Der CISO ist ein Job­pro­fil mit Zu­kunft

Noch ha­ben die meis­ten Un­ter­neh­men kei­nen Chief In­for­ma­ti­on Se­cu­ri­ty Of­fi­cer be­ru­fen. Doch das wird sich än­dern.

Computerwoche - - Vorderseite - Von Jür­gen Maue­rer, frei­er Jour­na­list in Mün­chen

Cy­ber-Kri­mi­nel­le ent­wi­ckeln im Kat­zund Maus-Spiel mit der IT-Si­cher­heit im­mer raf­fi­nier­te­re An­grif­fe, um sen­si­ble In­for­ma­tio­nen wie Kun­den­da­ten oder Ent­wick­lungs­plä­ne ab­zu­grei­fen. Auf der an­de­ren Sei­te sind die IT-Sys­te­me von Un­ter­neh­men heu­te sen­si­bler oder ver­wund­ba­rer, da mitt­ler­wei­le na­he­zu al­le Pro­zes­se di­gi­ta­li­siert und vie­le Sys­te­me über das In­ter­net ver­bun­den sind. Fir­men müs­sen ih­re Ab­wehr­maß­nah­men des­halb fort­lau­fend ak­tua­li­sie­ren, um ih­re Da­ten zu schüt­zen.

In­for­ma­ti­ons­si­cher­heit soll­te da­her zum stra­te­gi­schen Ziel und zur Ma­nage­ment-Dis­zi­plin wer­den. Ne­ben tech­ni­schen Maß­nah­men ge­hö­ren da­zu Po­li­cies, Pro­zes­se, Si­cher­heits­stra­te­gi­en und -ar­chi­tek­tu­ren so­wie die Sen­si­bi­li­sie­rung der Mit­ar­bei­ter für Si­cher­heits­ri­si­ken (Se­cu­ri­ty Awa­ren­ess). Ei­ne wich­ti­ge Rol­le für die­se Stra­te­gie spielt der Chief In­for­ma­ti­on Se­cu­ri­ty Of­fi­cer (CISO) als obers­ter Ver­ant­wort­li­cher für In­for­ma­ti­ons­si­cher­heit. Doch hat sich die Po­si­ti­on des CISO in Un­ter­neh­men in Deutsch­land be­reits durch­ge­setzt? Wo ist er or­ga­ni­sa­to­risch in den Un­ter­neh­men an­ge­sie­delt? In­wie­weit wirkt er bei der Ent­wick­lung ei­ner Se­cu­ri­ty-Stra­te­gie mit? Ant­wor­ten auf die­se Fra­gen gibt die ak­tu­el­le CISO-Se­cu­ri­ty-Stu­die, die die COM­PU­TER­WO­CHE in Ko­ope­ra­ti­on mit Cis­co und dem Se­cu­ri­ty-Fach­ver­band (ISC)² Ch­ap­ter Ger­ma­ny er­ar­bei­tet hat. Da­zu wur­den fast 800 IT- und IT-Se­cu­ri­ty-Ent­schei­der in Deutsch­land be­fragt. Ne­ben den stra­te­gi­schen Ent­schei­dungs- und Be­richts­we­gen im Be­reich IT-Se­cu­ri­ty stan­den auch Si­cher­heits­her­aus­for­de­run­gen, IT-Se­cu­ri­ty-Bud­gets so­wie Aus­wahl­kri­te­ri­en für ein­schlä­gi­ge Di­enst­leis­ter im Blickpunkt.

Cy­ber-An­grif­fe und nach­läs­si­ge Mit­ar­bei­ter

Ak­tu­ell und künf­tig fürch­ten die deut­schen Un­ter­neh­men vor al­lem ex­ter­ne Cy­ber-An­grif­fe et­wa mit­tels Ran­som­ware als größ­te Be­dro­hung für ih­re Sys­te­me. Über­durch­schnitt­lich hoch ist hier die Be­sorg­nis bei klei­nen Un­ter­neh­men mit rund 88 Pro­zent. Gro­ßes Kopf­zer­bre­chen be­rei­ten auch Nach­läs­sig­kei­ten, un­ge­nü­gend aus­ge­präg­tes Si­cher­heits­be­wusst­sein und man­geln­des Trai­ning der ei­ge­nen Mit­ar­bei­ter. Ins­be­son­de­re die be­frag­ten CISOs und IT-Si­cher­heits­ver­ant­wort­li­chen schät­zen den mensch­li­chen Fak­tor als höchs­tes Ri­si­ko ein. Wohl­ge­merkt geht es hier nicht um bös­ar­ti­gen Da­ten­dieb­stahl oder Vor­satz der Mit­ar­bei­ter,

son­dern in ers­ter Li­nie um Leicht­sinn und Fahr­läs­sig­keit.

Wei­te­re wich­ti­ge Her­aus­for­de­run­gen bil­den die Prio­ri­sie­rung von IT-Se­cu­ri­ty auf Vor­standsund Ma­nage­ment-Ebe­ne so­wie feh­len­de Bud­gets für IT-Se­cu­ri­ty. Da­ten­schutz stellt er­war­tungs­ge­mäß für al­le Un­ter­neh­men die größ­te Com­p­li­an­ce-Her­aus­for­de­rung dar. Mehr als die Hälf­te der Un­ter­neh­men (55 Pro­zent) sind von die­sem The­ma stark oder sehr stark be­trof­fen, ins­be­son­de­re aber die Groß­un­ter­neh­men. Klei­ne­re Be­trie­be stu­fen die Her­aus­for­de­run­gen, die das IT-Si­cher­heits­ge­setz mit sich bringt, über­durch­schnitt­lich hoch ein. Be­reits ein Drit­tel der Un­ter­neh­men be­schäf­tigt sich in­ten­siv mit neu­en Com­p­li­an­ce-Fra­gen, die durch Tech­no­lo­gi­en wie In­ter­net of Things oder In­dus­trie 4.0 ent­ste­hen.

