CISO & Co. im Wandel? (1) : Wie sich Zuständigkeiten, Rollen und Rahmenbedingungen für steuernde und tragende Rollen in der IT-/Informations-Sicherheit verändern

Eine Verschiebung der Verantwortlichkeiten beobachtet Marco Eggerling, Global CISO bei Check Point Software Technologies: „Mit steigenden regulatorischen Anforderungen werden Aufgaben oft klarer definiert, aber auch zwischen Risikomanagement, Compliance und technischen Sicherheitsrollen aufgeteilt. Frameworks wie NIST und ISO entwickeln sich weiter und führen sowohl zu einer Aggregation als auch zu einer Trennung von Aufgaben. CISOs müssen die Einhaltung strategischer Sicherheitsziele mit der Ausrichtung auf Geschäftsziele in Einklang bringen.“

„Aktuell beobachten wir eine zunehmende Komplexität in der IT-Sicherheit, die sowohl zu einer Aggregation als auch zu einer Spezialisierung von Aufgaben führt“, berichtet Roland Stritt, VP Central EMEA bei SentinelOne: „Regulatorische Anforderungen wie NIS-2 oder DORA fördern die Etablierung klar definierter Rollen, während gleichzeitig bereichsübergreifende Zusammenarbeit wichtiger wird, um ganzheitliche Sicherheitsstrategien umzusetzen.“

Einen ganzheitlichen unternehmensweiten Ansatz sieht Dr. Sebastian Schmerl, Regional VP Security Services EMEA bei Arctic Wolf, im Fokus: „Durch aktuelle Regularien steigt der Druck, Sicherheitsstrategien mit Unternehmenszielen zu verzahnen. Während einige Unternehmen Sicherheitsaufgaben zentralisieren, setzen andere auf eine dezentrale, aber gut vernetzte Struktur mit stärkerer Einbindung von Fachabteilungen und externen Partnern sowie dem Outsourcing von Sicherheitsaufgaben, die spezialisierte Expertise und tiefes Know-how verlangen.“

„Es ist der gesamtheitliche Blick auf Cybersecurity, den Regularien in den letzten Jahren verstärkt gefördert haben“, betont Christoph Schuhwerk, CISO in Residence Zscaler EMEA: „Dadurch wird ein stärkerer Fokus auf Zusammenarbeit gelegt und wir beobachten vor allem, dass Infrastruktur- und Netzwerk-Sicherheit sowie die CISO-Organisation stärker zusammenwachsen – sowohl aus finanzieller als auch organisatorischer Sicht. So wandert beispielsweise die Zuständigkeit für das Identity-Management zunehmend in den Bereich der Cyber-Sicherheit, während sie bislang eher in der Infrastruktur-Abteilung verortet war.“

„CISOs übernehmen vermehrt Verantwortung für technische Themen wie Cyber-Defense und Identity- und Access-Management (IAM)“, sagt auch Manuel Seiferth, Partner und Cyber Strategy Lead bei PwC Deutschland: „Dabei wird ihr Mandat von der IT auf die OT und auch die Produktsicherheit ausgedehnt. Diese Entwicklungen sind regulatorisch getrieben, aber auch eine Reaktion auf die eskalierende Bedrohungslage.“ Zudem würden Vorstände ihre persönliche Verantwortung für Cybersecurity vermehrt „proaktiv und engagiert“ wahrnehmen – CISOs werden organisatorisch aufgewertet und berichten zunehmend direkt an die Geschäftsführung.

Einen wachsenden Einfluss der CISO-Arbeit auf die Wettbewerbsfähigkeit von Unternehmen beobachtet Daniel Gehrig, Principal Consultant Advisory Group IS4IT: „Die NIS-2-Direktive führt stark zu einer Aggregierung der Aufgaben und Ressourcen in den Organisationen. Diese von der CISO-Organisation geführten Maßnahmen beschränken sich nicht nur auf die IT-Abteilung, sondern betreffen auch Personalwesen, Einkauf, Produktion, Entwicklung und viele andere Unternehmensbereiche.“ Neben Support und Verwaltung erfasse die Sicherheitsarbeit damit verstärkt auch die Wertschöpfungsprozesse.

