Person arbeitet an einem Tablet und erstellt Balkendiagramme

Was ist ein CISO?

Chief Information Security Officers (CISOs) sind für die digitale Sicherheit in Unternehmen verantwortlich. Ihr Aufgabenfeld verlangt vielfältige Qualifikationen und einen ganzheitlichen Blick auf IT-Sicherheit, Datenschutz, Compliance und Business.

Myra Services zum Thema: Optimierte Performance und maximale Verfügbarkeit mit dem Myra Multi Cloud Load Balancer
Person arbeitet an zwei Laptops

01

CISO: eine Definition

Das Akronym CISO steht für Chief Information Security Officer. CISOs tragen die Gesamtverantwortung für die Informationssicherheit in Unternehmen und benötigen daher einen ganzheitlichen Blick auf sämtliche Aspekte von Datenschutz, Datensicherheit sowie Compliance. In der Regel handelt es sich um ein Mitglied des Vorstands, das von einem Gremium oder einem Kreis von Information Security Officers unterstützt wird. Letztere sind wiederum für die Umsetzung aller Informationssicherheitsmaßnahmen in ihren Abteilungen bzw. Standorten zuständig.

Person tippt auf einer Tastatur von einem Laptop

02

Welche Aufgaben hat ein CISO?

Je nach Branche, Unternehmen und aktuellem Digitalisierungsstand variieren die Aufgaben eines CISOs stark. So müssen sich etwa die Security-Entscheider:innen in hochregulierten Branchen wie der Finanz- oder Versicherungsindustrie sehr viel mit Compliance und gesetzlichen Vorgaben befassen, die sich etwa aus der europäischen Datenschutz-Grundverordnung (DSGVO), dem IT-Sicherheitsgesetz (IT-SiG) sowie anderen Regularien wie VAIT, MaGo, MaRisk oder KonTraG ergeben. Zählt das Unternehmen zu den kritischen Infrastrukturen (KRITIS), müssen verantwortliche CISOs sogar regelmäßig nachweisen, alle verfügbaren Optionen der Cybersicherheit zum Schutz ihrer Systeme einzusetzen. Feste Abläufe für das Risikomanagement und eine stetige Auditierung sind hier ebenfalls vorgeschrieben.

IT Security mit Business-Fokus

Moderne IT-Sicherheit gliedert sich nahtlos in den operativen Betrieb ein und hilft im Idealfall bei der Prozessoptimierung und -beschleunigung. Als proaktiver Schutz greifen intelligente Sicherheitsmechanismen noch vor etwaigen Angriffen. So lassen sich die Auswirkungen einer Attacke in Grenzen halten und der reguläre Geschäftsbetrieb schnellstmöglich wieder fortsetzen. Die erforderlichen Leistungen gilt es wiederum, mit einem angemessenen Budget bereitzustellen. Diesem universellen Anspruch gerecht zu werden, darin liegt die Aufgabe eines Chief Information Security Officers.

03

Welche Qualifikationen benötigt ein CISO?

Das Anforderungsprofil für einen CISO umfasst vielfältige Skills. Dazu zählen:

Strategisches Können

Generell beschäftigen sich CISOs mit der Erstellung und Pflege einer holistischen Sicherheitsstrategie für die Unternehmens-IT. Dabei zielen die Fachleute darauf ab, maßgeschneiderte Sicherheitsrichtlinien und -prozesse zu definieren, um den Geschäftsbetrieb angemessen zu schützen. Gleichzeitig darf die IT-Sicherheit die Anforderungen des Kerngeschäfts nicht beeinträchtigen. Auch die Prüfung der erarbeiteten und umgesetzten Sicherheitskonzepte fällt in den Aufgabenbereich des CISOs. So müssen beispielsweise unterschiedliche Angriffsszenarien simuliert werden, um die Effektivität der eigenen Prozesse auf die Probe zu stellen und zu überwachen. Hierzu zählt auch die Krisenkommunikation mit Kund:innen und Geschäftspartnern.

IT-Fachkenntnisse mit Fokus auf Cybersicherheit

Um diesen hohen Anforderungen gerecht zu werden, wird von CISOs sehr viel technisches Fachwissen verlangt. So bringen die meisten Sicherheitsentscheider:innen etwa fundierte Berufserfahrung aus dem Bereich der IT Security, aus der Netzwerkadministration sowie aus dem Programmierwesen mit. Zudem ist Zusatzwissen für die Umsetzung rechtlicher Vorgaben zwingend erforderlich. Es gilt nicht nur, die eigenen Systeme zuverlässig vor Datenabfluss oder Cyberattacken zu schützen, sondern auch den Vorgaben von Gesetzgeber und Branchenverbänden zu entsprechen. Im Wesentlichen geht es dabei um die regelkonforme und erfolgreiche Umsetzung digitaler Sicherheit. Darüber hinaus wird von CISOs auch Führungskompetenz und Business-Geschick erwartet. Diese Fähigkeiten helfen dabei, das erforderliche Sicherheitsbudget zu verhandeln und die Schutzprozesse optimal an das Kerngeschäft anzupassen.

Softskills

Daneben sind auch Softskills von zentraler Bedeutung für CISOs. Sie müssen ein Gespür für die Beschäftigten im Unternehmen entwickeln und diese für Themen der Cybersicherheit sensibilisieren. Beim digitalen Schutz im professionellen Umfeld kommt es nicht nur auf technologische Ansätze an. Cyberkriminelle fokussieren sich mit Spear Phishing, Malware-Spam und anderen Social-Engineering-Angriffen primär auf die Anwender:innen selbst. Meist gestalten sich solche Attacken sehr viel einfacher als sich durch mehrschichtige Sicherheitskonzepte wie Firewalls, Malware-Scanner oder verschlüsselte Kommunikationskanäle zu kämpfen. Awareness-Schulungen und stichprobenartige Praxistests sind daher essenzielle Bestandteile einer umfassenden IT-Sicherheitsstrategie.

Kommunikationsstärke

Auch auf die Kommunikationsfähigkeit kommt es an. CISOs arbeiten meist eng mit CIOs zusammen und müssen diese sowie die Geschäftsführung von ihren Sicherheitskonzepten überzeugen. Außerdem repräsentieren CISOs das Unternehmen nach außen und beantworten sicherheitsspezifische Fragen gegenüber Kund:innen, Partnern oder auch Behörden.

Zwei Personen arbeiten an Laptops und machen sich auf Papier Notizen

04

CISO: Das müssen Sie wissen

Chief Information Security Officers (CISOs) verantworten die Informationssicherheit in Unternehmen und müssen sich in den Bereichen Datenschutz, Datensicherheit sowie Compliance auskennen. Darüber hinaus benötigen sie sowohl technisches Wissen als auch Softskills wie Mitarbeiterführung und Kommunikationsstärke. Zu den zentralen Aufgaben gehört auch die Bereitstellung eines angemessenen Budgets für sämtliche erforderliche Prozesse der IT-Sicherheitsstrategie.

CISOs kommen häufig aus dem Vorstand und arbeiten nicht allein: Sie werden von einem Gremium oder einem Kreis von Information Security Officers unterstützt, die letztendlich für die Umsetzung aller Informationssicherheitsmaßnahmen in ihren Abteilungen bzw. Standorten zuständig sind.