Unternehmen, die das Thema Sicherheit ernst nehmen, setzen verstärkt auf den Chief Information Security Officer (CISO). Unternehmenssicherheit ist kein Ad-hoc Thema mehr, sondern ein fixer Bestandteil des Tagesgeschäfts und der Unternehmenskultur. [...]
Der Aufgabenbereich des CISO hat sich in den vergangenen Jahren in Richtung strategischer Inhalte verschoben, um Sicherheitslücken und Probleme zu vermeiden, bevor diese eintreten. Ein guter CISO wird im Vorfeld aktiv und verhindert, dass es überhaupt zu einem Datendiebstahl oder einem längeren Ausfall der IT-Systeme kommt. Eine der wichtigsten Verantwortungsbereiche des CISO ist ein intelligentes und ganzheitliches Risiko-Management. Er verantwortet proaktiv sowohl den Schutz von Menschen, Organen als auch von Unternehmensinformationen und -technologien. Darüber hinaus ist es seine Aufgabe, die Mitarbeiter zu sensibilisieren und aufzuklären.
Die wichtigsten Aufgaben und Verantwortungsbereiche des CISO sind die Erarbeitung und Umsetzung sicherheitsrelevanter Maßnahmen und daraus abgeleitete Sicherheitsziele für das Unternehmen. Diese beinhalten auch die Anpassungen der Sicherheitsrichtlinien, den Aufbau und die Gewährleistung einer Organisationseinheit zur Umsetzung der unternehmensinternen Sicherheitsziele und die Einhaltung des Datenschutzes. All diese Maßnahmen werden in enger Zusammenarbeit mit den beteiligten Stakeholdern abgestimmt und etabliert, um auch für den Notfall ein worst-Case-Szenario (Disaster Recovery) und ein Betriebskontinuitätsmanagement bereitzuhalten.
CISO muss das gesamte Unternehmen schützen
Zu den Pflichten eines CISOs zählt es auch, zu verhindern, dass Daten heimlich manipuliert werden. Die Konsequenzen, die sich daraus ergeben, werden häufig unterschätzt. Außerdem muss er auf allen Hierarchieebenen Überzeugungsarbeit leisten, um alle Bereiche mit ins Boot zu holen. Natürlich sollte ein CISO auch gut über die Unternehmenskultur Bescheid wissen, denn er muss wissen, was im Unternehmen geht und was nicht. Neben der fachlichen Qualifikation sind auch umfangreiche Soft Skills erforderlich wie Kommunikation, Teamfähigkeit und diplomatisches Geschick, Hartnäckigkeit, Kompromissfähigkeit, Belastbarkeit und Vertrauenswürdigkeit.
Eine Ausbildung zum CISO gibt es nicht, allerdings erleichtern verschiedene Zertifikate den Aufstieg zum Chief Information Security Officer. Neben den Kenntnissen im Bereich der Verschlüsselung mit mathematischem Fokus und einem Fachstudium beispielswiese im Bereich der (Wirtschafts-) Informatik, Mathematik, Naturwissenschaften oder Wirtschaftswissenschaften mit IT-Schwerpunkt, ist auch eine fundierte Berufserfahrung im Bereich IT Security (Threat Response/Analysis und Intelligence), CERT, Konzeption von Intrusion Detection und Prevention Systemen erforderlich. Solide Kenntnisse in den Themenfeldern Antimalwaresoftware, Netzwerkadministration, IT Sicherheit oder IT Forensik und der gängigen Skript- und Programmiersprachen sind ebenso wichtige Voraussetzungen.
Aus der Perspektive der Personaler sind Branchenkenntnisse das A und O, wenn es um die passende Personalie bei der Besetzung im Informationssicherheitsbereich geht. Neben den Branchenkenntnissen sind fundierte Kenntnisse der jeweils gültigen gesetzlichen Rahmenbedingungen (z. B. KonTraG, MaRisk) und Compliance relevant, um die erforderlichen Sicherheitslösungen regelkonform und erfolgreich umzusetzen.