„Die Umsetzung von IT-Sicherheitsmaßnahmen und Regularien wie NIS-2 ist umfangreich und betrifft Unternehmen in ihrer Gänze. Aufgaben werden zunehmend aggregiert, da IT-Sicherheit mit Datenschutz und Compliance verschmilzt, während spezialisierte Rollen, etwa für Cloud- oder Identitätssicherheit, entstehen“, unterstreicht Stefan Rabben, Regional Sales Director Fudo Security.

„Derzeit wirken vor allem drei große Faktoren auf die Cybersecurity ein“, konstatiert Christian Nern, Partner und Head of Security Solutions bei KPMG im Bereich Financial Services: die fortschreitende digitale Transformation, die aktuelle Bedrohungslage mit Cyberangriffen sowie regulatorische Anforderungen. „All das bringt eine zunehmende Verzahnung von IT-Security mit Risikomanagement und Compliance. Deswegen müssen Unternehmen zukünftig ihre Cyber-Security-Threats (Angriffsverktoren) kennen und daraus Maßnahmen ableiten. Das Ergebnis: Es braucht Leute und Technologien, welche die verschiedenen Themen zusammenbringen und pragmatische Lösungen vorschlagen.“

„Die Themen Compliance und IT-Sicherheit scheinen stärker zusammenzuwachsen“, berichtet auch Dr. Kai Martius, CTO secunet Security Networks, „insbesondere weil immer mehr Compliance-Regularien explizit auf IT-Sicherheit abzielen. Daher wird zumindest eine viel engere Kooperation zwischen den bisher eher juristisch orientierten Compliance-Abteilungen und den Informationssicherheitsbereichen relevant.“

„Weil Bedrohungen immer raffinierter und zielgerichteter werden, wächst der Druck auf IT-Leiter, und die Rolle des CISO gewinnt an Sichtbarkeit und Verantwortung“, beobachtet Miro Mitrovic, Area Vice President DACH bei Proofpoint. In der Folge würden wir sowohl eine Ausweitung als auch eine Einschränkung dieser Rolle erleben: „Einige CISOs werden noch mehr Verantwortung übernehmen müssen, während es bei anderen zu einer Fragmentierung kommt. In diesem Zusammenhang hören wir auch immer häufiger von Fällen, in denen die Rolle des CISO mit der Begründung aufgeteilt wird, dass die Aufgabe ‚zu viel für eine Person ist‘. Ich glaube nicht, dass es sich hier um einen allgemeinen Trend handelt, aber mancherorts wird die Rolle zwischen Cyber-Architektur, Bedrohungsabwehr und Incident-Response auf der einen Seite und Cyber-Governance, Risik und Compliance (GRC) auf der anderen Seite aufgeteilt.“ Das mache es allerdings schwieriger zu wissen, wer letztlich die Verantwortung trägt.

Angesichts der zunehmenden Bedeutung der Cyber-Sicherheit herrsche ein ernsthafter Mangel an Ressourcen und Talenten, antwortet James Hughes, GTM Leader EMEA bei Rubrik: „Im Umkehrschluss sind CISOs in den letzten Jahren deutlich sichtbarer und relevanter geworden und haben mehr Aufgaben übernommen. Doch es fehlt ihnen oft an Handlungsspielraum und finanzieller Unterstützung, um wirklich entscheidende Maßnahmen umsetzen zu können. Beispielsweise sind sie zwar für die Datensicherheit zuständig, haben jedoch oft keine Kontrolle darüber, wie die Daten generiert, gespeichert und verwaltet werden.“

