23.04.2015
IT-Security
1. Teil: „Ein CISO braucht mehr als nur Fachwissen“
Ein CISO braucht mehr als nur Fachwissen
Autor: Andreas Fischer
Fotolia / Natis E - shutterstock / TFoxFoto
Unternehmen, die das Thema Sicherheit ernst nehmen, setzen auf den Chief Information Security Officer.
Ende 2014 hat der Hackerangriff auf Sony weltweit Schlagzeilen gemacht. Bis heute ist nicht geklärt, ob die Nordkoreaner, eine unabhängige Hackergruppe oder ein unzufriedener Mitarbeiter dafür verantwortlich waren.
Aufgaben des CISOs
Was macht einen CISO so wichtig und hätte er für Sony den „großen Ansehensverlust“ und einen Schaden „im dreistelligen Millionen-Dollar-Bereich“ (FAZ vom 16.12.2014) verhindern können?
Eine der wichtigsten Aufgaben des Chief Information Security Officers ist der „proaktive Schutz von Menschen, Organen und Organvertretern“, erläutert Wolfgang Reibenspies, langjähriger CISO des Energieversorgers EnBW. Für Reibenspies geht es vor allem um „Aufklärung und Sensibilisierung und damit am Ende um die Menschen, die Informations- und Kommunikationstechnologien für ihre Arbeit nutzen“.
Ein guter CISO wird also im Vorfeld aktiv und verhindert, dass es überhaupt zu einem Datendiebstahl oder einem längeren Ausfall der IT-Systeme kommt. Gerade Letzteres wäre für viele Unternehmen ein Super-GAU, der die Existenz der Firma bedroht.
Überzeugungsarbeit leisten
Zu den Pflichten eines CISOs zählt aber auch, zu verhindern, dass Daten heimlich manipuliert werden. Die Konsequenzen, die sich daraus ergeben, werden häufig unterschätzt. Nach Aussage von Klaus Lenßen, Chief Security Officer bei Cisco Deutschland, „stehen CISOs vor der Aufgabe, Unternehmen über das gesamte Angriffskontinuum zu schützen“.
Michael Lardschneider, früher CISO bei der Munich Re und jetzt Chief Security Officer (CSO) der Münchner Rückversicherungsgesellschaft, zählt zu seinen wichtigsten Aufgaben, „Überzeugungsarbeit zu leisten, auf allen Hierarchieebenen“. Diese Arbeit bedürfe „entsprechender Fachkenntnis – man darf sich nicht ein X für ein U vormachen lassen“, so Lardschneider. Außerdem müsse ein CISO gut Bescheid wissen über die Unternehmenskultur: „Er muss wissen, was geht und was nicht.“ Letztlich komme es darauf an, eine „dicke Haut zu haben und sich nicht entmutigen zu lassen“.
Wolfgang Reibenspies ist sich sicher, dass ein CISO auch mit „weichen“ Fähigkeiten überzeugen muss. Wesentliche Voraussetzungen seien „Wertschätzung, Achtsamkeit und Einfühlungsvermögen, gepaart mit einer hohen Authentizität“. Aber auch „Durchsetzungsfähigkeit mit entsprechendem Durchgriff“ sei notwendig, wenn es zu einem Security-Vorfall gekommen sei. Hier sei vor allem eine „hohe Prozesskompetenz gefragt, die in Notfallsituationen die schnellstmögliche Rückkehr in den Normalbetrieb organisiert und sicherstellt“.
Michael Lardschneider von der Munich Re betont ebenfalls, dass „neben der fachlichen Qualifikation umfangreiche Softskills wie Kommunikation, Teamfähigkeit und diplomatisches Geschick, Hartnäckigkeit und Kompromissfähigkeit, Belastbarkeit und Vertrauenswürdigkeit“ für einen CISO notwendig seien.
2. Teil: „Position des Chief Information Security Officer“
Position des Chief Information Security Officer
Hannigan geht noch einen Schritt weiter und fordert einer neuen CISO-Studie von IBM zufolge, dass „IT-Verantwortliche ihren steigenden Einfluss dazu verwenden müssen, bessere Ergebnisse zu erreichen“. Außerdem sollten sie die Absicherung wichtiger Unternehmensbereiche vorantreiben und Fachkräfte rekrutieren.
Die Autoren der Studie sehen darin ein grundsätzliches Manko: „Die Sicherung gegen Angreifer von außen scheint also für den CISO weniger ein Problem darzustellen als der gleichberechtigte Austausch mit den eigenen Mitarbeitern.“ Wolfgang Reibenspies von EnBW mag dem nicht zustimmen: „Die Zusammenarbeit mit den Fachbereichen ist sehr gut. Reibungen gibt es nicht, sehr wohl aber unterschiedliche Auffassungen, die dann kollegial und kollektiv diskutiert werden.“ Auch Michael Lardschneider von der Munich Re sagt: „Über mangelnde Aufmerksamkeit können sich viele CISOs nicht mehr beklagen.“
Gesteuert werde diese „Sicherheitsorganisation durch den CSO, der im Risiko-Management sitzt und letztlich dem Chief Risk Officer untersteht“. Der CISO sei dagegen nach wie vor Mitglied der IT-Organisation, für die der CIO (Chief Information Officer) verantwortlich ist.
