Chief Security Information Officer (CISO)

Der CISO - Aufklärer, Polizist und Bergführer in Personalunion

02. Juni 2016
Jürgen Mauerer betreibt als freier Journalist ein Redaktionsbüro in München.
IT-Sicherheit und Datenschutz werden im digitalen Zeitalter mehr und mehr zur Management-Deisziplin. Viele (große) Unternehmen setzen daher einen Chief Information Security Officer (CISO) ein. Doch bislang hat sich weder eine einheitliche Sichtweise des Berufsbilds etabliert noch ist die Position des CISO in der Organisationsstruktur von Unternehmen genau definiert.

"Ich will nicht der Polizist sein, der auf die Einhaltung von Regeln pocht und Knöllchen verteilt, sondern ein Art Bergführer, der die Vorstände berät und auf den Gipfel führt, ihnen die Risiken bewusst macht, aber auch die Maßnahmen und Wege aufzeigt, wie man diese Gefahren umgeht." Mit diesen Worten beschreibt Stephan Gerhager, Chief Information Security Officer bei der Allianz Deutschland AG, sein Selbstverständnis als CISOCISO. Er blickt auf eine lange Erfahrung als CISO zurück. Vor seiner Zeit bei der Allianz war er drei Jahre bei Audi und sieben Jahre bei E.ON Energie für Informationssicherheit verantwortlich. Alles zu Security auf CIO.de

Stephan Gerhager, CISO der Allianz: "Ich will nicht der Polizist sein, der auf die Einhaltung von Regeln pocht und Knöllchen verteilt."
Stephan Gerhager, CISO der Allianz: "Ich will nicht der Polizist sein, der auf die Einhaltung von Regeln pocht und Knöllchen verteilt."
Foto: Allianz Deutschland AG

Seiner Meinung nach haben IT-Sicherheit und Datenschutz in den letzten Jahren erheblich an Bedeutung gewonnen: "Da mittlerweile nahezu alle Prozesse digitalisiert und viele Systeme über das Internet verbunden sind, werden sie sensibler und angreifbarer. Eine Hacker-Attacke wirkt sich heute unmittelbar auf den Geschäftsbetrieb aus, kann etwa zum Stillstand der Produktion führen und erhebliche finanzielle oder Imageschäden verursachen", erläutert Gerhager.

Sicherheit wird zur Management-Disziplin

Diese Gefahren und Risiken gelten für alle Branchen. Firmen unterliegen denselben Angriffsmustern, selbst wenn sie unterschiedliche Schwerpunkte setzen - sei es, dass eine Versicherung sensible Kundendaten schützen muss, ein Energie-Unternehmen die Informationen der Anlagensteuerung absichert, damit das Stromnetz nicht ausfällt, oder der Automobilhersteller geistiges Eigentum wie die Entwicklungs-Daten neuer Fahrzeugmodelle hütet.

Angesichts zunehmender Hacker-Attacken sollten daher alle Unternehmen Informations-Sicherheit zum strategischen Ziel erklären. Neben technischen Maßnahmen gehören dazu Policies, Prozesse, Sicherheitsstrategien und -architekturen sowie die Sensibilisierung der Mitarbeiter für die Sicherheitsrisiken (Security Awareness). Eine wichtige Rolle bei der Umsetzung dieser Strategie spielt der Chief Information Security Officer (CISO).

Hier stellen sich folgende Fragen: Hat sich die Position des Chief Information Security Officers bei Unternehmen in Deutschland bereits durchgesetzt? Wo ist der CISO organisatorisch im Unternehmen angesiedelt? In welchem Verhältnis steht der CISO zum CSO (Chief Security Officer) und zum CIO?