Für Corey Nachreiner, CSO bei WatchGuard, impliziert die Rolle des CISO heute vor allem den Umgang mit menschlichen Befindlichkeiten und Governance-Themen: „Ein wichtiger Teil der Arbeit des CISO ist die Einflussnahme auf andere Abteilungsleiter – schließlich zählt die Priorisierung von Sicherheit, selbst wenn dies möglicherweise mit dem Erreichen anderweitiger Geschäftsziele kollidiert. Insofern kann ein CISO kaum isoliert agieren und muss Beziehungen in alle Unternehmensbereiche pflegen.“ Gleichzeitig treibe der Fachkräftemangel die Kosten in die Höhe: „Während die Sicherheitsbudgets im Zuge des Ransomware-Aufkommens vor einigen Jahren gefühlt angestiegen sind, ist diese Entwicklung aufgrund der wirtschaftlichen Situation weltweit eher wieder rückläufig. Kurz gesagt: Der Eindruck, dass CISOs mit weniger Geld und weniger Ressourcen viel mehr leisten müssen, ist nicht unbegründet.“

„Im Lichte gesetzlicher Anforderungen an die Cybersicherheit ist zunehmend der Wille vorhanden, Aufgaben zu aggregieren – jedoch mit eher mäßigem Erfolg, da zum Teil das Know-how fehlt oder aber die zuständigen Abteilungen einfach zu unterschiedlich arbeiten, um wirklich effizient zu sein“, gibt Prof. Dr. Dennis-Kenji Kipker, Research Director am cyberintelligence.institute und Mitglied des Präsidiums der Gesellschaft für Informatik (GI) e. V. zu bedenken: „Dadurch entstehen im betrieblichen Informationssicherheitsmanagement noch zu hohe Reibungsverluste, die die Effizienz mindern. Bestes Beispiel ist die komplexe Koordination der Zusammenarbeit von CISO, CIO, IT-Administration, Produktentwicklung, Beschaffung und der Rechtsabteilung.“

Für die Fachgruppe „Privacy Enhancing Technologies (PET)“ der GI antwortet IT-Compliance-Managerin Dr. Aleksandra Sowa: „Der Trend zu mehr Unabhängigkeit der CISO ist rückläufig – sowohl personell als auch finanziell. In Unternehmen und Behörden übernehmen IT-Sicherheitsverantwortliche wieder zunehmend operative Aufgaben – zusätzlich zu ihren originären Verpflichtungen zu Strategie, Steuerung, IT-Sicherheitsaudits oder Cybersicherheitsschulungen.“ Anders als beim Datenschutzbeauftragten fehle es der Rolle des CISO an klaren regulatorischen Vorgaben: „Eine Vorbildfunktion könnte der in der Cybersicherheitsagenda des BMI angekündigte CISO BUND haben – allerdings wartet deren Umsetzung bereits seit Sommer 2022.“

„Generell lässt sich beobachten, dass verstärkt spezialisiertes Personal zur operativen Informationssicherheit gesucht wird, um der Fülle der aus regulatorischen Vorschriften sowie technischen Fortentwicklungen resultierenden Herausforderungen überhaupt halbwegs gerecht werden zu können“, sagt Bernhard C. Witt, Principal on Cybersecurity and Critical Entities Protection bei der SITS Deutschland und Mitglied im Leitungsgremium der GI-Fachgruppe „Management von  Informationssicherheit“: „Für einen CISO oder ISB führt das zu einer Verlagerung der Tätigkeit eher in den strategischen oder Sicherheitsdesign-bezogenen Bereich und darauf aufbauend gegebenenfalls zur Orchestrierung der Stellen zur operativen Informationssicherheit. Zunehmend wird in diesem Zusammenhang über die Ausrichtung der Funktion als CISO im Sinne der Garantenstellung mit betreffenden Unternehmen diskutiert – noch wird dieser Schritt aber nur in Ausnahmefällen gegangen.“

Der CISO entwickelt sich zunehmend vom primären Technologen zu einer zentralen Führungspersönlichkeit mit strategischer Entscheidungskompetenz. War der CISO bisher rein auf die Informationssicherheit bedacht, ist er heute ein wichtiges Beratungsorgan für die Geschäftsführung und integraler Treiber der digitalen Transformation eines Unternehmens: Fragen der Cybersecurity müssen bei allen Entscheidungen von vornherein mitbedacht werden!“, unterstreicht Marius von Spreti, Deloitte Cyber Risk Lead Deutschland.

