Team Lead - Die CISO Rolle

Die CISO Rolle

 3 Tipps die zum Erfolg führen. Sie erfahren ob und weshalb Sie die CISO Rolle besetzen sollten.

Die CISO Rolle

Die Rolle des CISO (Chief Information Security Officers) hat in den letzten Jahren eine immer größere Bedeutung erhalten. Wenn CEOs und/oder Unternehmenslenker sich mit der IT- Sicherheit oder der Informationssicherheit-Strategie für ihr Unternehmen beschäftigen, landen Sie früher oder später bei der Frage – brauchen wir eine/n Chief Security Officer (CISO) oder einen IT-Sicherheit’s Beauftragten (ISB)? Diese Rolle ist eine Art verlängerter Arm des CEO – in fachlicher Hinsicht. Ein CEO kann nicht alle Fachthemen im Blick haben. Aber er muss eine Person/ein Team seines Vertrauens mit dem Thema Informationssicherheit/Cybersicherheit an seiner Seite haben.

Ein CISO in einem Mittelstandsunternehmen hat die Aufgabe, das Unternehmen gegen Cyberbedrohungen zu schützen, indem er die Risiken erkennt und Maßnahmen ergreift, um diese Risiken zu minimieren. Dazu gehört die Schulung der Mitarbeiter, die Implementierung von Sicherheitsmaßnahmen und -tools und die Durchführung von Risikoanalysen. Ein CISO muss auch sicherstellen, dass das Unternehmen den geltenden Datenschutz- und Cybersicherheit’s Vorschriften entspricht.

Nur so kann der/die UnternehmensInhaber:in sicher sein, dass das gesamte Unternehmen gut geschützt ist.

 

Deshalb – was macht so ein CISO eigentlich?

So wie die DSGVO-EU die Frage nach dem Datenschutzbeauftragten beantwortet hat, so beantwortet das die DIN ISO 27001/TISAX und das IT-Sicherheitsgesetz die Frage nach dem CISO. Zumindest für Telekommunikation Anbieter, Anbieter von digitalen Diensten und besonders die Betreiber Unternehmen für kritischen Infrastrukturen (KRITIS) – für diese ist das Einrichten der CISO Rolle Pflicht.

Kleine und mittlere Unternehmen sind sehr oft der Ansicht, sie brauchen die CISO Rolle gar nicht zu besetzen. Ein Datenschutzbeauftragter sei doch ausreichend, „der macht das mit“, so lautet das Argument. Und ich höre oft – das ist uns zu teuer. Eine gefährliche Fehleinschätzung und an der falschen Stelle gespart.

Das ändert sich meist erst, wenn ein Unternehmen von einem Sicherheitsvorfall betroffen ist, d.h. das Unternehmen gehackt wird oder Daten abfließen. Meist folgt dann – leider – eine Erpressung des Unternehmens.  Danach wird die Rolle des CISO (Chief Information Security Officer) besetzt. Wenn ein CEO oder Unternehmenslenker dazu bereit ist, dann hat er die Risiken verstanden und geprüft. Und er hat begriffen, dass er eine Gesamtverantwortung für die Informationssicherheit und die IT-Sicherheit im Unternehmen hat. Er hat begonnen zu reflektieren, welche Auswirkungen ggf. eine Cyber Attacke, ein geglückte Phishing- oder Ransomware Attacke haben können.

Und – ganz wichtig – was es bedeutet, wenn die Produktionssysteme akut ausfallen. Was passiert, wenn die Produkt-Auslieferung an Kunden plötzlich unterbrochen wird. Oder, wenn die internen kaufmännischen IT-Prozesse nicht funktionieren und ein Unternehmen z.B. keine Rechnungen schreiben kann. Das alle kostet richtig viel Geld. Im Jahr 2022 hatten wir in Deutschland insgesamt Kosten in Höhe von 202 Milliarden Euro durch Cyber Attacken! Keine Kleinigkeit.

Im Vergleich dazu sind die Personalkosten für die Einstellung einer verantwortlichen, vertrauensvollen Person mit den entsprechenden Fachkenntnissen eher ein geringerer Aufwand – oder?

Wie erkenne ich, ob ich einen CISO brauche?

