31.08.2023 – Daten bilden das Rückgrat moderner Unternehmen. Sie ermöglichen Wachstum, Innovation und sind zentral für den operativen Erfolg. Aber ebenso wie Daten Chancen bieten, bergen sie Risiken. Ein Sicherheitsvorfall kann nicht nur finanziellen Schaden verursachen, sondern auch das Vertrauen von Kunden und Partnern erschüttern und so die Unternehmensreputation gefährden. Um dem vorzubeugen, wird die proaktive Rolle des Chief Information Security Officer (CISO) zunehmend unverzichtbar. Annalena Prieb, Senior Consultant IT bei Robert Walters in Hamburg, erklärt den umfassenden Verantwortungsbereich des CISO, seine Herausforderungen, den Karriereweg und seinen Nutzen für Unternehmen.
Der fortschreitende digitale Wandel hat Unternehmen in den letzten Jahren kontinuierlich herausgefordert, ihre IT-Infrastrukturen zu erneuern und zu sichern. Die steigende Abhängigkeit von Cloud-Technologien und vernetzten Geräten – auch bekannt als "Internet of Things" (IoT), bei dem physische Geräte mit dem Internet oder anderen Netzwerken verbunden sind – hat die Angriffsfläche vergrößert. Mit der raschen Umstellung auf Homeoffice-Modelle während der Coronapandemie, wurden viele bestehende Sicherheitslücken noch offensichtlicher. Hacker nutzten diese Gelegenheit, um ihre Angriffe zu intensivieren. Eine weltweit durchgeführte Umfrage aus dem Jahr 2022 ergab, dass rund 46 % der befragten Unternehmen in Deutschland mindestens ein Mal Opfer einer Cyber-Attacke wurden (Statista, 2022).
Zusätzlich dazu verschärfen sich auch gesetzliche Compliance-Anforderungen stetig, wie beispielsweise die Digital Operational Resilience Act (DORA) Verordnung, die Bankaufsichtliche Anforderungen an die IT (BAIT) oder Versicherungsaufsichtliche Anforderungen an die IT (VAIT). Unternehmen, die keine robusten Sicherheitsstrategien implementieren, riskieren somit erhebliche Strafen.
Mitten in dieser sich verändernden Landschaft digitaler Transformation und erhöhten externen Bedrohungen, hat die Rolle des CISO an Bedeutung gewonnen. Sie trägt Sorge, dass Integrität, Vertraulichkeit und Zugänglichkeit von Unternehmensinformationen stets erhalten bleiben. Insbesondere in stark regulierten Branchen, wie dem Banken- oder Versicherungswesen, wächst die Komplexität dieser Aufgabe. „Das Bewusstsein für die Bedeutung solider Sicherheitsmaßnahmen nimmt zu, was zu einer erhöhten Nachfrage nach CISOs führt“, merkt Prieb an.
Ein CISO hat die Aufgabe, eine solide Sicherheitsinfrastruktur für ein Unternehmen zu schaffen und aufrechtzuerhalten. Dazu gehört die Entwicklung von Strategien, das Risikomanagement, der Entwurf von Sicherheitsarchitekturen, die Reaktion auf Sicherheitsvorfälle und die Schulung von Mitarbeitern. Dabei führt er ein Team von Experten und arbeitet eng mit anderen Abteilungen zusammen. Für die Rolle des CISO sind jedoch nicht nur Fachkenntnisse in IT und Cyber Security erforderlich, sondern auch Soft Skills, wie strategisches Denken, zwischenmenschliche Kommunikation und Führungsfähigkeiten.
„Der Weg zur Position eines CISO gestaltet sich vielfältig. Viele beginnen ihre Karriere als IT Security Analyst oder IT Security Engineer und arbeiten sich durch verschiedene Rollen, wie die des IT Security Architect oder Information Security Officer nach oben“, erklärt Prieb. „Um sich als CISO zu qualifizieren, werden zudem häufig Zertifikate wie CISSP, CISM oder aber Erfahrung mit regulatorischen Standards wie GDPR oder ISO 27001 gefordert“, so Prieb.