Eigenständigkeit und Haftbarkeit

Richard Werner, Security Advisor bei Trend Micro, sieht ebenfalls einen Wandel des CISO von einer rein technologischen Position hin zu einer geschäftsorientierten Rolle: „Mit der zunehmenden strategischen Bedeutung von IT-Sicherheit wird von ihnen erwartet, nicht nur ein tiefes Verständnis für Sicherheitsaspekte mitzubringen, sondern diese auch in Einklang mit den Geschäftszielen des Unternehmens bringen. Intern führt das in der Regel zu einer größeren Verantwortung aber auch Mitspracherecht bei Geschäftsentscheidungen. Wird dies positiv umgesetzt, bedeutet das, dass IT-Sicherheit beim Entscheidungsprozess von Anfang an mit berücksichtigt wird (Security by Design).“

„Der CISO war immer schon ein Berater der Geschäftsführung, der jetzt mehr und mehr auch eine finanzielle Leitungsfunktion übernimmt, und Budgets auf unterschiedliche Bereiche aufteilt. Hier sehen wir einen Wandel, bei dem klassische Budgets und Entscheidungen aus dem Netzwerkbereich auf den CISO übergehen“, berichtet Schuhwerk (Zscaler): „Eine Zunahme der persönlichen Haftbarkeit des CISOs wird seine Lage nicht verbessern, denn die Karriere des Sicherheitsverantwortlichen wurde schon immer am Erfolg gemessen.“

Nachreiner (WatchGuard) gibt zu bedenken: „Ich glaube, ein CISO muss zur Rechenschaft gezogen werden – aber nur, solange es in seiner Macht gestanden hätte, eine Situation zu verhindern. Wenn Unternehmenslenker Sicherheitskontrollen verweigern, weil sie befürchten, dass diese das Geschäft ausbremsen könnten, dann ist das eine Entscheidung, für die die Leitungsebene selbst Verantwortung übernehmen sollte. Ein guter CISO hätte in dem Fall dokumentiert, dass von ihm angeregte Maßnahmen im Unternehmen abgelehnt wurden.“ Solche zusätzlichen Rechenschaftspflichten und mögliche Haftungsrisiken erhöhen zwar den Druck auf CISOs: „Dennoch sehe ich darin einen wirksamen Hebel, um Nachlässigkeit in der Cybersicherheit zu verhindern. Zeigt ein CISO mangelhafte Kontrolle oder vertuscht Vorfälle, ist Haftung gerechtfertigt. Die persönliche Haftung sollte CISOs motivieren, ihr Bestes für die Cybersicherheit ihres Unternehmens zu geben. Nichtsdestotrotz steigern Nachrichten wie die Berichte zur Verurteilung des Uber-CISO, der fahrlässig handelte, nicht unbedingt das Wohlbefinden auf CISO-Seite – egal, wie redlich man seinen Aufgaben nachgeht.“

Auch Mitrovic (Proofpoint) registriert einen gestiegenen Druck auf CISOs durch öffentlich gewordene Rechtsstreitigkeiten sowie ständig neue Vorschriften: „Wie eine unserer Studien zeigt, sind 74 % der deutschen CISOs besorgt über die persönliche, finanzielle und rechtliche Haftung in ihrer Funktion.“ Ein Jahr zuvor habe diese Quote 2023 noch bei 52 % gelegen.

Rabben (Fudo Security) mahnt: „CISOs gewinnen an strategischer Bedeutung, um steigende Cyberrisiken in Einklang mit den Unternehmenszielen anzugehen, doch weniger als die Hälfte ist aktiv in Geschäftsentscheidungen eingebunden. Eine steigende persönliche Haftbarkeit erhöht den Druck auf CISOs, Entscheidungen sorgfältig zu dokumentieren, kann aber auch abschreckend wirken – fast zwei Drittel würden ohne Absicherung gegen Schadensersatzansprüche als Konsequenz einer Cyberattacke nicht in einem Unternehmen arbeiten.“

