Was macht eigentlich ein Chief Security Officer?

Der Chief Security Officer (CSO) ist jener Manager, die für die gesamte Sicherheit der Organisation – sowohl physisch als auch digital –verantwortlich ist und einen Überblick über das Betriebsrisiko des Unternehmens hat. Seine Rolle kann aber auch ganz anders definiert sein. [...]

40 Prozent der CSOs und CISOs berichten an den CEO des Unternehmens und 27 Prozent direkt an den Vorstand.(c) jackfrog - Fotolia
40 Prozent der CSOs und CISOs berichten an den CEO des Unternehmens und 27 Prozent direkt an den Vorstand.(c) jackfrog - Fotolia

Ein CSO ist ein Abteilungsleiter, der für die Informationssicherheit oder Unternehmenssicherheit oder beides verantwortlich ist. Das ist die einfachste Antwort auf die Frage „Was ist ein CSO?“. Natürlich wird diese simple Antwort der Komplexität eines Jobs wie des CSO nicht gerecht, und nicht jeder mit einem CSO-Titel hat die gleichen Verantwortlichkeiten.

Der Titel Chief Security Officer (CSO) wurde zunächst hauptsächlich innerhalb der Informationstechnologie-Welt verwendet, um den Verantwortlichen für die ITSicherheit zu bestimmen. In vielen Unternehmen wird der Begriff CSO immer noch auf diese Art genutzt. Chief Information Security Officer (CISO) wäre vielleicht die genauere Bezeichnung dieser Position – und tatsächlich wird der CISO-Titel immer häufiger für Führungskräfte mit einem exklusiven Fokus auf Informationssicherheit verwendet.

Der CSO-Titel kommt auch in einigen Unternehmen zum Einsatz, um die Funktion des Corporate Security-Leiters zu definieren, die die physische Sicherheit von Mitarbeitern, Einrichtungen und Anlagen beinhaltet. Häufiger hat diese Person einen Titel wie „Vice President“ oder „Director of Corporate Security“. In der Vergangenheit wurden die Sicherheits– und Informationssicherheit von Unternehmen durch separate Abteilungen gehandhabt – manche Grabenkämpfe inklusive.

CSO bedeutet zunehmend, was der Titel nahelegt: Der CSO ist die Führungskraft, die für die gesamte physische und digitale Sicherheit der Organisation verantwortlich ist. CSOs sind häufig auch in verwandten Bereichen wie Business Continuity Planning, Loss Prevention, Fraud Prevention und Privacy vertreten. Natürlich gibt es viele gute Leute mit dem offiziellen CSO-Titel, die nicht die Last beider Bereiche tragen. Wenn der CEO jedoch eine Frage zum Thema Finanzen hat, erwartet er, dass der Finanzvorstand die Frage beantworten kann. Wenn der Chief Security Officer Sicherheitsfragen mit „Das ist nicht mein Problem, das betrifft die Jungs von der anderen Abteilung“ beantwortet, ist die Botschaft an den CEO, dass es keinen Chef gibt, der den Gesamtüberblick über das Unternehmensrisiko hat.

Welche Aufgaben erfüllt ein CSO?

Amanda Fennell, CSO des eDiscovery-Spezialisten Relativity, beschreibt das Jobprofil eines CSO folgendermaßen: „Der moderne CSO ist ein Wegbereiter und ein Problemlöser für das Unternehmen – und das in enger Zusammenarbeit mit verschiedenen IT– und Technikteams, um eine vielschichtige Strategie zu konzipieren, zu entwickeln und im sich schnell ändernden Rahmen von Compliance und Governance umzusetzen.“

Und was macht ein CSO im Tagesgeschäft? „Ich bin hauptsächlich dafür verantwortlich, die Unternehmensvision, Strategie und Programme zum Schutz von Menschen, Informationsressourcen und Technologien zu etablieren“, sagt Shawn Burke, CSO bei Sungard AS. „Letztendlich bin ich dafür verantwortlich, dass die Sicherheit einen Unternehmenswert darstellt.“

