CIO und CISO – wer hört auf wen?
Chief Information Security Officers (CISOs) möchten unabhängig vom CIO agieren und am liebsten direkt an den Vorstand oder gleich an den CEO berichten. Bei manchen IT-Chefs stößt dieses Ansinnen auf Unverständnis, auch wenn sie keinen Zweifel an der Bedeu
Die Berichtswege in Sachen IT-Sicherheit verlaufen in den Unternehmen und Branchen unterschiedlich. Manchmal berichtet der IT-Sicherheitschef dem IT-Verantwortlichen, manchmal auch direkt dem Vorstand. Beide Ansätze haben ihre Vor- und Nachteile.
Laut einer Umfrage der CISO Alliance hadern manche IT-Sicherheitsverantwortliche mit ihrer Positionierung im Unternehmen. Sie fordern: Der CISO sollte nicht an den CIO, sondern an den Vorstand berichten. „Es geht vor allem darum, die Unabhängigkeit zu wahren“, sagt Ulrich Heun, Vorsitzender der CISO Alliance e. V. „Es ist die Aufgabe eines CISO, das notwendige Sicherheitsniveau ermitteln und auch gegen einen CIO durchsetzen zu können.“
Der CIO in der Pflicht
Patrick Naef, Ex-CIO der Fluglinie Emirates in Dubai und inzwischen als Berater für die Berliner Acent AG tätig, sieht die Forderung skeptisch: „Die Berichtslinien sind hier völlig irrelevant. Was zählt, ist der Impact, den man erzielt.“Cybersecurity sei ein großes HypeThema geworden, bei dem viele Ängste geschürt würden. „Es ist die Rolle des CIO, da glättend zu wirken.“
Auf der anderen Seite habe sich der Verantwortungsbereich des CIO in den vergangenen fünf Jahren stark ausgedehnt. Da nicht alle IT-Verantwortliche dem gewachsen seien, gebe es immer neue Rollen wie den Chief Digital Officer (CDO) oder den CISO. „Neue Aufgaben zu übernehmen, gehört aber zum Kern der Arbeit eines CIO“, so Naef. „Man kann nicht für jedes Thema, das neu aufpoppt, eine Rolle erfinden. Dann sind irgendwann 35 Leute in den Vorständen.“
Das Ende hierarchischer Strukturen?
Laut dem „The State of Cybersecurity Report 2019“des indischen IT-Serviceunternehmens Wipro unterstehen derzeit 51 Prozent der CISOs den CIOs. Gut jeder fünfte IT-Sicherheitschef berichtet demnach direkt an den CEO. Naef glaubt denn auch, dass ein guter CIO dieser Führungsrolle gewachsen ist. Wenn der CIO in Security-Angelegenheiten bewusst einen Schritt zurücktrete und seinen CISO ernst nehme, brauche dieser keinen direkten Berichtsweg zum Vorstand. Zu starre hierarchische Strukturen wirkten zukunftsorientierten Konzepten wie der Netzwerkorganisation oder dem agilen Projekt-Management entgegen.
Einspruchsrecht für den CISO
Dass ein Dreiklang von CIO, CDO und CISO zu viel ist, glaubt auch Heun. Nach seiner Einschätzung überschneiden sich aber vor allem die Rollen des CDO und des CIO. Der CISO mit seiner Schutzfunktion agiere auf einer anderen Ebene. „Er sollte ein Einspruchsrecht haben, wenn die Risiken zu groß werden.“Würden Hierarchien und Abläufe nicht ausreichend geklärt, sei die Gefahr groß, dass der CISO nicht gehört werde. Konflikte schließt auch Naef nicht aus, aber: „Ein guter CIO hat das im Griff.“
Heun bezweifelt das, und auch Hans-Joachim Popp, Präsident des Anwenderverbands Voice e. V., hat zumindest Bedenken: „Flache Hierarchien zeichnen sich dadurch aus, dass die Führungsspanne sehr leicht zu groß wird.“Man könne auf Augenhöhe diskutieren, doch die Entscheidung müsse am Ende ein Einzelner treffen. Damit bilde sich automatisch eine Hierarchie, wenn auch eine inoffizielle. „Und inoffizielle Hierarchien sind oft schwieriger als offizielle“, meint Popp.