CISO etabliert sich in (großen) Unternehmen

Interessant sind hier die Ergebnisse einer Umfrage von Dell unter 175 IT-Verantwortlichen von Unternehmen jeder Größe in Deutschland zum Thema Sicherheit. Demnach war im Oktober 2015 in 64 Prozent der befragten Unternehmen der CIO für die IT-Sicherheit verantwortlich, nur sechs Prozent hatten die Position des CISO eingerichtet. Hier besteht aber eine klare Korrelation zur Mitarbeiterzahl: Je größer das Unternehmen, desto häufiger existiert ein CISO.

Dies bestätigt Marc Fliehe, Bereichsleiter Sicherheit beim Branchenverband Bitkom: "CISOs haben sich in ihrer Funktion als Treiber der IT-Sicherheit vor allem in großen Unternehmen und Mittelständlern mit meist mehr als 1000 Mitarbeitern etabliert. Nahezu jedes DAX30-Unternehmen verfügt über diese Position." Neben der Größe sei die CISO-Position abhängig von der Branche des jeweiligen Unternehmens, der IT-Durchdringung und der Bedeutung, die das oberste Management der IT-Security zumisst.

Marc Fliehe, Bereichsleiter Sicherheit beim Bitkom: "CISOs haben sich in ihrer Funktion als Treiber der IT-Sicherheit vor allem in großen Unternehmen etabliert."
Marc Fliehe, Bereichsleiter Sicherheit beim Bitkom: "CISOs haben sich in ihrer Funktion als Treiber der IT-Sicherheit vor allem in großen Unternehmen etabliert."
Foto: Bitkom

Matthias Zacher, Senior Consultant bei IDC, bestätigt all diese Punkte, sieht aber bei der Abgrenzung der Position des CISO vom CSO (Chief Security Officer) noch Nachholbedarf. "Es gibt noch keine klare, einheitliche Definition und Sichtweise für die Position des CSO und CISO. Teilweise werden diese beiden Begriffe synonym verwendet. Das hängt vom Zuschnitt der Aufgaben und den Zuständigkeiten im jeweiligen Unternehmen ab. Ein Beispiel: Ist der CISO oder der CSO für die Sicherheit von Produktionsanlagen zuständig?"

Begriffsklärung: CIO, CSO und CISO

Semantisch unterscheiden sich der CSO und der CISO durch den Buchstaben "I" für Information. Fehlt aber eine genaue Rollenbeschreibung, kann es zu Überschneidungen oder Missinterpretationen kommen. Daher hier eine kurze Abgrenzung der drei Positionen CISO, CSO und CIO, wie sie sich aus unserer Recherche ergeben haben:

  • CISO: Der Fokus des CISO liegt auf der Sicherheit digitaler Informationen, sprich Daten und Informationen in elektronischer Form, sowie den dazugehörigen Komponenten wie Netzwerken, Systemen und Anwendungen. Zu seinen Aufgaben zählen präventive, aufdeckende als auch reagierende Sicherheitsmaßnahmen. In seiner Verantwortung liegt es zudem, Ziele und Richtlinien zur Einhaltung der IT-Sicherheit für sein Unternehmen zu erarbeiten, festzulegen und praktisch umzusetzen. Der CISO überprüft das Sicherheitsbewusstsein der Mitarbeiter regelmäßig und schult sie bei Bedarf.

  • CSO: Beim CSO geht es meist mehr um Safety, also die Sicherheit der physisch-technischen Infrastruktur wie etwa Gebäude- und Personenschutz, Alarmanlagen, Videoüberwachung, Brandschutz, Terrorabwehr oder Schutz vor Einbrüchen. Daher bekleidet diese Position häufig ein ehemaliger Personenschützer. Bei dieser Rollenbeschreibung befindet sich der CSO mit dem CISO auf der gleichen Hierarchieebene. In manchen Unternehmen ist der CSO zusätzlich für IT-Sicherheit sowie Risk und Compliance verantwortlich. In diesem Fall ist der CSO dem CISO übergeordnet.

  • CIO: Der CIO ist ganz allgemein für den reibungslosen Betrieb der ITK-Infrastruktur verantwortlich. Häufig ist er auch für IT-Security zuständig, so dass der CISO an ihn berichtet.