Wo sich beide Definitionen überschneiden, ist, dass der CSO in erster Linie ein Bewusstsein dafür schaffen muss, dass Sicherheit ein strategisches Asset und Teil der Unternehmensmission ist – nicht irgendein Anhängsel oder Teil eines Schadensminimierungsszenarios. Paul Wallenberg, Teamleiter des Technology Recruiting bei LaSalle Network, hat dafür gesorgt, dass CSOs für Unternehmen arbeiten, die zuvor noch nie jemanden in dieser Rolle hatten. Damit wurde aus der Sicht der Unternehmensleitung klar, welchen Zweck ein Chief Security Officers erfüllt. „Es gibt genügend Fälle von Angriffen und Datenschutzverletzungen, um zu wissen, dass Unternehmen Sicherheit heute ernster nehmen müssen denn je“, sagt er. „Ein proaktiver Ansatz besteht darin, dass Unternehmen darüber nachdenken, welche Daten sie besitzen und welche Bedrohung die Kompromittierung dieser Daten für ihre Kunden und ihr Geschäft darstellen könnte. Was würde passieren, wenn sie kompromittiert werden würden ohne einen Plan für Gegenmaßnahmen zu besitzen? Betrachtet man Sicherheit aus Sicht der Vorstands- oder Führungsebene fällt die Entscheidung für die Anstellung eines CSO leicht.“

Wie wird man zum Chief Security Officer?

Paul Wallenberg von LaSalle Network beschreibt die praktischen Qualifikationen des Chief Security Officers, nach denen seine Kunden primär suchen. „Das erste, worauf Unternehmen schauen sollten, ist eine nachgewiesene Erfolgsbilanz mit einem breiten Spektrum an technischen und operativen Kompetenzen im Sicherheitsbereich“, sagt er. „CSOs können aus dem technischen Bereich kommen, wo sie mit modernen Sicherheits-Tools und -Systemen wie SIEM, Identitätsmanagement oder Threat Intelligence gearbeitet haben. CSO-Kandidaten können auch einen eher operativen Hintergrund haben, wo sie Sicherheitsexperten in den angesprochenen Bereichen oder Spezialisten für Governance, Risiko und Compliance geleitet haben. In bestimmten Branchen besteht zudem ein großes Interesse an CSOs mit White-Hat-Hacking- oder Ethical-Hacking-Erfahrung.“

Im jedem Fall wird viel Erfahrung vorausgesetzt. Wallenberg sagt, dass CSO-Kandidaten beweisen müssen, dass sie sich in einer Sicherheitsabteilung behauptet haben oder innerhalb größerer Organisationen in Sicherheitsprogrammen und -initiativen involviert waren, die sich auf Anwendungen, Infrastruktur und externe Bedrohungen auswirkt haben.“ Ein weiteres Plus: „Industriekontakte bei Lieferanten und Verbindungen zur Intelligence-Community und Wissenschaft.“

CSOs müssen jedenfalls Qualifikationen vorweisen können, die über spezifische technische Kompetenzen und Arbeitsabläufe hinausgehen. „CSOs müssen verstehen, wie komplexe taktische Ziele zur strategischen Durchführung der ganzheitlichen Sicherung einer Organisation beitragen können, während gleichzeitig die Privatsphäre und das Vertrauen der internen Interessengruppen respektiert werden müssen“, sagt Fennell von Relativity. „Während ein technischer Hintergrund eine enorme Hilfe für fundierte Entscheidungen sein kann, ist die Leidenschaft, Herausforderungen zu meistern, die mit der Informationssicherheit einhergehen, von entscheidender Bedeutung.“

„Vor kurzem haben wir einen Shift unter den Sicherheitsverantwortlichen gesehen, weg von den technischen Details, hin zum Business“, ergänzt Shawn Burke von Sungard AS. „Ein CSO muss immer technisch kompetent sein, er muss aber auch in der Lage sein, Aspekte seiner Arbeit, wie zum Beispiel die Risikomanagementmethodik, den Stakeholdern klar zu erklären. Im Wesentlichen muss der CSO ein vertrauenswürdiger Berater für die Führungsebene sein. Das ist nur möglich, wenn der CSO gute zwischenmenschliche und Führungsfähigkeiten besitzt.“

Viele Unternehmen haben immer noch keine CSO. Dies kann ein Weg für Mitarbeiter sein, selbst in die Führungsebene vorzudringen. „In Unternehmen, in denen die Sicherheit in der IT angesiedelt ist und nicht in einer eigenen Abteilung, wäre jener IT-Mitarbeiter der optimale Kandidat für die CSO-Rolle, der das tiefste Verständnis für die Sicherheit in der Gesamtorganisation hat“, sagt Wallenberg. „Kommen die Kandidaten von auswärts, sind es in der Regel Personen, die auf der Ebene eines Sicherheitsarchitekten oder auf der Ebene des Direktors oder des Vice President gearbeitet haben.“

Wem berichtet der CSO?

