Ein CISO braucht mehr als nur Fachwissen

Ende 2014 hat der Hackerangriff auf Sony weltweit Schlagzeilen gemacht. Bis heute ist nicht geklärt, ob die Nordkoreaner, eine unabhängige Hackergruppe oder ein unzufriedener Mitarbeiter dafür verantwortlich waren.

Der Angriff geschah ungefähr zu dem Zeitpunkt, zu dem Sony mit John Scimone einen neuen CISO (Chief Information Security Officer) ernannte. Der Wechsel an der Spitze der Sicherheitsabteilung kam jedoch zu spät. Scimone konnte den Datendiebstahl nicht mehr verhindern, bei dem unter anderem zahlreiche peinliche Details aus dem Privatleben amerikanischer Filmstars veröffentlicht wurden.

Was macht einen CISO so wichtig und hätte er für Sony den „großen Ansehensverlust“ und einen Schaden „im dreistelligen Millionen-Dollar-Bereich“ (FAZ vom 16.12.2014) verhindern können?

Eine der wichtigsten Aufgaben des Chief Information Security Officers ist der „proaktive Schutz von Menschen, Organen und Organvertretern“, erläutert Wolfgang Reibenspies, langjähriger CISO des Energieversorgers EnBW. Für Reibenspies geht es vor allem um „Aufklärung und Sensibilisierung und damit am Ende um die Menschen, die Informations- und Kommunikationstechnologien für ihre Arbeit nutzen“.

Ein guter CISO wird also im Vorfeld aktiv und verhindert, dass es überhaupt zu einem Datendiebstahl oder einem längeren Ausfall der IT-Systeme kommt. Gerade Letzteres wäre für viele Unternehmen ein Super-GAU, der die Existenz der Firma bedroht.

Zu den Pflichten eines CISOs zählt aber auch, zu verhindern, dass Daten heimlich manipuliert werden. Die Konsequenzen, die sich daraus ergeben, werden häufig unterschätzt. Nach Aussage von Klaus Lenßen, Chief Security Officer bei Cisco Deutschland, „stehen CISOs vor der Aufgabe, Unternehmen über das gesamte Angriffskontinuum zu schützen“.

Michael Lardschneider, früher CISO bei der Munich Re und jetzt Chief Security Officer (CSO) der Münchner Rückversicherungsgesellschaft, zählt zu seinen wichtigsten Aufgaben, „Überzeugungsarbeit zu leisten, auf allen Hierarchieebenen“. Diese Arbeit bedürfe „entsprechender Fachkenntnis – man darf sich nicht ein X für ein U vormachen lassen“, so Lardschneider. Außerdem müsse ein CISO gut Bescheid wissen über die Unternehmenskultur: „Er muss wissen, was geht und was nicht.“ Letztlich komme es darauf an, eine „dicke Haut zu haben und sich nicht entmutigen zu lassen“.

Wolfgang Reibenspies ist sich sicher, dass ein CISO auch mit „weichen“ Fähigkeiten überzeugen muss. Wesentliche Voraussetzungen seien „Wertschätzung, Achtsamkeit und Einfühlungsvermögen, gepaart mit einer hohen Authentizität“. Aber auch „Durchsetzungsfähigkeit mit entsprechendem Durchgriff“ sei notwendig, wenn es zu einem Secu­rity-Vorfall gekommen sei. Hier sei vor allem eine „hohe Prozesskompetenz gefragt, die in Notfallsituationen die schnellstmögliche Rückkehr in den Normalbetrieb organisiert und sicherstellt“.

Michael Lardschneider von der Munich Re betont ebenfalls, dass „neben der fachlichen Qualifikation umfangreiche Softskills wie Kommunikation, Teamfähigkeit und diplomatisches Geschick, Hartnäckigkeit und Kompromissfähigkeit, Belastbarkeit und Vertrauenswürdigkeit“ für einen CISO notwendig seien.

Der CISO ist heute typischerweise in den oberen Etagen der Unternehmensführung angesiedelt. Laut Brendan Hannigan, General Manager bei IBM Security, bekommen „CISOs endlich einen Platz im Vorstand“. Auch nach Aussage von EnBW-Mann Wolfgang Reibenspies benötigt der CISO „einen direkten Berichtsweg zur Geschäftsleitung“. In vielen Unternehmen ist er direkt dem CSO (Chief Security Officer) unterstellt.

Hannigan geht noch einen Schritt weiter und fordert einer neuen CISO-Studie von IBM zufolge, dass „IT-Verantwort­liche ihren steigenden Einfluss dazu verwenden müssen, bessere Ergebnisse zu erreichen“. Außerdem sollten sie die Absicherung wichtiger Unternehmensbereiche vorantreiben und Fachkräfte rekrutieren.

In einer CISO-Studie der Kölner Kommunikationsagentur Known Sense wurden 30 Sicherheitsverantwortliche in ausführlichen Interviews befragt. In dieser Studie mit dem Titel „Die Wirklichkeit von CISOs – Strategien, Typen und Visionen: Aus der Abwehr in den Beichtstuhl“ wird die Rolle des CISOs im Unternehmen als „Sonderstellung“ bezeichnet, die mit einer „gewissen Entrückung im Unternehmensbetrieb“ einhergehe. Als eine Schwierigkeit ihrer Aufgaben bezeichneten die befragten CISOs, dass sie selber „nichts Konkretes produzieren, das vorzeigbar wäre und an dem man die eigene Wirksamkeit erleben oder demonstrieren“ könne.