Ist eine CISO-Organisation nötig?
Eine Rollentrennung zwischen CIO und CISO hält der Voice-Präsident für wichtig, genauso einen direkten Zugang zum Vorstand für den IT-Sicherheitschef. „Der CISO geht in die Fachabteilungen vor Ort, lässt sich berichten, erkennt die Defizite, auditiert und macht Vorgaben“, sagt Popp. Er müsse mit dem CEO sprechen dürfen, könne dabei aber nicht entkoppelt von der IT arbeiten. Der CISO bleibe letztendlich Mitglied des IT-Teams.
Heun von der CISO Alliance hält eine eigenständige CISO-Einheit für die bessere Lösung. Die Aufgaben des IT-Sicherheitschefs würden tendenziell immer weniger technisch und befassten sich eher mit konzeptionellen Fragen, die nahe am Risk-Management der ComplianceAbteilung oder der Unternehmenssicherheit lokalisiert seien. Gleichzeitig seien CIOs zu weit von der IT-Sicherheit entfernt, sie dächten oft zu spät über IT-Sicherheitsthemen nach.
„Bei CIOs stehen oft Innovationsprojekte im Vordergrund“, so der Vereinssprecher. Im globalen Wettbewerb werde die Time-to-MarketSpanne immer kleiner. Das erhöhe den Druck auf die IT-Macher. „Ich habe das selbst in Projekten erlebt, gerade wenn es um Schnittstellen geht.“Erst implementieren, dann sich um die Sicherheit kümmern – das sei oft die Devise. „Beides muss aber gleichzeitig passieren. Dafür braucht es einen unabhängigen CISO.“
Dem mag Voice-Sprecher Popp nicht folgen. „Ernst zu nehmende IT-Verantwortliche kennen die Gefahren“, sagt der Präsident der CIOInteressenvertretung. So gut wie jeder Unternehmens-CIO habe bereits einen Sicherheitsvorfall erlebt. Die Ziele eines CIO und eines CISO liegen laut Popp nahe beieinander: „Der CISO kümmert sich um die Risiken für die Verfügbarkeit. Das ist ja auch ein ganz zentrales Anliegen des CIO.“
Heun stimmt zu, gibt aber zu bedenken, dass CISOs heute einen Verantwortungsbereich hätten, der über das Reich des CIOs hinausreiche. Bei Cloud-Systemen etwa kümmere sich der IT-Leiter oft nur um die Sicherheit der Systeme im Verantwortungsbereich der IT. In einzelnen Fachbereichen würden aber auch externe Systeme eingesetzt, auf die der IT-Chef keinen Einfluss habe. Ein CISO dagegen sei für die Sicherheit über die Abteilungsgrenzen hinweg verantwortlich.
CISO und CIO müssen an einem Strang ziehen
Voice-Sprecher Popp indes hält es für sinnvoller, dass der CISO weiterhin in der CIO-Organisation arbeitet, da sich so die Komplexität reduzieren lasse. „Der CISO und der CIO müssen an einem Strang ziehen und zum Beispiel dem CEO erklären, dass vorhandene Systeme immer wieder konsolidiert und nicht nur neu gebaut werden sollten. Dieses ,Aufräumen‘ bringt dann Agilität und Sicherheit zugleich.“
Er stimmt Heun zu, dass die Bedeutung der Sicherheit mit zunehmender Angreifbarkeit wachse. Im IT-Team seien dennoch alle Funktionen gleich wichtig: „Es ist natürlich elementar, dass neben der Sicherheit die weiteren Anforderungen an technologische Kontinuität, ein bedienbares GUI, Kosteneffizienz und so weiter ebenso erfüllt werden.“