Laut der „Global State of Information Security“-Umfrage von 2018 berichten 40 Prozent der CSOs und CISOs an den CEO des Unternehmens und 27 Prozent direkt an den Vorstand. Nur 24 Prozent sind unter dem CIO angesiedelt. Niall Browne von Domo sieht Vor- und Nachteile bei beiden Optionen. „Wenn man den CSO unter den CIO stellt, sorgt dies für eine starke Ausrichtung auf das technische Bereitstellungsmodell“, sagt er. „Aber das kann zu Problemen bei der Aufteilung der Aufgaben führen.“ Um das Problem zu veranschaulichen, skizziert er ein Szenario, in dem eine Anwendung ausgerollt wird, die eine Sicherheitslücke aufweist. „Der CIO kann der pünktlichen Lieferung der Anwendung verpflichtet sein, während der CSO auf die Reduzierung von Sicherheitslücken fokussiert ist. In diesem Szenario ist es fraglich, welche Entscheidung getroffen wird: Das Veröffentlichungsdatum verschieben oder das Risiko eingehen und den Patch zu einem späteren Zeitpunkt einspielen?“

Browne setzt fort: „Wenn der CSO direkt an den CEO berichtet, liegt der Hauptvorteil darin, dass der CSO mehr Einfluss hat, um Veränderungen voranzutreiben. Auf der anderen Seite hat der CEO aufgrund seiner vielfältigen Verantwortungsbereiche nur sehr begrenzte Zeit für den CSO.“

„Es gibt zwar unterschiedliche Meinungen zu diesem Thema und eine Vielzahl von Variablen, die sich auf die Wahl des richtigen Weges auswirken können, aber ich persönlich hatte den größten Erfolg, als ich direkt mit dem CEO zusammenarbeiten konnte“, erzählt Fennell von Relativity. „Diese Kooperation ermöglicht es, Barrieren effektiv zu beseitigen und sich an der Strategie des gesamten Unternehmens auszurichten.“

„Ganz gleich, an wen der CSO letztlich berichtet, sagt Wallenberg von LaSalle Network, „das Führungsteam sollte komplett in den Entscheidungsprozess in Sachen CSO-Wahl einbezogen werden. Die Leute, mit denen der CSO am meisten interagiert, sind der COO und CIO, also sollten diese bei den Interviews und der Auswahl dabei sein.“

Beispiel einer CSO-Jobbeschreibung

Der CSO überwacht und koordiniert die Sicherheitsmaßnahmen im gesamten Unternehmen einschließlich Informationstechnologie, Personalwesen, Kommunikation, Recht, Gebäudemanagement und andere Bereiche. Der CSO berichtet an den Chief Information Security Officer und den Direktor für allgemeine Unternehmenssicherheit.

Verantwortlichkeiten:

  • Leitung operativer Risikomanagement-Aktivitäten, um den Wert des Unternehmens und der Marke zu steigern.
  • Überwachung eines Netzwerks von Sicherheitsverantwortlichen und -anbietern, die die Vermögenswerte, das geistige Eigentum und die IT-Systeme des Unternehmens sowie die physische Sicherheit von Mitarbeitern und Besuchern schützt.
  • Identifizierung von schützenswerten Zielen und Objekten, die mit der Unternehmensstrategie übereinstimmen.
  • Entwicklung und Implementierung umfassender Sicherheitsrichtlinien, Standards, Richtlinien und Verfahren, um die kontinuierliche Aufrechterhaltung der Sicherheit zu gewährleisten. Zu den Aufgaben des physischen Schutzes gehören der Schutz von Vermögenswerten, Prävention von Gewalt am Arbeitsplatz, Zugangskontrollsysteme, Videoüberwachung und mehr. Zu den Aufgaben des Informationsschutzes gehören die Netzwerksicherheitsarchitektur, Richtlinien für den Netzzugang und die Überwachung, Schulung und Sensibilisierung der Mitarbeiter und mehr.
  • Zusammenarbeit mit anderen Führungskräften, um Sicherheitsinitiativen und -Ausgaben basierend auf einem angemessenen Risikomanagement und / oder eines angemessenen Finanzplans zu priorisieren.
  • Pflege der Beziehung zu lokalen und staatlichen Strafverfolgungsbehörden und anderen damit verbundenen Behörden.
  • Überwachung von Incident Response Planning-Maßnahmen sowie Untersuchung von Sicherheitsverletzungen und Unterstützung bei disziplinarischen und rechtlichen Angelegenheiten, die mit solchen Verstößen verbunden sind.
  • Zusammenarbeit mit externen Beratern für unabhängige Security-Audits.

