24. Juli 2018 Thomas Macaulay & Laurie Clarke* und Krokoszinski

Braucht Ihr Unternehmen einen CISO?

Wir geben einen Einblick in die Aufgaben des Chief Information Security Officers und verraten Ihnen, wann es an der Zeit wäre, einen einzustellen. [...]

Ein CISO übernimmt die Vermittlerrolle zwischen Führungsebene und Sicherheitsabteilung (c) Picjumbo.com

Während sich Cyberbedrohungen in der heutigen Zeit immer mehr weiterentwickeln und sich ihre Häufigkeit auf beunruhigende Weise vervielfacht hat, ist die Position des Chief Information Security Officers (CISOs) zu einem nicht zu unterschätzenden Bestandteil der Geschäftswelt geworden. Unternehmen, die täglich mit sensiblen Daten umgehen, laufen schnell Gefahr, peinliche Datenlecks zu riskieren, die nicht nur die Sicherheit und das Vertrauen ihrer Kunden gefährden, sondern auch finanzielle wie rufschädigende Konsequenzen mit sich bringen können.

Ein erfahrener Sicherheitsexperte, der sich der Cybersicherheit seines Unternehmens verschrieben hat, kann gegen diese Form der Angriffe die notwendigen Maßnahmen treffen. Es ist daher kaum verwunderlich, dass immer mehr Unternehmen einen CISO mit ins Boot zu holen.

Im Jahr 2017 haben das Startup-Unternehmen Unicorn Lyft, der Fortune 500 Händler Staples, Delta Airlines und Regierungsbehörden aus Großbritannien, New South Wales und Australien erstmals einen CISO in ihre Reihen aufgenommen, nachdem sie kurz zuvor ein solches Datenleck erlitten hatten. Die CIO 100 vom letzten Jahr zufolge hatten zudem 70% aller Organisationen auf der Liste einen Sicherheitsdirektor, der CIO-Funktionen übernahm.

Damnach ist nicht nur die Zahl der CISO signifikant angestiegen, auch ihre Rolle hat sich weiterentwickelt und verbindet nun ein großes Geschäftsbewusstsein mit technischen Fähigkeiten auf Basis grundlegender Sicherheitsexpertise. Heute beraten die CISOs die Führungskräfte hinsichtlich der möglichen Sicherheitsrisiken und -anforderungen des jeweiligen Unternehmens und legen Strategien zur Minimierung dieser Risiken fest.

„Sicherheit ist nicht ausschließlich technologieorientiert, ebenso wenig wie die Rolle des CISOs“, sagt Mieke Kooij, Sicherheitsschefin von Trainline im Gespräch mit CIO UK. „Im Bereich der Sicherheit geht es darum, eine Basis zu schaffen, auf der Informationen und Systeme geschützt werden können, indem der Umgang mit ihnen verändert wird. Wir nutzen Technologie und Automatisierung überall dort, wo es möglich ist. Letztendlich geht es aber darum, das Vertrauen der Kunden zu gewinnen und das eigene Verhalten zu anzupassen.“

Eine vom Ponemon Institute durchgeführte Studie ergab, dass die Ernennung eines CISOs die Kosten eines Sicherheitsverstoßes um durchschnittlich 7 Dollar (6 Euro) pro Datensatz reduzieren kann. In Anbetracht dieses Mehrwerts steigen die Gehälter für CISOs laut Harvey Nash-Direktor Robert Grimsey zurzeit „über alle Maßen inflationär“.

Die Zahl der Unternehmen, die glauben, keinen CISO zu benötigen, ist mindestens ebenso stark rückläufig.

CISOs sind wichtiger denn je

Das Marktforschungsunternehmen Gartner prognostizierte noch im letzten Jahr, dass die globalen Ausgaben für Sicherheit 2018 96 Milliarden Dollar (72 Milliarden Euro) weit übersteigen werden – was einen Anstieg von über 8% im Vergleich zum Vorjahr bedeutet. Diejenigen Unternehmen, die den größten Nutzen aus derlei Ausgaben ziehen, beweisen damit ein großes Verständnis für Datenschutz und Risikomanagement. Die Einstellung eines CISOs kann auf diese Weise dazu beitragen, das Sicherheitsbudget eines Unternehmens effektiv zu investieren.

„Alle kürzlichen, prominenten Cyberangriffsvorfälle konnten und sollten mit relativ kostengünstigen Sicherheitslösungen verhindert werden“, so Brian Lord, ehemaliger stellvertretender Direktor des GCHQ für Intelligence und Cyber Operations, im Gespräch mit CIO UK. „Der Grund dafür, dass es zunehmend zu Sicherheitsverstößen kommt, ist, dass Unternehmen sich nicht angemessen dagegen schützen, weil sie von Cyber-Sicherheitsanbietern verwirren lassen.“

Die zunehmenden Bedenken der Öffentlichkeit in Bezug auf die Privatsphäre und die Einführung strengerer Datenschutzvorschriften wie der DSGVO haben ebenfalls dafür gesorgt, dass die Budgets für Cybersicherheit ansteigen.