Selbst dann wenn ein Kandidat alle anderen Voraussetzungen wie IT-Fachkenntnisse oder fundierte IT Forensik mitbringt, müssen darüber hinaus die maßgeblichen Regularien und deren Bedeutung bekannt sein, die es in dieser Position zu beachten gilt. Ohne diese Zusatzkenntnis wird der Kandidat scheitern oder zumindest keine solide Unternehmens-Sicherheitsstrategie ausarbeiten können.
Wohin gehört die Funktion des CISO?
Jedes Unternehmen sieht das Risikomanagement anders, einige Unternehmen haben ihre CISO-Berichtslinie direkt dem Vorstand oder dem Leiter Compliance unterstellt, traditionell berichtet der CISO häufig auch an den CIO oder den CDO. Aktuell wird das Thema CISO immer wichtiger, da sich viele Unternehmen auf die Sicherheit stürzen. Dies führt zu einer Verschiebung der Berichtslinie und auch der Arbeitsbeziehungen zwischen den beiden C-Level-Führungskräften, dem CISO und dem CIO.
Während der CIO verantwortlich für Führung, Vision und IT-Implementierung ist, um das Unternehmen voranzutreiben, hat der CISO eine kritische Rolle bei der Bereitstellung von Maßnahmen und Leitlinien, um zu gewährleisten, dass die Strategie auch sicher ist. Die Sicherheit ist im Grunde genommen maßgebliche Voraussetzung für die Umsetzung der Unternehmensstrategien. Viele Unternehmen haben diese Dringlichkeit erkannt und daher die CISO Funktion im C-Level Bereich oder auf Vorstandsebene installiert.
Wie wird man CISO?
Wie schwer ist es für Unternehmen, geeignete und loyale Kräfte am Markt zu rekrutieren? Es gibt keinen Königsweg, um Chief Information Security Officer zu werden – oder um einen guten CISO für das eigene Unternehmen zu finden. Das Bewusstsein für die neuen Anforderungen an IT-Sicherheit ist zwar gewachsen, jedoch ist die Umsetzung noch schleppend. Die ersten Hochschulen haben mittlerweile eine auf IT-Sicherheit spezialisierte Professur eingerichtet.
Unternehmen erkennen die Ernsthaftigkeit der IT-Sicherheit, haben es aber schwer, personell aufzurüsten, um geeignet qualifizierte Mitarbeiter an Bord zu holen. Dies hat zur Folge, dass auf dem Arbeitsmarkt nur wenige Experten im Bereich IT-Sicherheit verfügbar sind. Da es sich im IT-Sicherheitsbereich um einen Arbeitnehmermarkt handelt, suchen die Spezialisten bevorzugt nach Unternehmen, die technologische Vorreiter sind und die dem Kandidaten die aktuell besten Standards bieten.
Kompromisse bei geeigneten Kandidaten
Unternehmen gehen bei der Rekrutierung von geeigneten Mitarbeitern im IT-Sicherheitsbereich bisher nur bedingt Kompromisse ein. Es ist sehr ratsam für Arbeitgeber, Zugeständnisse bei der Rekrutierung zu machen und nicht auf eine 100-prozentige Passgenauigkeit zu beharren. Vielmehr sollten Unternehmen in Skills investieren und maßgeschneiderte Ausbildungen für etwaige Lücken anbieten. Wenn ein Kandidat Branchenkenner ist und Grundkenntnisse im Bereich der IT-Sicherheit mitbringt und auch privat eine hohe Affinität zu diesen Themen besitzt, ergibt ein Ausbau des Know-hows Sinn. Dies kann durch Weiterbildungen oder Zertifizierungsprogramme erfolgen, die Mitarbeitern die Möglichkeit bieten, sich in Themengebieten wie Kryptologie, Computer-Strafrecht oder Forensik weiterzubilden.
*Martin Krill ist Geschäftsführer der Hager Unternehmensberatung.
Be the first to comment