Denn neben den schlagzeilenträchtigen Cyberattacken mit hinterhältigen Trojanern, Spyware oder sonstigen Schadprogrammen sind es diese kleinen, alltäglichen Sorglosigkeiten im Umgang mit vertraulichen Daten, die Kriminellen ihr Handwerk erleichtern.

Mehr als 50 Prozent aller Unternehmen in Deutschland wurden nach einer Studie des Digitalverbandes Bitkom in den vergangenen Jahren Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl. Der geschätzte Schaden: 55 Milliarden Euro. Tendenz steigend. Um dem entgegenzuwirken, haben viele Unternehmen und Institutionen inzwischen eigens die Position eines CISO eingerichtet, manche bauen auch auf die Hilfe eines externen Informationssicherheitsbeauftragten. Ob fest angestellt oder angeheuert: Der Job ist mit jeder Menge Aufgaben verbunden, die von Organisation zu Organisation unterschiedlich ausfallen können. Die wichtigsten Aufgaben sind die Identifizierung aller sicherheitsrelevanten Prozesse und die Durchführung von Risikoanalysen. Die daraus resultierenden Sicherheitsmaßnahmen und Unternehmensrichtlinien zählen ebenso zur Jobbeschreibung dazu.

Der CISO hat alle Prozesse im Blick

Der CISO denkt strategisch. Er will Sicherheitslücken und Probleme schon im Vorfeld durch ein ganzheitliches Risikomanagement verhindern. „Es geht darum, neben den geplanten Projekten alle Unternehmensprozesse unter die Lupe zu nehmen, die bereits laufen“, sagt Christian Fötinger, Informationssicherheitsbeauftragter bayerischer Hochschulen und Universitäten. „Was passiert zum Beispiel bei der Einstellung neuer Mitarbeiter? Wo werden die Daten abgelegt? Wer hat Zugriff darauf? Ab wann und von wem erhalten die Kollegen Zugriffsrechte auf Unternehmensdaten und -netzwerke?“

Dabei hat ein CISO im Gegensatz zu einem IT-Sicherheitsbeauftragten nicht nur digitale, sondern auch alle analogen Prozesse im Auge. „Wir schauen auch darauf, wenn beispielsweise der Personalchef Gehaltszettel oder Gesundheitsakten offen auf seinem Schreibtisch liegen lässt und sein Büro nicht absperrt“, so Fötinger.

Damit sind wir bei einer weiteren Hauptaufgabe eines CISO: Er sollte durch Schulungen und im permanenten Austausch mit dem Management und den Mitarbeitern in der gesamten Organisation das nötige Problembewusstsein im Umgang mit Informationen herstellen. Denn „fehlende Sensibilität und unzureichend geschützte Informationen stellen einen häufig unterschätzten Risikofaktor dar, der für manche Institution existenzbedrohend sein kann“, steht im Leitfaden Informationssicherheit des Bundesamts für Sicherheit in der Informationstechnik (BSI).

CISO-Fokus liegt auf Sicherheit aller Daten

Oft werden die Stellenbeschreibungen des CISO, des Sicherheitsbeauftragten CSO und des IT-Managers CIO gleichbedeutend verwendet. Tatsächlich kann es zu Aufgabenüberschneidungen kommen. Doch die Rollen lassen sich deutlich voneinander abgrenzen. Der CISO-Fokus liegt auf der Sicherheit aller Informationen und Daten. Der CIO wiederum ist für den reibungslosen und sicheren Betrieb der ITK-Infrastruktur zuständig, wie beispielsweise Arbeitsplatzrechner, Netzwerke oder die eingesetzte Software.

Für den Informationssicherheitsbeauftragten gibt es keine konkrete Ausbildung, das Berufsbild ist erst um die Jahrtausendwende mit der rasanten Entwicklung von Internet, sozialen Netzwerken und der Smartphone-Technologie entstanden. „Die meisten meiner Kollegen haben wie ich Informatik studiert und sich durch Aufbaustudien und -kurse weitergebildet“, sagt Fötinger. „Einige kommen auch aus den Bereichen Prozess- oder Qualitätsmanagement.“

Mit zertifizierten Lehrgängen zum Beispiel vom Bundesverband für IT-Sicherheit Teletrust, der Information Systems Audit and Control Association oder von Industrie- und Handelskammern (IHK) lässt sich die Eignung und Kompetenz eines CISO nachweisen. Die Kurse vermitteln die erforderlichen Kenntnisse unter anderem in den Bereichen Antimalwaresoftware, Netzwerkadministration, IT-Sicherheit und -Forensik sowie der aktuellen Skript- und Programmiersprachen.

Wer eine CISO-Stelle anstrebt, sollte neben Kenntnissen der entsprechenden Branche ein fundiertes Wissen über die gesetzlichen Rahmenbedingungen und Richtlinien besitzen, um Sicherheitslösungen regelkonform umsetzen zu können. Dazu gehören vor allem die IT-Grundschutzkataloge, ISO 17799, ISO 27001 und ISO/IEC 13335 sowie Basel II, SOX und PCI.

Bedeutung des CISO nimmt zu

Fest steht: Die Bedeutung des CISO wird mit der zunehmenden Digitalisierung auf allen gesellschaftlichen und wirtschaftlichen Ebenen und den daraus resultierenden Gefahren von Datenmissbrauch, Datendiebstahl und Datenverfälschung immer größer. Für Banken ist die Installation eines Informationssicherheitsbeauftragten seit November letzten Jahres durch neue Bankaufsichtliche Anforderungen an die IT (BAIT) der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFiN) obligatorisch. Kleinere Institute können sich gemeinsam einen solchen Beauftragten teilen, der künftig alle Sicherheitsprozesse dokumentieren und vierteljährlich einen Bericht vorlegen muss.

Eine weitere Aufwertung hat der Beruf des Informationssicherheitsbeauftragten durch die neue Datenschutz- Grundverordnung DSGVO erfahren, die am 25. Mai nach zweijähriger Übergangsfrist in Kraft trat. Das Gesetz soll EU-weit für einen besseren Datenschutz sorgen. Insbesondere die Verarbeitung personenbezogener Daten durch Unternehmen, Vereine oder Behörden wird deutlich strenger geregelt.

Sollten Unternehmen den verantwortungsvollen Umgang mit personenbezogenen, sensiblen Daten nicht nachweisen können, drohen ihnen ab sofort Geldstrafen in Millionenhöhe. Bislang hatte bei einem Verlust solcher persönlicher Daten nicht das betreffende Unternehmen den Schaden, sondern die betroffenen Personen, deren Daten gestohlen wurden. Auf die verantwortungsvolle Arbeit des CISO wird es nun künftig verstärkt ankommen, nicht nur um hohe Geldbußen abzuwenden, sondern auch, um den damit einhergehenden Imageverlust für den Betrieb oder die Organisation zu verhindern.

TEXT Karl-Heinz Patzer

Schreiben Sie einen Kommentar