Jedes angeschlossene Gerät im Internet der Dinge rollt den roten Angriffsteppich noch ein Stückchen weiter aus. Ähnlich der anfänglichen Entwicklung des Web 2.0 finden die Sicherheitsbedenken im Internet der Dinge im Tosen der Euphorie noch wenig Gehör. Mein Geschäftsalltag und Medienberichte sprechen aber eine ganz klare Sprache: Die Bedrohung wandelt sich und wächst ständig weiter. Ob Botnetz, Ransomware oder Datendiebstahl – Die Zielscheibe Unternehmen vergrößert sich und der CISO (Chief Information Security Officer) wird zum Sündenbock.

Traditionell ist es seine Aufgabe, eine Strategie zur Informationssicherheit zu formulieren und in seinem Unternehmen eine Sicherheitsorganisation aufzubauen. Er ist dafür verantwortlich, dass Mitarbeiter von ihm eingesetzte Sicherheitsmaßnahmen erfüllen und gibt den Kurs für Security-Guidelines vor. Per Definitionem blickt der CISO also von oben auf die Sicherheitspraxis in seinem Unternehmen und fungiert primär als Berater. Die Praxis zeigt oft ein anderes Bild. Dort ist er häufig noch operativ am Werk und arbeitet sich selbst durch die technischen Systeme der Cybersecurity. Geht was schief, ist er schuld. Selten bekommt er aber die notwendige Entscheidungskompetenz oder Ressourcen, um präventive Maßnahmen einzuführen. In der Praxis treffe ich häufig  drei verschiedene CISO-Typen und zum Erfolg benötigt man auch von jedem ein bisschen:

1. Der technische Spezialist

Dieser CISO hat klassischer Weise einen Abschluss im Bereich der Informationstechnologie in der Tasche, seine Karriere in der IT-Abteilung gestartet und sich von dort aus später spezialisiert. Dieser Typus legt sein Augenmerk wenig überraschend oft auf die technischen Systeme und fühlt sich nicht ganz wohl dabei, Sicherheitsstrategien und Regelvermerke zu formulieren. Er erwirbt idealerweise ein CISM (Chief Information Security Manager) Zertifikat für ein besseres Verständnis der Governance. In kleineren Organisationen lebt dieser CISO sein volles Potenzial aus, denn er ist sich selbst die nächste Hilfe.

2. Der Experte für Prozesse, Organisation und Regularien

Viele CISOs sind durch ihre Funktion als Rechtsexperte und Policy-Berater in die neue Rolle hineingewachsen. Dieser Typus CISO pflegt gute Kontakte zum Management, ist redegewand und sieht Compliance als höchste Priorität. Im Unterschied zum technischen Spezialist, hat er größere Schwierigkeiten mit der Praxis und ihrer Technologie. Die Prüfung zum CISM, sowie Schulungen rund um den Themenkomplex ISO 27001 oder BSI Grundschutzhelfen dabei, ein besseres Verständnis der digitalen Gefahren zu erlangen. Dieser CISO ist besonders in großen Unternehmen gut aufgehoben.

3. Der Sicherheitsfachmann

Dieser CISO ist ein Meister wenn es darum geht, Vorfälle aufzuklären und forensische sowie Abwehrmaßnahmen auszuführen. Er kann in kritischen Situationen schnell reagieren. Die Vorgeschichte dieses Typus ist ganz unterschiedlich. Häufig kommt er aus Polizei und Militär, aber auch aus Beratungen, die Cybersecurity im Leistungsportfolio haben. Manche von ihnen sind auch in Ihrem Unternehmen früher für die physische Sicherheit aktiv gewesen und haben ihren Schwerpunkt nun auf die digitale Sicherheit verlagert. Dieser Typus lernte sein technisches Fachwissen „on the job“.

Welcher dieser Typen für ein Unternehmen die beste Wahl ist, hängt meistens von den strategischen Zielen, der Risikoexposition, regulatorischen Anforderungen und Unternehmensgröße ab. Der ideale CISO ist ein Allrounder, der ein gutes Stück Erfahrung mit einer Kombination aus den oben genannten Typen zusammenbringt.

Eines ist klar: Das Cybersecurity-Umfeld wird im Jahr 2017 weiter an Turbulenz und Drastik gewinnen. Damit die Sicherheitschefs die an sie gestellte Erwartungshaltung erfüllen können, sollte sich ihr Mandat von der Technologie bis hin auf die Business Prozesse erstrecken und dabei bis in die Bereiche von Rechtsvorschriften und Regulierung hineinreichen. Meiner Beobachtung nach halten sich seine Verantwortlichkeit einerseits und Handlungsspielraum und Budget anderseits selten die Waage. Hier ist es besonders wichtig mit den im Schnitt zu geringen Mitteln Schwerpunkte zu setzen. Außerdem gilt die IT-Sicherheit oft als Bremsklotz großer Ambitionen. Diese Ansicht macht es dem CISO nicht gerade leicht. Gemeinsam mit dem Business muss er einen Mittelweg finden zwischen einer sachgemäßen Datenhaltung und ausreichend Bewegungsfreiraum für Mitarbeiter und Kunden. Er sollte nicht als Mister No gelten, sonst werden erfahrungsgemäß ineffiziente Workarounds um die gesetzten Verbote herum geschaffen.

Wie groß ist der Gestaltungsspielraum des obersten Sicherheitschefs in ihrem Unternehmen?