Qualifikationen:

  • Gesucht wird eine intelligente, redegewandte Führungspersönlichkeit mit Überzeugungskraft, die als effektives Mitglied der Geschäftsleitung fungieren kann und in der Lage ist, sicherheitsrelevante Konzepte einem breiten Spektrum an technischen und nichttechnischen Mitarbeitern zu vermitteln.
  • Er oder sie sollte Erfahrung mit Business-Continuity-Planung, Auditing und Risikomanagement sowie Vertrags- und Lieferantenverhandlungen haben.
  • Er oder sie muss über fundierte Kenntnisse über die einschlägigen Gesetze und über die Praxis der Strafverfolgungsbehörden verfügen.
  • Es oder sie soll ein solides Verständnis für Informationstechnologie und Informationssicherheit mitbringen.

Was verdient ein Chief Security Officer?

Gehälter für C-Level-Führungskräfte können je nach Branche, Unternehmen und Erfahrung und Amtszeit des Kandidaten sehr unterschiedlich sein. In den USA sind folgende Gehälter üblich:

Laut Payscale.com beträgt das Durchschnittsgehalt für einen CSO 131.314 US-Dollar, wobei alles zwischen 68.208 USD und 201.789 USD möglich ist. Hinzu kommen oft Boni und Gewinnbeteiligungen, die bis zu 80.000 USD ausmachen können.

Laut Salary.com beträgt das durchschnittliche Gehalt für einen CISO 215.739 USD bei einer Range zwischen 188.510 und 249.063 USD.

CSO vs. CISO

Um zu einer brauchbaren Stellenbeschreibung zu kommen, sollte man sich Zeit nehmen, um den Unterschied zwischen einem CSO und einem CISO zu klären. Leider gibt es dafür kein Rezept. Doch wenn es jemand kann, dann Niall Browne, CISO von Domo und ehemals CSO bei anderen Firmen: „Traditionell war der CSO für die physische Sicherheit und die Sicherheit von Mitarbeitern, Vermögenswerten und Einrichtungen verantwortlich und hat möglicherweise einen rechtlichen Hintergrund, während der CISO für den Schutz der Daten verantwortlich ist und möglicherweise einen IT– oder technischen Hintergrund besitzt.“

Fennell von Relativity: „Die CSO-Rolle ist definitionsgemäß etwas umfassender, sie schließt die physische, Netzwerk- und Produktsicherheit eines Unternehmens mit ein, während ein CISO traditionell auf Rollen konzentriert ist, die dem Unternehmen die wertvollen Informationen sichern.“ Aber sie räumt auch ein, dass die Grenzen oft verschwimmen. „In der Praxis werden diese Titel oft synonym verwendet. Und welchen Titel eine Firma verwendet, hängt eher vom Fokus dieser Organisation ab als von einer klar definierten Rollenverteilung.“

„Mit der Veränderung der Bedrohungen verändern sich auch die Sicherheitsrollen“, ergänzt Niall Browne. „Es ist heute typisch, dass die physische Sicherheit von der Facility-Abteilung verwaltet wird und der Leiter vielleicht den Titel eines Direktors für Unternehmenssicherheit trägt. Die Titel CISO bzw. CSO stehen eher für die Cybersicherheit. Diese Entwicklung macht Sinn, da sich die Fähigkeiten in Sachen physischer Sicherheit und jene im Bereich Cybersicherheit erheblich unterscheiden. Die meisten CISOs und CSOs fühlen sich nicht wohl, wenn sie die physische Sicherheit managen müssen, oder sie glauben, dass sie dem Unternehmen den größten Nutzen bringen können, indem sie sich ausschließlich auf Cybersicherheit konzentrieren.“

*Josh Fruhlinger ist unter anderem Redakteur des US-Magazins CSO.

 


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*