CISO-Aufgaben lassen sich nicht mehr nebenbei erfüllen

Obwohl die Sicherheitsbedrohungen immer weiter steigen, wird in vielen Unternehmen die Funktion der CISOs nur ergänzend zu weiteren Aufgaben ausgeübt. CARMAO plädiert deshalb für eine angemessene Neupositionierung der IT-Sicherheitsverantwortlichen. Um deren Rolle mehr Gewicht zu verleihen, veranstaltet das Beratungshaus gemeinsam mit der TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA ab 2018 einen jährlichen CISO Award.

Jedes dritte Unternehmen soll bereits von Datendiebstählen betroffen sein, es herrscht bei Mitarbeitern nur ein begrenztes Bewusstsein für die Security-Risiken und täglich werden neue Meldungen zu Sicherheitsvorfällen in einem teilweise sehr komplexen Umfang bekannt. Gleichzeitig steigen infolge der wachsenden Digitalisierung die Abhängigkeiten von einer sicheren technischen Infrastruktur rasant. 

Doch die Chief Information Security Officer (CISO) bzw. IT-Sicherheitsverantwortlichen, die für ein intelligentes und wirkungsvolles Risikomanagement sorgen sollen, erlangen trotz der überproportional gewachsenen Verantwortung in den Unternehmen vielfach keine adäquate Bedeutung. So wird diese Aufgabe häufig zusätzlich zu einer anderen umfassenden und hierarchisch höher gelagerten Funktion wie die der IT-Leitung übernommen. 

„Ein solches Modell hat ganz entscheidende Nachteile“, betont Ulrich Heun, Geschäftsführer des Beratungshauses CARMAO. So könnten die immer umfangreicheren Aufgaben eines CISO nicht neben dem Management der gesamten IT ausreichend bewältigt werden, da die unzureichenden Ressourcen zwangsläufig zulasten der vielfältigen sicherheitsrelevanten Steuerungs- und proaktiven Schutzaufgaben gehen würden. „In einer Doppelfunktion untergebracht genießt das Risikomanagement zudem auch keine angemessene Bedeutung“, nennt Heun einen weiteren elementaren Nachteil. „Die Notwendigkeit der Risikovorsorge ist zwar grundsätzlich deutlich gestiegen, in den Verantwortungs- und Organisationsstrukturen der Firmen hat sich jedoch erst wenig geändert.“

Er plädiert deshalb dafür, die CISOs als eigenständige Funktion, also ähnlich wie die CIOs, unterhalb der Geschäftsleitung zu definieren. „Dies wäre ein klares Bekenntnis im Hinblick auf die strategische Relevanz des Risikomanagements für das Unternehmen, gleichzeitig würde damit die Aufgabe der CISOs in angemessener Weise aufgewertet.“

Nicht zuletzt um die Rolle der IT-Sicherheitsverantwortlichen zu stärken, haben CARMAO und die TÜV TRUST IT GmbH einen CISO-Award ins Leben gerufen, er wird ab diesem Jahr jährlich vergeben. Eine Teilnahme ist für jeden CISO/Sicherheitsbeauftragten aus den Kategorien Mittelstand, Großunternehmen und Öffentlichen Institutionen möglich. Es werden jeweils die drei besten innovativen Leistungen prämiert. 

Zur hochkarätig besetzten Expertenjury gehören neben Ulrich Heun und Detlev Henze als Vertreter der Veranstalter Frank Fischer (Deutsche Börse Group, Chief Security Officer), Prof. Dr. Christoph Meinel (Institutsdirektor und CEO des Hasso-Plattner-Instituts), Dr. Rolf Reinema (Vice President IT Workplace, Infrastructure & Operations bei ZF Friedrichshafen) sowie Prof. Dr. Oliver Weissmann (Hochschule Darmstadt).