„Wenn die Datensicherheit eines Unternehmens verletzt wird, ist der Schmerz besonders in der Vorstandsetage spürbar, da diese mit den hohen Strafen, Reputationsschäden oder sogar Gerichtsverfahren direkt konfrontiert wird“, so Bharat Mistry, Sicherheitsstratege bei Trend Micro, gegenüber CIO UK. „Änderungen wie diese lassen die meisten Führungskräfte beunruhigt zurück. Natürlich wollen sie dann die Gewissheit, dass alle Systeme vollkommen sicher und den Vorschriften gemäß konform sind. Erhebungen zufolge werden daher immer mehr CISOs eingestellt.“

Wenn der CISO eingreift

CISOs können zwar keine Sicherheit garantieren, sie können sie jedoch maßgeblich verbessern. Zu den Maßnahmen, die die Auswirkungen eines Sicherheitsverstoßes mindern können, gehört die Entwicklung eines angemessenen Reaktionsplans auf Grundlage der Expertise, die ein CISO in Bezug auf Sicherheitssysteme vorweisen kann.

Sichere Anzeichen dafür, dass ein Unternehmen einen CISO braucht, sind Führungsdefizite im Bereich IT, Sicherheitsverletzungen und eine schlechte Koordination zwischen Sicherheit und Geschäftsbedürfnissen.

Die Ernennung eines CISO kann Ihnen im ersten Moment unnötig erscheinen, wenn Sie von der Sicherheit Ihrer Systeme überzeugt sind – doch abzuwarten, bis es tatsächlich zu einer Sicherheitsverletzung kommt, kann wiederum katastrophale Folgen haben. Es ist durchaus sinnvoll, vorbeugend (und nicht reaktiv) mit Sicherheitsfragen aller Art umzugehen. Der CISO ist dafür zuständig, eine Sicherheitsstrategie für Ihr Unternehmen zu diktieren. Diese Aufgabe könnte ihm erschwert werden, wenn er von Anfang an dazu gezwungen ist, aktiv Schadensbegrenzung zu betreiben.

Nicht jedes Unternehmen ist bereit, sich zur Einstellung eines CISO zu verpflichten. Kleine bis mittlere Unternehmen (KMU) haben beispielsweise oft einfachere Anforderungen an die Betriebssicherheit und daher noch keinen dezidierten Sicherheitsbeauftragten, der dazu bereit wäre, Sicherheitsstandards festzulegen und wichtige organisatorische Änderungen vorzunehmen.

Ein CISO sollte Ihr vollstes Vertrauen in seine Fähigkeit genießen und die Freiheit haben, unabhängig zu planen und sofort auf jeden Vorfall reagieren zu können. Er braucht einen direkten Zugang zum Vorstand; vielleicht sogar einen Sitzplatz neben anderen C-Level-Führungskräften.

Der CISO ist dafür verantwortlich, eine Brücke zwischen den Führungskräften und den Ingenieuren zu schlagen und zu verstehen, wie Geschäftsstrategien und IT-Ziele miteinander interagieren. Er muss partnerschaftlich mit dem CIO und nicht als Untergebener arbeiten, um sicherzustellen, dass die Prioritäten des Unternehmens nicht den anderen untergeordnet werden.

In einer kürzlich von der ESG und der Information Systems Security Association (ISSA) unter Cyber-Sicherheitsexperten durchgeführten Umfrage gaben 36% der Befragten an, dass der häufigste Grund für einen Wechsel des CISO darin bestehe, dass die Unternehmenskultur keinen großen Wert auf Cybersicherheit lege. Weitere 34% gaben an, dass CISOs am ehesten kündigen, wenn sie auf Führungsebene nicht aktiv mitwirken können.

„Heutzutage arbeiten viele große Unternehmen auf organisatorischer, operativer und technologischer Ebene in Silos“, so Elena Kvochko, CIO für Sicherheitsfunktionen der Barclays Group. „Um Sicherheitslücken zu vermindern oder zu beheben, Angriffs- und Verteidigungsmuster zu erkennen, betriebliche Lücken zu schließen, Zusammenarbeit und Effizienz zu verbessern und in Echtzeit reagieren zu können, müssen CISOs eine integrierte End-to-End-Reaktion ermöglichen.“

Unterschiedliche Ansätze zur Cybersicherheit

Die überwiegende Mehrheit der Unternehmen wird es vorziehen, die Gesamtverantwortung für die Sicherheit einer einzigen formellen Rolle zuzuordnen; doch diejenigen mit kleineren Risiken und Budgets können sich auch dafür entscheiden, sich auf bereits bestehende Mitarbeiter und Positionen zu verlassen, um die Anforderungen an ihre Sicherheit zu erfüllen.

