen Telekom AG für alle Fragen der Sicherheit des Konzerns verantwortlich und wird dabei unter anderem von CISO Stefan Pütz unterstützt. „Wichtig ist, dass man die Unterstützung der Unternehmensleitung in Fragen der Sicherheit hat und nicht durch eine andere ‚Agenda' wegpriorisiert wird“, meint der Topmanager. Er betont: „Sicherheit ist ein Querschnittsthema, das sämtliche Bereiche eines Unternehmens berührt. Dementsprechend haben CISO/CSO beratende Funktion für alle Segmente und ihre Leitung und sind interdisziplinär unterwegs. Nur so kann Security by Design ohne Reibung funktionieren.“
Für Tschersich kommt es beim CISO weniger auf den Jobtitel, sondern in erster Linie auf das Aufgabenspektrum an, damit die Sicherheit gewährleistet ist.