Um die Kollegen zu informieren, verwenden viele CISOs ein Intranet oder sie bauen ein internes Netz mit Multiplikatoren auf, die an verschiedenen Stellen im Unternehmen postiert sind und die Mitarbeiter über neue Sicherheitsrisiken oder über geänderte Regeln informieren. Teils sei es sogar nötig, die Kollegen überhaupt erst auf die Existenz diverser verbindlicher Richtlinien aufmerksam zu machen, bemängeln manche der befragten Praktiker.
3. Teil: „Der Weg zum Chief Information Security Officer“
Der Weg zum Chief Information Security Officer
Chief Information Security Officer ist keine geschützte Berufsbezeichnung und es gibt auch keinen festgelegten Ausbildungsweg. Wer CISO werden will, kann allerdings verschiedene Zertifizierungslehrgänge belegen (siehe „Auch die Kölner CISO-Studie kommt zu dem Ergebnis: „Die berufliche Entwicklung hin zur Position des CISOs wird von den Befragten als eine eher zufällige Entwicklung dargestellt.“ Die Autoren stellen darüber hinaus fest, dass die „Ausbildungen und Berufsentwicklungen der Befragten in der Regel nicht auf eine Tätigkeit als Chief Information Security Officer ausgerichtet waren“.
Der jetzige CSO und frühere CISO der Munich Re, Michael Lardschneider, begann seine Laufbahn bei dem Rückversicherer als „Underwriter in der Einbruchdiebstahl- und Raubversicherung“. Nach drei Jahren wechselte er in die IT-Abteilung und spezialisierte sich dort auf den Kampf gegen Computerviren. 1994 wurde er IT-Sicherheitsbeauftragter der Zentrale in München und übernahm 1998 die neu geschaffene Position des CISOs, der damals dem Zentralbereich IT zugeordnet war. Im Zuge einer Umorganisation 2008 wurde er zum CSO ernannt und war damit zuständig für das Security Risk Management, das Business Continuity Management und die Security Awareness im gesamten Konzern.
Wolfgang Reibenspies von EnBW erlernte dagegen zunächst den Beruf des Elektronikers und kam über die Bereiche Administration und Anwenderunterstützung auf den Posten des CISOs bei EnBW. Reibenspies selbst bezeichnet sich als Autodidakt.
Es gibt also keinen Königsweg, um Chief Information Security Officer zu werden – oder um einen guten CISO für das eigene Unternehmen zu finden. Die folgende Seite dieses Beitrags zeigt einige Zertifizierungen, mit denen Interessenten ihre Fachkenntnisse belegen können. Dass sie auch über die nötigen Softskills verfügen, müssen sie dann in der Praxis beweisen.
4. Teil: „Zertifizierungsmöglichkeiten für angehende CISOs“
Zertifizierungsmöglichkeiten für angehende CISOs
Eine Ausbildung zum CISO gibt es nicht. Verschiedene Zertifikate erleichtern aber den Aufstieg zum Chief Information Security Officer. Hier eine Auswahl.
Certified Information Systems Security Professional (CISSP)
Diese Zertifizierung wurde vom ISC2 (International Information Systems Security Certification Consortium) entwickelt. Geprüft wird in zehn Wissensbereichen im Multiple-Choice-Verfahren. Weitere Informationen gibt es beim ISC2 Chapter Germany.
Teletrust Information Security Professional (TISP)
Dieses Zertifikat wird vom Bundesverband IT-Sicherheit Teletrust angeboten. Es umfasst die wichtigsten internationalen Standards für IT-Sicherheit und geht auch auf deutsche Besonderheiten wie den IT-Grundschutz und die hiesige Gesetzgebung ein. Weitere Informationen: www.teletrust.de.
Certified Information Security Manager (CISM)
Diese Zertifizierung, die von der Information Systems Audit and Control Association (ISACA) vergeben wird, prüft das Fachwissen in mehreren Gebieten wie Information Security Governance und Information Security Incident Management. Sie richtet sich an Manager und Security-Experten mit mindestens fünf Jahren Berufserfahrung. Weitere Informationen gibt es bei der deutschen ISACA-Organisation.
Certified Information Systems Auditor (CISA)
Dieses Zertifikat wird ebenfalls von der ISACA angeboten und umfasst die Bereiche Revision, Kontrolle und Sicherheit von Informationssystemen. Die Ausbildung ist auf das Auditieren von IT-Systemen ausgelegt, um sicherzustellen, dass sie „angemessen gesteuert, überwacht und kontrolliert“ werden. Informationen unter: www.isaca.de.
Huawei Roadshow 2024
Technologie auf Rädern - der Show-Truck von Huawei ist unterwegs
Die Huawei Europe Enterprise Roadshow läuft dieses Jahr unter dem Thema "Digital & Green: Accelerate Industrial Intelligence". Im Show-Truck zeigt das Unternehmen neueste Produkte und Lösungen. Ziel ist es, Kunden und Partner zusammenzubringen.
>>
Nach der Unify-Übernahme
Mitels kombinierte Portfoliostrategie
Der UCC-Spezialist Mitel bereinigt nach der Unify-Übernahme sein Portfolio – und möchte sich auf die Bereiche Hybrid Cloud-Anwendungen, Integrationsmöglichkeiten in vertikalen Branchen sowie auf den DECT-Bereich konzentrieren.
>>
Umweltschutz
Netcloud erhält ISO 14001 Zertifizierung für Umweltmanagement
Das Schweizer ICT-Unternehmen Netcloud hat sich erstmalig im Rahmen eines Audits nach ISO 14001 zertifizieren lassen. Die ISO-Zertifizierung erkennt an wenn Unternehmen sich nachhaltigen Geschäftspraktiken verpflichten.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>