Die Einstellung eines CISO erfordert eine Investition von Zeit und Geld sowie unternehmensweites Engagement, um die Rolle zum Erfolg zu führen. In vielen Fällen kann der CISO eine Veränderung in der Unternehmenskultur rund um Cybersecurity bewirken. Richard Orme, CTO der Photobox Group, erklärte CIO UK, dass Sicherheit, wenn das Unternehmen einen neuen CISO einstelle, oft mit dem Tick-Box-Training nach Entwicklung eines neuen Service oder eines Produkts zu vergleichen sei.

„Also haben wir einen Typen namens Dinis Cruz eingestellt, der jetzt unser CISO und ein aktives Mitglied der Sicherheitscommunity ist“, sagte Orme. „Er organisiert viele Meetups und gilt als Vordenker in diesem Bereich. Wir haben ihm ein leeres Stück Papier gegeben und gesagt: ‚Wenn Sie jetzt einen Blick auf alles werfen, was wir tun, in welche Richtung sollten wir unsere Sicherheit nochmals überdenken?‘

„Es geht nicht so sehr darum, welche Tools wir kaufen könnten, um unsere Sicherheit zu verbessern. Wie können wir uns als Unternehmen verbessern? Wie verändern wir unsere Unternehmenskultur? Hier ist unser CISO sehr stark. Er setzt sich mit den Entwicklerteams hin und unterrichtet sie, schafft Herausforderungen für sie. Verpflichtet sie auf einen Codex. Er spricht wirklich ihre Sprache und sie reagieren wiederum sehr positiv darauf. Statt Cybersicherheit als etwas zu sehen, auf das sie gezwungenermaßen achten müssen, sehen sie sie jetzt als ein interessantes Problem, das es zu lösen gilt.“

Andere Unternehmen verfügen möglicherweise nicht über die Struktur, das Budget oder die Reife für einen derart erfahrenen Sicherheitsspezialisten. Eine erschwingliche, aber mangelhafte Alternative wäre es, die Aufgaben des CISO in die Rolle des CIO mitaufzunehmen.

Eine bessere Möglichkeit könnte die Einstellung eines virtuellen CISO sein, der bei Bedarf vor Ort und aus der Ferne arbeiten kann, die Aufgaben interimsweise übernimmt oder einen weniger erfahrenen Sicherheitschef beaufsichtigt.

Ein sicherer erster Schritt für Unternehmen, die einen CISO mit ins Boot holen möchten, könnte darin bestehen, einen Director of Security mit diesen Aufgaben zu betrauen, um seine Führungsqualitäten im Sicherheitsbereich zu erproben und ihn anschließend in die Position des CISO zu befördern.

Manche Unternehmen könnten sich wegen der hohen Kosten, des kleinen Talentpools, eines mangelnden Verständnisses für die Rolle oder Bedenken, wie diese in die Unternehmenshierarchie passt, davon abschrecken lassen, einen CISO zu engagieren – doch für große Unternehmen werden die Vorteile die Risiken in fast jedem Fall überwiegen.

Sicherheit ist zu wichtig, um keinen geeigneten Spezialisten einzustellen, und die aufkommenden Bedrohungen sind zu komplex, um die Verantwortung in die Hände von unterqualifizierten Teilzeitkräften zu geben.

*Thomas Macaulay und Laurie Clarke sind Redakteure bei CIO.com


Mehr Artikel

News

KI in der Softwareentwicklung

4. Oktober 2024

Der “KI Trend Report 2025” von Objectbay liefert Einblicke, wie generative KI entlang des Software Engineering Lifecycle eingesetzt wird. Dafür hat das Linzer Softwareentwicklungs-Unternehmen 9 KI-Experten zu ihrer Praxiserfahrung befragt und gibt Einblicke, wie der Einsatz von KI die IT-Branche verändert wird. […]

News

F5-Studie enthüllt Lücken im Schutz von APIs

3. Oktober 2024

APIs werden immer mehr zum Rückgrat der digitalen Transformation und verbinden wichtige Dienste und Anwendungen in Unternehmen. Gerade im Zusammenhang mit kommenden KI-basierten Bedrohungen zeigt sich jedoch, dass viele Programmierschnittstellen nur unzureichend geschützt sind. […]

News

VINCI Energies übernimmt Strong-IT

3. Oktober 2024

VINCI Energies übernimmt Strong-IT in Innsbruck und erweitert damit das Leistungsspektrum seiner ICT-Marke Axians. Strong-IT schützt seit mehr als zehn Jahren Unternehmen gegen digitale Bedrohungen, während Axians umfassende IT-Services einbringt. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*