31.08.2023 – Daten bilden das Rückgrat moderner Unternehmen. Sie ermöglichen Wachstum, Innovation und sind zentral für den operativen Erfolg. Aber ebenso wie Daten Chancen bieten, bergen sie Risiken. Ein Sicherheitsvorfall kann nicht nur finanziellen Schaden verursachen, sondern auch das Vertrauen von Kunden und Partnern erschüttern und so die Unternehmensreputation gefährden. Um dem vorzubeugen, wird die proaktive Rolle des Chief Information Security Officer (CISO) zunehmend unverzichtbar. Felix Hagemann, Senior Consultant Technology bei Robert Walters in Frankfurt am Main, erklärt den umfassenden Verantwortungsbereich des CISO, seine Herausforderungen, den Karriereweg und seinen Nutzen für Unternehmen.
Wieso ein CISO unverzichtbar ist
Der fortschreitende digitale Wandel hat Unternehmen in den letzten Jahren kontinuierlich herausgefordert, ihre IT-Infrastrukturen zu erneuern und zu sichern. Die steigende Abhängigkeit von Cloud-Technologien und vernetzten Geräten – auch bekannt als "Internet of Things" (IoT), bei dem physische Geräte mit dem Internet oder anderen Netzwerken verbunden sind – hat die Angriffsfläche vergrößert. Mit der raschen Umstellung auf Homeoffice-Modelle während der Coronapandemie, wurden viele bestehende Sicherheitslücken noch offensichtlicher. Hacker nutzten diese Gelegenheit, um ihre Angriffe zu intensivieren. Eine weltweit durchgeführte Umfrage aus dem Jahr 2022 ergab, dass rund 46 % der befragten Unternehmen in Deutschland mindestens ein Mal Opfer einer Cyber-Attacke wurden (Statista, 2022).
Zusätzlich dazu verschärfen sich auch gesetzliche Compliance-Anforderungen stetig, wie beispielsweise die Digital Operational Resilience Act (DORA) Verordnung, die Bankaufsichtliche Anforderungen an die IT (BAIT) oder Versicherungsaufsichtliche Anforderungen an die IT (VAIT). Unternehmen, die keine robusten Sicherheitsstrategien implementieren, riskieren somit erhebliche Strafen.
Mitten in dieser sich verändernden Landschaft digitaler Transformation und erhöhten externen Bedrohungen, hat die Rolle des CISO an Bedeutung gewonnen. Sie trägt Sorge, dass Integrität, Vertraulichkeit und Zugänglichkeit von Unternehmensinformationen stets erhalten bleiben. Insbesondere in stark regulierten Branchen, wie dem Banken- oder Versicherungswesen, wächst die Komplexität dieser Aufgabe. „Das Bewusstsein für die Bedeutung solider Sicherheitsmaßnahmen nimmt zu, was zu einer erhöhten Nachfrage nach CISOs führt“, merkt Hagemann an.
Was sind die Aufgaben eines CISO?
Ein CISO hat die Aufgabe, eine solide Sicherheitsinfrastruktur für ein Unternehmen zu schaffen und aufrechtzuerhalten. Dazu gehört die Entwicklung von Strategien, das Risikomanagement, der Entwurf von Sicherheitsarchitekturen, die Reaktion auf Sicherheitsvorfälle und die Schulung von Mitarbeitern. Dabei führt er ein Team von Experten und arbeitet eng mit anderen Abteilungen zusammen. Für die Rolle des CISO sind jedoch nicht nur Fachkenntnisse in IT und Cyber Security erforderlich, sondern auch Soft Skills, wie strategisches Denken, zwischenmenschliche Kommunikation und Führungsfähigkeiten.
Wie sieht der Karriereweg eines CISO aus?
„Der Weg zur Position eines CISO gestaltet sich vielfältig. Viele beginnen ihre Karriere als IT Security Analyst oder IT Security Engineer und arbeiten sich durch verschiedene Rollen, wie die des IT Security Architect oder Information Security Officer nach oben“, erklärt Hagemann. „Um sich als CISO zu qualifizieren, werden zudem häufig Zertifikate wie CISSP, CISM oder aber Erfahrung mit regulatorischen Standards wie GDPR oder ISO 27001 gefordert“, so Hagemann.
Hagemann erklärt weiter: „Wer CISO werden möchte, sollte immer am Ball bleiben: Regelmäßig Neues lernen, mit anderen Experten aus der IT-Sicherheit in Kontakt stehen, das Wissen in speziellen Bereichen vertiefen und keine wichtigen Konferenzen verpassen. All das kann einen entscheidenden Vorsprung in dieser sich schnell verändernden Branche bewirken.“
Wie viel verdient ein CISO?
Die Gehälter für CISOs variieren stark je nach Unternehmensgröße, Branche, geografischem Standort und Erfahrung. In großen Unternehmen oder in Branchen, die besonders stark von Cyberbedrohungen betroffen sind (wie Finanzdienstleistungen oder Technologie), können die Gehälter deutlich höher sein. Hagemann: „Generell können die Jahresgehälter von CISOs im unteren bis mittleren sechsstelligen, in seltenen Fällen sogar siebenstelligen Bereich liegen.“
Genauere Angaben zu den Gehältern finden Sie in unserer jährlichen Gehaltsstudie.
Komplexe Hürden für den CISO
Die Arbeit eines CISO ist nicht frei von Hindernissen. Im Kontext von „There is no glory in prevention“ haben CISOs oft Schwierigkeiten, das Management von der Notwendigkeit präventiver Sicherheitsmaßnahmen zu überzeugen. Das Dilemma: Die Rechtfertigung von Sicherheitsinvestitionen ist häufig dadurch erschwert, dass ihre Erfolge nicht sofort erkennbar sind.
Zusätzlich zur Überzeugungsarbeit, steht der CISO vor einer sich ständig verändernden Cyberbedrohungslandschaft. Der Mangel an qualifizierten Fachkräften kann es deutlich erschweren, ein effektives Sicherheitsteam aufzubauen. Des Weiteren können Budgetbeschränkungen die Umsetzung umfassender Sicherheitsstrategien behindern. Nicht zuletzt muss der CISO sicherstellen, dass komplexe Datenschutz- und Sicherheitsvorschriften kontinuierlich eingehalten werden.
„Ein sicheres Umfeld – und das müssen Unternehmen erkennen – ist die Grundlage für Innovation. Nur in einem stabilen Rahmen können Unternehmen wachsen, ohne ständig von Sicherheitsbedenken gebremst zu werden“, betont Hagemann. Diese einzigartige Balance zwischen Risikomanagement und Geschäftsinnovation verdeutlicht die vielschichtigen Herausforderungen, denen sich ein CISO gegenübersieht.
Begriffe
CISSP = Certified Information Systems Security Professional
CISM = Certified Information Security Manager
GDPR = General Data Protection Regulation, also die Datenschutz-Grundverordnung
ISO 27001 = Ein internationaler Standard für Informationssicherheit
Quelle
Statista, 2022:
https://de.statista.com/statistik/daten/studie/1230157/umfrage/unternehmen-die-in-den-letzten-12-monaten-eine-cyber-attacke-erlebt-haben/
.png){kind=logo}