„Wenn es um die persönliche Verantwortung von CISOs geht, steht oft die Frage im Raum, ob ihnen  grobe Fahrlässigkeit vorgeworfen werden kann. CISOs können und sollten sich davor schützen, indem sie alle sicherheitsrelevanten Entscheidungen, Maßnahmen und Prozesse umfassend dokumentieren. Nur so können sie im Ernstfall nachweisen, dass sie ihre Aufgaben gewissenhaft erfüllt haben. Eine pauschale Haftbarkeit ist hingegen sicherlich nicht zielführend, da sie auf potenzielle Kandidaten abschreckend wirkt“, sagt Seiferth (PwC): „Wir sehen bei den CISOs in Deutschland definitiv eine zunehmende operative Verantwortung für Cyber-Security. Diese Entwicklung ist aus unserer Sicht sinnvoll, da die CISOs so mehr Gewicht bekommen und ihre Ziele noch konsequenter vorantreiben können.“ Doch auch hier gebe es noch Optimierungspotenzial: „Der Digital-Trust-Insights-2025-Studie von PwC zufolge spielen bisher nur 45 % der deutschen CISOs eine aktive Rolle bei der strategischen Planung von Cyberinvestitionen.“

„Mit seiner steigenden Bedeutung steht der CISO vor dem Dilemma, einerseits eine zunehmend herausgehobene Rolle einzunehmen, andererseits aber genauso immer mehr von den einzelnen Fachabteilungen abhängig zu sein, in denen die Informationssicherheit als bereichsübergreifende Rolle spielt. Das Jobprofil des CISO entwickelt sich damit zu einer Dauerbelastungsstelle, die ihn im Falle persönlicher Haftbarkeit in seinen Entscheidungen hemmt“, warnt Kipker (cyberintelligence.institute).

„Haftbarkeit hängt schon immer an der Art, wie die Funktion im Unternehmen aufgesetzt ist – Board-Level versus ‚irgendwo in der IT vergraben‘“, antwortet Hermann (ISACA) und unterstreicht: „Haftbarkeit setzt grundsätzlich voraus, dass der CISO aktiv Einfluss auf die Umsetzung der Sicherheitsmaßnahmen hat – das heißt, auch die operativen Bereiche entsprechend steuert. Das ist in vielen Unternehmen nicht gegeben.“

Sowa (GI) verweist zur Bestimmung der Verantwortlichkeit nicht zuletzt auf die NIS-2-Richtlinie, die in Art. 20 Abs. 1 fordert: „Die Mitgliedstaaten stellen sicher, dass die Leitungsorgane wesentlicher und wichtiger Einrichtungen die von diesen Einrichtungen zur Einhaltung von Artikel 21 ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen, ihre Umsetzung überwachen und für Verstöße gegen diesen Artikel durch die betreffenden Einrichtungen verantwortlich gemacht werden können.“ Entscheidend sei, dass diese Vorgabe bei der Umsetzung in nationales Recht nun nicht verwässert werde und: „Ebenso wichtig ist die klare Unterscheidung zwischen Verantwortung Responsibility) für IT-Sicherheit, die alle Mitarbeitenden sowie Stakeholder tragen, und der Accountability, die gemäß NIS-2 bei den Leitungsorganen liegt.“

Auch Gehrig (IS4IT) sieht Geschäftsführer und Vorstände durch NIS-2 in der Pflicht: „Diese persönlich haftend zu machen, ist zwar die einzige richtige Lösung, die meisten haben aber nicht die Security-Fachkompetenz, um diese Verantwortung zu ‚leben‘. Sie wird daher immer häufiger durch entsprechende Rollen- und Stellenbeschreibungen an den CISO übertragen. Dies funktioniert rechtswirksam nur dann, wenn diese Aufgabendelegation regelmäßig geprüft wird und sichergestellt ist, dass der CISO ausreichende Kompetenzen hat.“ Im Übrigen werde eine damit einhergehende persönliche Haftung für IT-Sicherheitsverantwortliche „die Situation des Fachkräftemangels nicht verbessern und somit auch nicht die Sicherheit erhöhen“.

