Vormals teils in Personalunion ausgeübt, sehen es Sicherheitsexperten heute fraglos als notwendig an, die Rollen des CIO und des CISO in Organisationen im öffentlichen wie im privaten Sektor zu differenzieren. Unternehmen, die bisher die Ansicht vertraten, ein Generalist wie der Chief Information Officer könne sich auch um die Cyber-Sicherheit kümmern, denken inzwischen mehr und mehr um. CIOs (Chief Information Officers) sind zuständig für die Auswahl, Verwaltung und Funktionalität der Informationssysteme eines Unternehmens und pflegen und innovieren die technische Infrastruktur der Unternehmensentwicklung entsprechend. CISOs (Chief Information Security Officers) dagegen sind für den Schutz dieser IT-Infrastruktur vor potenziellen Bedrohungen durch Cyber-Angriffe und Datenrichtlinienverletzungen verantwortlich. Während der CIO für eine geschäftsorientierte Strategie zur Transformation der IT einer Organisation zu sorgen hat, muss der CISO eine Cyber-Sicherheitsstrategie entwickeln und umsetzen.
Die Aufgaben von CIO und CISO können sich in einer Reihe von Bereichen überschneiden. Ein solcher Bereich ist die Datensicherheit, bei der beide Rollen für die Sicherheit der Unternehmensdaten verantwortlich sind. Der CIO schaut dabei auf die Datenqualität, während der CISO für die Entwicklung und Umsetzung von Sicherheitsmaßnahmen zu deren Schutz zuständig ist. Ein weiterer gemeinsamer Bereich ist die Netzwerkarchitektur. Beide Rollen sind dafür verantwortlich, dass die Netzwerke und Systeme des Unternehmens auf dem neuesten Stand sind, wobei sich der CIO auf die Optimierung der Leistung und der CISO auf die Sicherung der Netzwerkinfrastruktur konzentriert. In der Zusammenarbeit von CIO und CISO liegt die Chance, eine sichere und leistungsstarke IT-Architektur für das Unternehmen zu entwickeln und zu implementieren und das Unternehmen so vor Cyber-Bedrohungen zu schützen.
In die Rolle des CISO lediglich hineinzustolpern, ist nicht die beste Strategie. Wer seine Karriere vorantreiben möchte und seine Chance im Bereich der Cyber-Sicherheit sieht, sollte sich gut vorbereiten. Einige Unternehmen verlangen von Bewerbern, dass sie einen Bachelor-Abschluss im Bereich Cyber-Sicherheit oder sogar einen Master of Science in Cyber Security (MSCS) vorweisen können. Doch den meisten Unternehmen ist relevante technische Erfahrung mindestens genauso wichtig. Sie erwarten meist rund fünf Jahre Berufserfahrung im Bereich der Cyber-Sicherheit und technische Kenntnisse, die sich auf die spezifischen Bedrohungen in einer bestimmten Branche beziehen.
Moderne Unternehmen sehen sowohl ihren CIO als auch den CISO als transformative Führungspersönlichkeiten, die gemeinsam eine unabdingliche Leistung für die IT eines Unternehmens erbringen und für die Widerstandsfähigkeit sorgen, die das Erreichen der Geschäftsziele erst ermöglicht. Wer sich also als zukünftiger CISO sieht, sollte seine Führungsqualitäten entwickeln. Das schließt kommunikative Fähigkeiten, ein überzeugendes persönliches Auftreten und die Fähigkeit ein, in stressigen Situationen ruhig zu bleiben. Von Bewerbern, die ein leistungsfähiges Cyber-Sicherheitsteam aufbauen und Teammitglieder effektiv führen wollen, wird Managementerfahrung erwartet, meist soll man sich fünf Jahre in einer vergleichbaren Position bewährt haben. Unternehmen, die einen CISO einstellen wollen, suchen Kandidaten, die das Unternehmen in die Zukunft führen können. Bewerber müssen daher Interesse an persönlicher Weiterentwicklung zeigen und beweisen, dass sie ein talentiertes und engagierten Team unterstützen und zukunftsfähig machen können.
„Es gibt keinen eindeutigen Weg, den angehende CISOs einschlagen müssen“, erläutert Marco Eggerling, CISO EMEA bei Check Point Software Technologies. „Vielmehr können eine Reihe von Cybersicherheitszertifizierungen, ein neugieriger Geist und ein starkes Netzwerk von Kollegen dabei helfen, sich auf die Rolle vorzubereiten.“ Wer sich jedoch für das Karriereziel CISO entscheidet, sollte die Weichen dafür möglichst früh während des beruflichen Werdegangs stellen. Insbesondere wer den Aufstieg vom Sicherheitsingenieur innerhalb eines Unternehmens im Auge hat, sollte beachten, dass sich Sicherheitsingenieure in erster Linie auf die Suche nach Problemen konzentrieren. Ein angehender CISO wird jedoch die Bedeutung der Cyber-Sicherheit als Business Enabler und nicht als Kostenstelle betonen. Wer Wege findet, seinen Vorgesetzten aufzuzeigen, wie sich der Umsatz des Unternehmens steigern lässt, wird sich auszeichnen können.
CIO und CISO haben zwar unterschiedliche Zuständigkeiten, können aber in vielen Bereichen eine gemeinsame Basis finden, z. B. bei der Umgestaltung der Unternehmenskultur im Hinblick auf den Geschäftswert von IT und Sicherheit. Das kann insbesondere auch für die eigene Karriere wichtig werden, wenn Unternehmen Cyber-Sicherheit immer noch als Nullsummenspiel betrachten. Außerdem herrscht in vielen Führungsetagen die Erwartung, dass es keinen einzigen Cyber-Angriff auf das Unternehmen geben darf. Im Falle eines Sicherheitsvorfalls wird ein CISO dann schnell als erfolglos betrachtet. In dieser Hinsicht strategisch zu denken, heißt auch, die Führungsebene auf realistische Szenarien vorzubereiten und Erfolgskriterien (z. B. x Prozent der Angriffe zu verhindern) vorzuschlagen. In jedem Fall müssen CISOs ihren Wissensstand ständig aktualisieren. „Was für die Implementierung von Cybersicherheit vor Ort erforderlich ist, unterscheidet sich von dem, was für die Cloud erforderlich ist“, so Check-Point-CISO Eggerling. „Mit dem Aufkommen von immer mehr Automatisierungs- und KI-basierten Tools muss auch das Wissen stetig neu angepasst werden.“
Wenn Sicherheitsingenieur und angehende CISOs die Sprache der Wirtschaft sprechen, können sie ihren Beitrag zur Ausrichtung von IT und Sicherheit an den Unternehmenszielen besser kommunizieren und Führungskräfte über die Bewertung von und den angemessenen Schutz vor Sicherheitsrisiken aufklären. Wer sich auf eine Stelle als CISO bewirbt, sollte zur Vorbereitung auf das Vorstellungsgespräch eine Strategie zur Risikobewertung entwickeln, die alle Faktoren berücksichtigt, die die Sicherheitslage des Unternehmens beeinflussen können. Diese Strategie sollte eine Bewertung der aktuellen Sicherheitsmaßnahmen des Unternehmens beinhalten, aber auch einen Ausblick auf potenzielle Bedrohungen geben, die das Unternehmen betreffen könnten. Wer zeigen kann, wie Technologie, Innovation und Cyber-Sicherheit Hand in Hand arbeiten können – nicht nur um Geschäftsrisiken zu verringern, sondern um Werte zu schaffen, sollte gute Karten als CISO haben.
