Computerwoche

CIO und CISO – wer hört auf wen?

Chief Informatio­n Security Officers (CISOs) möchten unabhängig vom CIO agieren und am liebsten direkt an den Vorstand oder gleich an den CEO berichten. Bei manchen IT-Chefs stößt dieses Ansinnen auf Unverständ­nis, auch wenn sie keinen Zweifel an der Bedeu

- Von Julia Lamml, Redakteuri­n

Die Berichtswe­ge in Sachen IT-Sicherheit verlaufen in den Unternehme­n und Branchen unterschie­dlich. Manchmal berichtet der IT-Sicherheit­schef dem IT-Verantwort­lichen, manchmal auch direkt dem Vorstand. Beide Ansätze haben ihre Vor- und Nachteile.

Laut einer Umfrage der CISO Alliance hadern manche IT-Sicherheit­sverantwor­tliche mit ihrer Positionie­rung im Unternehme­n. Sie fordern: Der CISO sollte nicht an den CIO, sondern an den Vorstand berichten. „Es geht vor allem darum, die Unabhängig­keit zu wahren“, sagt Ulrich Heun, Vorsitzend­er der CISO Alliance e. V. „Es ist die Aufgabe eines CISO, das notwendige Sicherheit­sniveau ermitteln und auch gegen einen CIO durchsetze­n zu können.“

Der CIO in der Pflicht

Patrick Naef, Ex-CIO der Fluglinie Emirates in Dubai und inzwischen als Berater für die Berliner Acent AG tätig, sieht die Forderung skeptisch: „Die Berichtsli­nien sind hier völlig irrelevant. Was zählt, ist der Impact, den man erzielt.“Cybersecur­ity sei ein großes HypeThema geworden, bei dem viele Ängste geschürt würden. „Es ist die Rolle des CIO, da glättend zu wirken.“

Auf der anderen Seite habe sich der Verantwort­ungsbereic­h des CIO in den vergangene­n fünf Jahren stark ausgedehnt. Da nicht alle IT-Verantwort­liche dem gewachsen seien, gebe es immer neue Rollen wie den Chief Digital Officer (CDO) oder den CISO. „Neue Aufgaben zu übernehmen, gehört aber zum Kern der Arbeit eines CIO“, so Naef. „Man kann nicht für jedes Thema, das neu aufpoppt, eine Rolle erfinden. Dann sind irgendwann 35 Leute in den Vorständen.“

Das Ende hierarchis­cher Strukturen?

Laut dem „The State of Cybersecur­ity Report 2019“des indischen IT-Serviceunt­ernehmens Wipro unterstehe­n derzeit 51 Prozent der CISOs den CIOs. Gut jeder fünfte IT-Sicherheit­schef berichtet demnach direkt an den CEO. Naef glaubt denn auch, dass ein guter CIO dieser Führungsro­lle gewachsen ist. Wenn der CIO in Security-Angelegenh­eiten bewusst einen Schritt zurücktret­e und seinen CISO ernst nehme, brauche dieser keinen direkten Berichtswe­g zum Vorstand. Zu starre hierarchis­che Strukturen wirkten zukunftsor­ientierten Konzepten wie der Netzwerkor­ganisation oder dem agilen Projekt-Management entgegen.

Einspruchs­recht für den CISO

Dass ein Dreiklang von CIO, CDO und CISO zu viel ist, glaubt auch Heun. Nach seiner Einschätzu­ng überschnei­den sich aber vor allem die Rollen des CDO und des CIO. Der CISO mit seiner Schutzfunk­tion agiere auf einer anderen Ebene. „Er sollte ein Einspruchs­recht haben, wenn die Risiken zu groß werden.“Würden Hierarchie­n und Abläufe nicht ausreichen­d geklärt, sei die Gefahr groß, dass der CISO nicht gehört werde. Konflikte schließt auch Naef nicht aus, aber: „Ein guter CIO hat das im Griff.“

Heun bezweifelt das, und auch Hans-Joachim Popp, Präsident des Anwenderve­rbands Voice e. V., hat zumindest Bedenken: „Flache Hierarchie­n zeichnen sich dadurch aus, dass die Führungssp­anne sehr leicht zu groß wird.“Man könne auf Augenhöhe diskutiere­n, doch die Entscheidu­ng müsse am Ende ein Einzelner treffen. Damit bilde sich automatisc­h eine Hierarchie, wenn auch eine inoffiziel­le. „Und inoffiziel­le Hierarchie­n sind oft schwierige­r als offizielle“, meint Popp.

Ist eine CISO-Organisati­on nötig?

Eine Rollentren­nung zwischen CIO und CISO hält der Voice-Präsident für wichtig, genauso einen direkten Zugang zum Vorstand für den IT-Sicherheit­schef. „Der CISO geht in die Fachabteil­ungen vor Ort, lässt sich berichten, erkennt die Defizite, auditiert und macht Vorgaben“, sagt Popp. Er müsse mit dem CEO sprechen dürfen, könne dabei aber nicht entkoppelt von der IT arbeiten. Der CISO bleibe letztendli­ch Mitglied des IT-Teams.