Tipp 1 – prüfen Sie, ob ihr Unternehmen von gesetzlichen oder Branchenvorgaben betroffen ist

Es gibt gesetzliche Vorgaben in denen diese Rolle explizit erwähnt und gefordert wird. So z.B. im Telekommunikationsgesetz in §166 (siehe Link oben) – hier ist der Sicherheitsbeauftragte explizit erwähnt mit der Verantwortung für das Sicherheitskonzept. Das bedeutet, dass alle Unternehmen die unter dieses Gesetz fallen die CISO Rolle besetzen müssen.

Für die Automobil Zulieferer Industrie ist mit der Zertifizierung nach TISAX die Benennung einer Person, im Unternehmen die diese Rolle inne hat, ein muss und ein großer Vorteil.

TISAX steht für Trusted Information Security Assessment Exchange. Das bedeutet, dass der Datenaustausch zwischen Unternehmen die diesen Standard implementiert haben vertrauenswürdig ist. TISAX ist also der gemeinsame IT-Sicherheitsstandard für die Automobil Branche. Die Grundlage ist der BSI IT-Grundschutz und die DIN ISO 27001. Ich finde das gut und wichtig. Die verantwortlichen Unternehmen der Automobil Industrie haben diesen gemeinsamen Standard geschaffen. Hier ist die Besetzung der CISO Rolle ebenfalls Pflicht. Sie brauchen eine verantwortliche, fachlich kompetente Person, die den gesamten Zertifizierung’s Prozess im Blick hat und die Audit’s und Kontrollmaßnahmen durchführt und die technischen und organisatorische Umsetzung prüft und nachhält.

Wenn wir davon ausgehen, dass wir eines Tages in einem selbstfahrenden Fahrzeug sitzen.. Da fühle ich mich wesentlich sicherer, wenn ich weiss dass die Hersteller nach dem TISAX Standard produzieren. Und – dass diese Verfahren werden alle 2-3 Jahre überprüft und re-zertifiziert.

 

Tipp 2 – prüfen Sie wie fit Ihre IT-Dienstleister oder Ihre interne IT ist

Schauen Sie in den Verträgen mit Dienstleistern, ob das Thema IT-Sicherheit schriftlich enthalten ist. Gibt es Regelungen für Sicherheitsvorfälle? Wer informiert wen, wenn was passiert? Werden Updates eingepflegt? Wer testet diese Updates und sorgt für eine sichere Lieferkette in den IT-Dienstleistungen? Alles Punkte, die Sie im Griff haben sollten. Weil – wenn was passiert ist es zu spät, dann muss klar sein, wer sich um was kümmert.

 

Tipp 3 – prüfen sie, ob Sie das Wissen haben

Generell appelliere ich, als diejenige die Unternehmenswerte schützen möchte und deshalb Unternehmen dabei unterstützt – besetzen Sie die CISO Rolle. Die wenigsten Geschäftsführer:innen haben das Fachwissen, um diese Rolle innerhalb Ihrer Unternehmensführung selbst wahrzunehmen. Dazu ist das Thema Cybersicherheit inzwischen zu komplex, zu vielfältig und zu umfangreich.

Deswegen ist die Empfehlung – insbesondere für KMUs – sich das Wissen ins Unternehmen zu holen oder eigene Mitarbeitende dorthin zu qualifizieren. Das geht auch gut wenn Sie mit einem Teilzeitauftrag (mind. 50%) und mit externer Unterstützung starten. Dazu gibt es mein Programm -> die CISO MasterClass (siehe Link oben).

Und wer im Unternehmen verfügt über all das Wissen, dass ein CISO hat? Können Sie als Geschäftsführer:in oder Inhaber:in sicherstellen, dass sie alles im Griff haben? Sie haben ein

  • Sicherheitskonzept
  • Einen Krisenmanagement Plan
  • Sie kennen ihre Schwachstellen und wissen welche Werte die wichtigsten sind.
  • sie wissen wo Ihre Daten liegen (alle Daten)
  • sie kennen Ihre Risiken und halten diese nach

Bei mehr als inzwischen 20.100 neuen Schwachstellen im Jahr 2022 (siehe *4) ist es kaum möglich alles im Blick zu haben. Sie brauchen qualifizierte Fachkräfte, die Ihnen einige dieser Aufgaben abnehmen.

Also – lieber investieren sie in einen CISO und sie besetzen die Rolle in Teilzeit – als das sie gar niemanden im Unternehmen haben, der die Kompetenz hat. Und die Aufwände, die anfallen, wenn Ihr Unternehmen gehackt wird sind deutlich höher als das CISO Gehalt. Sie senken Ihr Risiko gehackt zu werden deutlich mit einem CISO an Bord.