Prieb erklärt weiter: „Wer CISO werden möchte, sollte immer am Ball bleiben: Regelmäßig Neues lernen, mit anderen Experten aus der IT-Sicherheit in Kontakt stehen, das Wissen in speziellen Bereichen vertiefen und keine wichtigen Konferenzen verpassen. All das kann einen entscheidenden Vorsprung in dieser sich schnell verändernden Branche bewirken.“
Die Gehälter für CISOs variieren stark je nach Unternehmensgröße, Branche, geografischem Standort und Erfahrung. In großen Unternehmen oder in Branchen, die besonders stark von Cyberbedrohungen betroffen sind (wie Finanzdienstleistungen oder Technologie), können die Gehälter deutlich höher sein. Prieb „Generell können die Jahresgehälter von CISOs im unteren bis mittleren sechsstelligen, in seltenen Fällen sogar siebenstelligen Bereich liegen.“
Genauere Angaben zu den Gehältern finden Sie in unserer jährlichen Gehaltsstudie.
Die Arbeit eines CISO ist nicht frei von Hindernissen. Im Kontext von „There is no glory in prevention“ haben CISOs oft Schwierigkeiten, das Management von der Notwendigkeit präventiver Sicherheitsmaßnahmen zu überzeugen. Das Dilemma: Die Rechtfertigung von Sicherheitsinvestitionen ist häufig dadurch erschwert, dass ihre Erfolge nicht sofort erkennbar sind.
Zusätzlich zur Überzeugungsarbeit, steht der CISO vor einer sich ständig verändernden Cyberbedrohungslandschaft. Der Mangel an qualifizierten Fachkräften kann es deutlich erschweren, ein effektives Sicherheitsteam aufzubauen. Des Weiteren können Budgetbeschränkungen die Umsetzung umfassender Sicherheitsstrategien behindern. Nicht zuletzt muss der CISO sicherstellen, dass komplexe Datenschutz- und Sicherheitsvorschriften kontinuierlich eingehalten werden.
„Ein sicheres Umfeld – und das müssen Unternehmen erkennen – ist die Grundlage für Innovation. Nur in einem stabilen Rahmen können Unternehmen wachsen, ohne ständig von Sicherheitsbedenken gebremst zu werden“, betont Prieb. Diese einzigartige Balance zwischen Risikomanagement und Geschäftsinnovation verdeutlicht die vielschichtigen Herausforderungen, denen sich ein CISO gegenübersieht.
CISSP = Certified Information Systems Security Professional
CISM = Certified Information Security Manager
GDPR = General Data Protection Regulation, also die Datenschutz-Grundverordnung
ISO 27001 = Ein internationaler Standard für Informationssicherheit
Statista, 2022:
https://de.statista.com/statistik/daten/studie/1230157/umfrage/unternehmen-die-in-den-letzten-12-monaten-eine-cyber-attacke-erlebt-haben/
Laufende Entwicklungen in der IT führen dazu, dass ITler sich immer mehr auf einen Bereich fokussieren und in diesem spezialisieren. Experten - insbesondere aus dem IT-Bereich – werden stetig von Unternehmen angefragt. Oftmals ist das Fachwissen über bestimmte Bereiche der Branche oder auch nur für
WeiterlesenVorstellungsgespräche für Senior- oder Managementpositionen unterscheiden sich stark von denen für mittlere oder Junior-Positionen. Nicht nur die Erwartungen sind insgesamt höher, auch der Bewerbungsprozess selbst fällt oftmals länger und intensiver aus. Interviews mit Führungskräften erfolgen typis
WeiterlesenIst aktuell der richtige Zeitpunkt, den Job zu wechseln? Auf der einen Seite stehen Unternehmen, die massiv Stellen abbauen, was in vielen Bereichen wie dem Maschinenbau, der Automobilindustrie und der Chemiebranche zu beobachten ist. Auf der anderen Seite gibt es krisenresistente Branchen, wie Ener
WeiterlesenWerde Teil unseres globalen Teams aus kreativen Köpfen, Problemlösern und Vordenkern. Wir bieten flexible Aufstiegschancen, eine dynamische Unternehmenskultur und nationale, wie auch internationale Trainings & Schulungen.