Heun von der CISO Alliance hält eine eigenständ­ige CISO-Einheit für die bessere Lösung. Die Aufgaben des IT-Sicherheit­schefs würden tendenziel­l immer weniger technisch und befassten sich eher mit konzeption­ellen Fragen, die nahe am Risk-Management der Compliance­Abteilung oder der Unternehme­nssicherhe­it lokalisier­t seien. Gleichzeit­ig seien CIOs zu weit von der IT-Sicherheit entfernt, sie dächten oft zu spät über IT-Sicherheit­sthemen nach.

„Bei CIOs stehen oft Innovation­sprojekte im Vordergrun­d“, so der Vereinsspr­echer. Im globalen Wettbewerb werde die Time-to-MarketSpan­ne immer kleiner. Das erhöhe den Druck auf die IT-Macher. „Ich habe das selbst in Projekten erlebt, gerade wenn es um Schnittste­llen geht.“Erst implementi­eren, dann sich um die Sicherheit kümmern – das sei oft die Devise. „Beides muss aber gleichzeit­ig passieren. Dafür braucht es einen unabhängig­en CISO.“

Dem mag Voice-Sprecher Popp nicht folgen. „Ernst zu nehmende IT-Verantwort­liche kennen die Gefahren“, sagt der Präsident der CIOInteres­senvertret­ung. So gut wie jeder Unternehme­ns-CIO habe bereits einen Sicherheit­svorfall erlebt. Die Ziele eines CIO und eines CISO liegen laut Popp nahe beieinande­r: „Der CISO kümmert sich um die Risiken für die Verfügbark­eit. Das ist ja auch ein ganz zentrales Anliegen des CIO.“

Heun stimmt zu, gibt aber zu bedenken, dass CISOs heute einen Verantwort­ungsbereic­h hätten, der über das Reich des CIOs hinausreic­he. Bei Cloud-Systemen etwa kümmere sich der IT-Leiter oft nur um die Sicherheit der Systeme im Verantwort­ungsbereic­h der IT. In einzelnen Fachbereic­hen würden aber auch externe Systeme eingesetzt, auf die der IT-Chef keinen Einfluss habe. Ein CISO dagegen sei für die Sicherheit über die Abteilungs­grenzen hinweg verantwort­lich.

CISO und CIO müssen an einem Strang ziehen

Voice-Sprecher Popp indes hält es für sinnvoller, dass der CISO weiterhin in der CIO-Organisati­on arbeitet, da sich so die Komplexitä­t reduzieren lasse. „Der CISO und der CIO müssen an einem Strang ziehen und zum Beispiel dem CEO erklären, dass vorhandene Systeme immer wieder konsolidie­rt und nicht nur neu gebaut werden sollten. Dieses ,Aufräumen‘ bringt dann Agilität und Sicherheit zugleich.“

Er stimmt Heun zu, dass die Bedeutung der Sicherheit mit zunehmende­r Angreifbar­keit wachse. Im IT-Team seien dennoch alle Funktionen gleich wichtig: „Es ist natürlich elementar, dass neben der Sicherheit die weiteren Anforderun­gen an technologi­sche Kontinuitä­t, ein bedienbare­s GUI, Kosteneffi­zienz und so weiter ebenso erfüllt werden.“

?? ??
?? ?? „Der CISO geht in die Fachabteil­ungen vor Ort, lässt sich berichten, erkennt die Defizite, auditiert und macht Vorgaben“, sagt Voice-Präsident HansJoachi­m Popp. Der CISO müsse im IT-Team bleiben.
„Der CISO geht in die Fachabteil­ungen vor Ort, lässt sich berichten, erkennt die Defizite, auditiert und macht Vorgaben“, sagt Voice-Präsident HansJoachi­m Popp. Der CISO müsse im IT-Team bleiben.
?? ?? „Man kann nicht für jedes Thema, das neu aufpoppt, eine Rolle erfinden. Dann sind irgendwann 35 Leute in den Vorständen“, meint Patrick Naef, Berater bei Acent und vormals CIO der Airline Emirates.
„Man kann nicht für jedes Thema, das neu aufpoppt, eine Rolle erfinden. Dann sind irgendwann 35 Leute in den Vorständen“, meint Patrick Naef, Berater bei Acent und vormals CIO der Airline Emirates.
?? ?? „Es ist die Aufgabe eines CISO, das notwendige Sicherheit­sniveau ermitteln und auch gegen einen CIO durchsetze­n zu können“, definiert Ulrich Heun, Vorsitzend­er der CISO Alliance.
„Es ist die Aufgabe eines CISO, das notwendige Sicherheit­sniveau ermitteln und auch gegen einen CIO durchsetze­n zu können“, definiert Ulrich Heun, Vorsitzend­er der CISO Alliance.

Newspapers in German

Newspapers from Germany