CIOs und IT-Chefs len­ken Se­cu­ri­ty-Stra­te­gi­en

Um die Her­aus­for­de­run­gen und Be­dro­hun­gen zu meis­tern, set­zen mehr als 80 Pro­zent der be­frag­ten Un­ter­neh­men auf ei­ne um­fas­sen­de IT-Se­cu­ri­ty-Stra­te­gie. Ins­be­son­de­re Groß­un­ter­neh­men mit ho­hem IT-Etat ge­hen das The­ma IT-Si­cher­heit stra­te­gisch an. Je­weils knapp ein Zehn­tel plant den Auf­bau stra­te­gi­scher Si­cher­heits­kon­zep­te oder bleibt der­zeit noch bei iso­lier­ten Ein­zel­maß­nah­men ste­hen. Auch Si­cher­heits­richt­li­ni­en/-po­li­cies (82 Pro­zent) und Kon­zep­te für die Ri­si­ko­be­wer­tung (62 Pro­zent) spie­len in den Un­ter­neh­men ei­ne wich­ti­ge Rol­le.

Die Ent­wick­lung der IT-Se­cu­ri­ty-Stra­te­gie und die Um­set­zung der Si­cher­heits­ar­chi­tek­tur sind über­wie­gend Auf­ga­be des CIO oder des IT-Lei­ters. Ins­be­son­de­re in den mitt­le­ren und gro­ßen Un­ter­neh­men sind der CIO/IT-Vor­stand (31 Pro­zent) und der IT-Lei­ter (27 Pro­zent) fe­der­füh­rend für die Ent­wick­lung ei­ner IT-Stra­te­gie ver­ant­wort­lich. CIO und IT-Lei­ter sind hier auch maß­geb­lich für die Um­set­zung der Si­cher­heits­ar­chi­tek­tur so­wie die Aus­wahl der Se­cu­ri­ty-Lö­sung und -Di­enst­leis­ter zu­stän­dig. In klei­nen Un­ter­neh­men hin­ge­gen über­nimmt bei fast der Hälf­te der Be­frag­ten die Ge­schäfts­füh­rung die­se Auf­ga­be.

Die Ent­wick­lung und Um­set­zung der IT-Se­cu­ri­ty-Stra­te­gie ge­hört ei­gent­lich zu den ur­ei­ge­nen Auf­ga­ben des Chief In­for­ma­ti­on Se­cu­ri­ty Of­fi­cer. Doch nur 17 Pro­zent der Un­ter­neh­men schrei­ben ihm die­se Rol­le auch zu. Das liegt wohl dar­an, dass die Po­si­ti­on des CISO bei Wei­tem nicht in al­len Un­ter­neh­men eta­bliert ist. Hier be­steht ei­ne kla­re Kor­re­la­ti­on zur Mit­ar­bei­ter­zahl: Je grö­ßer das Un­ter­neh­men, des­to häu­fi­ger exis­tiert ein Ver­ant­wort­li­cher für In­for­ma­ti­ons­si­cher­heit oder CISO.

Mehr CISOs in Groß­un­ter­neh­men

Den Stu­di­en­er­geb­nis­sen zu­fol­ge ha­ben nur 60 Pro­zent der Un­ter­neh­men ex­pli­zit Per­so­nen oder Ab­tei­lun­gen be­nannt, die aus­schließ­lich und al­lei­ne für In­for­ma­ti­ons­si­cher­heit zu­stän­dig sind. Selbst un­ter den Groß­un­ter­neh­men sind es nur drei Vier­tel. Die Be­zeich­nun­gen für die­se Po­si­ti­on sind in den Un­ter­neh­men noch nicht ein­deu­tig fest­ge­legt. Den Be­griff Chief In­for­ma­ti­on Se­cu­ri­ty Of­fi­cer (CISO) ver­wen­den nur 40 Pro­zent der Fir­men. An­de­re Ti­tel sind IT-Si­cher­heits­be­auf­trag­ter und Da­ten­schutz­be­auf­trag­ter.

40 Pro­zent der Un­ter­neh­men ha­ben kei­ne ent­spre­chen­de Funk­ti­on ein­ge­rich­tet; hier ist meis­tens der CIO auch für die In­for­ma­ti­ons­si­cher­heit zu­stän­dig. In 26 Pro­zent der Un­ter­neh­men über­nimmt der Ge­schäfts­füh­rer die­se Auf­ga­be; we­nig über­ra­schend ist dies mit 55 Pro­zent vor al­lem in klei­nen Un­ter­neh­men der Fall. Auch (IT)-Se­cu­ri­ty-Ma­na­ger, Ad­mi­nis­tra­to­ren und in Groß­un­ter­neh­men der Tech­nik­vor­stand über­neh­men die Ver­ant­wor­tung für In­for­ma­ti­ons­si­cher­heit, so­fern es kei­nen CISO gibt.

Dass die Po­si­ti­on des CISO noch nicht flä­chen­de­ckend in Un­ter­neh­men ver­an­kert ist, be­stä­tigt ei­ne wei­te­re Zahl: Nur ein Vier­tel der Un­ter­neh­men sieht Go­ver­nan­ce von IT- und In­for­ma­ti­ons­si­cher­heit als Teil des Se­cu­ri­ty-Ma­nage­ments und da­mit des CISO.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.