Die Autoren der Studie sehen darin ein grundsätzliches Manko: „Die Sicherung ge­gen Angreifer von außen scheint also für den CISO weniger ein Problem darzustellen als der gleichberechtigte Austausch mit den eigenen Mitarbeitern.“ Wolfgang Reibenspies von EnBW mag dem nicht zustimmen: „Die Zusammenarbeit mit den Fachbereichen ist sehr gut. Reibungen gibt es nicht, sehr wohl aber unterschiedliche Auffassungen, die dann kollegial und kollektiv diskutiert werden.“ Auch Michael Lardschneider von der Munich Re sagt: „Über mangelnde Aufmerksamkeit können sich viele CISOs nicht mehr be­klagen.“

Das hat bei dem weltweit agierenden Rückversicherer dazu geführt, dass die damit verbundenen Aufgaben „nicht mehr von einer einzigen Person, sondern von einem Netzwerk von Experten wahrgenommen werden“, so Lardschneider.

Gesteuert werde diese „Sicherheitsorganisation durch den CSO, der im Risiko-Management sitzt und letztlich dem Chief Risk Officer untersteht“. Der CISO sei dagegen nach wie vor Mitglied der IT-Organisa­tion, für die der CIO (Chief Information Officer) verantwortlich ist.

Um die Kollegen zu informieren, verwenden viele CISOs ein Intranet oder sie bauen ein internes Netz mit Multiplikatoren auf, die an verschiedenen Stellen im Unternehmen postiert sind und die Mitarbeiter über neue Sicherheitsrisiken oder über geänderte Regeln informieren. Teils sei es sogar nötig, die Kollegen überhaupt erst auf die Existenz diverser verbindlicher Richtlinien aufmerksam zu machen, bemängeln manche der befragten Praktiker.

Chief Information Security Officer ist keine geschützte Berufsbezeichnung und es gibt auch keinen festgelegten Ausbildungsweg. Wer CISO werden will, kann allerdings verschiedene Zertifizierungslehrgänge belegen (siehe „Zertifizierungsmöglichkeiten für angehende CISOs“).

Auch die Kölner CISO-Studie kommt zu dem Ergebnis: „Die berufliche Entwicklung hin zur Position des CISOs wird von den Befragten als eine eher zufällige Entwicklung dargestellt.“ Die Autoren stellen darüber hinaus fest, dass die „Ausbildungen und Berufsentwicklungen der Befragten in der Regel nicht auf eine Tätigkeit als Chief Information Security Officer ausgerichtet waren“.

---

Der jetzige CSO und frühere CISO der Munich Re, Michael Lardschneider, begann seine Laufbahn bei dem Rückversicherer als „Underwriter in der Einbruchdiebstahl- und Raubversicherung“. Nach drei Jahren wechselte er in die IT-Abteilung und spezialisierte sich dort auf den Kampf gegen Computer­viren. 1994 wurde er IT-Sicherheitsbeauftragter der Zentrale in München und übernahm 1998 die neu geschaffene Position des CISOs, der damals dem Zentralbereich IT zugeordnet war. Im Zuge einer Umorganisation 2008 wurde er zum CSO ernannt und war damit zuständig für das Security Risk Management, das Business Continuity Management und die Security Awareness im gesamten Konzern.

Wolfgang Reibenspies von EnBW erlernte dagegen zunächst den Beruf des Elektronikers und kam über die Bereiche Administration und Anwenderunterstützung auf den Posten des CISOs bei EnBW. Reibenspies selbst bezeichnet sich als Autodidakt.

Es gibt also keinen Königsweg, um Chief Information Security Officer zu werden – oder um einen guten CISO für das eigene Unternehmen zu finden. Die folgende Seite dieses Beitrags zeigt einige Zertifizierungen, mit denen Interessenten ihre Fachkenntnisse belegen können. Dass sie auch über die nötigen Soft­skills verfügen, müssen sie dann in der Praxis beweisen.

Eine Ausbildung zum CISO gibt es nicht. Verschiedene Zer­tifikate erleichtern aber den Aufstieg zum Chief Information Security Officer. Hier eine Auswahl.

Diese Zertifizierung wurde vom ISC2 (International Information Systems Security Certification Consortium) entwickelt. Geprüft wird in zehn Wissensbereichen im Multiple-Choice-Verfahren. Weitere Informationen gibt es beim ISC2 Chapter Germany.

Dieses Zertifikat wird vom Bundesverband IT-Sicherheit Teletrust angeboten. Es umfasst die wichtigsten internationalen Standards für IT-Sicherheit und geht auch auf deutsche Besonderheiten wie den IT-Grundschutz und die hiesige Gesetzgebung ein. Weitere Informationen: www.teletrust.de.

Diese Zertifizierung, die von der Information Systems Audit and Control Association (ISACA) vergeben wird, prüft das Fachwissen in mehreren Gebieten wie Information Security Governance und Information Security Incident Management. Sie richtet sich an Manager und Security-Experten mit mindestens fünf Jahren Berufserfahrung. Weitere Informationen gibt es bei der deutschen ISACA-Organisation.

Dieses Zertifikat wird ebenfalls von der ISACA angeboten und umfasst die Bereiche Revision, Kontrolle und Sicherheit von Informationssystemen. Die Ausbildung ist auf das Auditieren von IT-Systemen ausgelegt, um sicherzustellen, dass sie „angemessen gesteuert, überwacht und kontrolliert“ werden. Informationen unter: www.isaca.de.