„Eine persönliche Haftbarkeit des CISO ist nicht zielführend, da die endgültigen Entscheidungen zum Eingehen von Risiken durch die Fachbereiche und die Leitung getroffen werden müssen“, sagt Christian Friedrich, Senior Managing Consultant bei HiSolutions: „Der Grad der Eigenständigkeit hängt hingegen von der Organisation ab – eine Tendenz ist schwer auszumachen.“

„Mehr Verantwortung für CISOs im Sinne klassischer Compliance-Anforderungen (Separation of Duties) wäre sicher wünschenswert. Auch hinsichtlich ihrer beratenden Funktion kann die Rolle von CISOs mehr der einer Rechtsabteilung gleichgesetzt werden“, gibt Martius (secunet) zu bedenken: „Letztlich können CISOs aber im Zweifel eben nur beraten und auf Risiken hinweisen. Daher ist es entscheidend, dass Verstöße haftungsrechtliche Folgen für die eigentlichen Entscheider haben – ansonsten bleibt IT-Sicherheit ein ‚Nice to have‘.“

Eine engere Verzahnung mit Governance- und Rechtsabteilungen hält Schmerl (Arctic Wolf ) für unerlässlich, denn: „CISOs gewinnen an Eigenständigkeit und tragen mehr Verantwortung. Besonders, wenn sie auf Vorstandsebene agieren, steigt auch die persönliche Haftung. Diese Entwicklung könnte dazu führen, dass CISOs risikobasierte Entscheidungen noch stärker dokumentieren und Compliance-Aspekte priorisieren.“

Auch Eggerling (Check Point) sieht einen Trend zu mehr Unabhängigkeit für CISOs mit direktem Einfluss auf die Entscheidungsfindung, der mit einer erhöhten persönlichen Haftung einhergeht – insbesondere bei Verstößen gegen Vorschriften: „Dies erhöht den Druck auf CISOs, Risiken und Geschäftsanforderungen abzuwägen. Mehr Verantwortung bedeutet, dass CISOs datengesteuerte Entscheidungen treffen müssen, die oft die Führung herausfordern, aber langfristige Belastbarkeit und Einhaltung von Vorschriften gewährleisten.“

„Es gibt eine klare Tendenz zu mehr Eigenständigkeit und direkter Verantwortung von CISOs – diese werden immer mehr zu strategischen Entscheidern“, beobachtet Stritt (SentinelOne). Dabei könne die Zunahme der persönlichen Haftbarkeit sowohl „zu einer risikoaverseren Entscheidungsfindung führen, gleichzeitig aber auch das Bewusstsein für Compliance und Governance stärken“.

Von Spreti (Deloitte) betont, dass die Cybersecurity längst nicht mehr ein Gegenspieler des Business, sondern einer dessen wichtigster Mitspieler sei: „Diese Entwicklung bringt eine Veränderung der Verantwortung mit sich. Die operative Verantwortung liegt bei CISOs – die Gesamtverantwortung und Haftung trägt die Geschäftsführung. Die NIS-2-Richtlinie sieht vor, dass leitende Angestellte für grobe Pflichtverletzungen haftbar gemacht werden können. Diese Haftbarkeit könnte zu vorsichtigeren Entscheidungen und einem verstärkten Fokus auf Risikomanagement führen.“ Gleichzeitig bedeute eine engere Anbindung an die Geschäftsführung auch, dass der CISO die Sprache der Entscheider auf Vorstandsebene sprechen muss: „Das passiert vor allem über eine Value-based Betrachtungsweise. Der CISO muss also vermehrt wirtschaftlich denken und agieren, statt Prozesse rein mit der Technologie-Brille zu betrachten. Dabei sollte er immer wieder deutlich machen, dass effektive Cybersecurity-Maßnahmen und die Einführung einer modernen Security-Architektur – beispielsweise auf Basis des Zero-Trust-Ansatzes – nicht nur Risiken minimieren, sondern einen erheblichen Return of Invest (ROI) versprechen.“

Die Fortsetzung dieses Beitrags behandelt in der nächsten Ausgabe der <kes> weitere Fragen zur inhaltlichen Ausrichtung von CISO & Co. sowie zu aktuellen Herausforderungen und zukünftigen Veränderungen für die Sicherheitsorganisation.