CISO & Co. im Wandel? (2) : Wie sich Zuständigkeiten, Rollen und Rahmenbedingungen für steuernde und tragende Rollen in der IT-/Informationssicherheit verändern

„Der Industrietrend geht klar zu mehr technischen Insights beim CISO“, bemerkt Christoph Schuhwerk, CISO in Residence Zscaler EMEA: „Er muss zwar den gesamten neutralen Blick über alle Risiken behalten, um gezielt gegensteuern zu können. Ein CISO kann dem Vorstand aber nicht die richtigen Antworten geben und verkaufen, ohne ein gewisses Level an technischem Verständnis mitzubringen – das wird heute auch von seiner Rolle erwartet.“

Prof. Dr. Dennis-Kenji Kipker, Research Director am cyberintelligence.institute und Mitglied des Präsidiums der Gesellschaft für Informatik (GI) e.V., prognostiziert: „CISOs werden in Zukunft immer stärker auch operativ mit konkreten Technologien arbeiten müssen – die Anforderungen, die in einem Unternehmen an die Informationssicherheit angelegt werden, sind einfach zu unterschiedlich geworden. Cybersicherheit ist schon lange keine abstrakte Gewährleistungsverantwortung mehr, sondern muss anhand konkreter Produkte und Prozesse jeden Tag von Neuem betrieblich gelebt werden.“

Als ‚Second Line of Defense‘ ist es die Aufgabe des CISO, Security-Vorgaben zu definieren und ihre Umsetzung zu prüfen. Der CISO/Vorstand muss dafür sorgen, dass im Unternehmen Security by Design sichergestellt ist – er muss Strategie, Cyber-Resilienz sowie Governance/Compliance und Risikomanagement im Fokus haben, aber er braucht nicht jede Technologie im Detail zu beherrschen“, sagt Christian Nern, Partner und Head of Security Solutions bei KPMG im Bereich Financial Services, gibt aber auch zu bedenken: „Technologisches Grundverständnis ist jedoch essenziell, besonders für Trends wie KI-gestützte Cyber-Angriffe oder Cloud-Security. Die Balance zwischen High-Level-Sicherheitsstrategie und operativem Verständnis ist entscheidend für eine gute und effiziente Steuerung.“

IT-Compliance-Managerin Dr. Aleksandra Sowa aus der GI-Fachgruppe „Datenschutzfördernde Technik (PET)“ sieht sukzessiv gestiegene Anforderungen an CISOs: „Aus der operativen Sicherheit heraus entwickelte sich die Rolle hin zur Beratung des Topmanagements und der Fachabteilungen – auch bei Investitionsentscheidungen – sowie zur Kontrolle und Auditierung der Umsetzung von Vorgaben zur Informationssicherheit. Auch deshalb sollten weder die IT-Abteilung noch der CIO die Funktion, Aufgaben oder Zuständigkeiten des CISO definieren oder sich diese teilen – jedenfalls, wenn man ernsthafte Interessenkonflikte vermeiden möchte.“

„Der Fokus von CISOs verschiebt sich zunehmend in Richtung Compliance und Regulierung, insbesondere durch NIS-2 und andere Standards“, beobachtet auch Dr. Sebastian Schmerl, Regional Vice President Security Services EMEA bei Arctic Wolf: „Dennoch bleibt technisches Wissen essenziell, um Risiken realistisch bewerten zu können. Der CISO muss die Brücke zwischen Business, Regulierung und Technologie schlagen – mit einem klaren Verständnis für Bedrohungen, ohne sich in Detailfragen zu verlieren.“

Teamarbeit und externe Hilfe

Bernhard C. Witt, Principal on Cybersecurity and Critical Entities Protection bei der SITS Deutschland und Mitglied im Leitungsgremium der GI-Fachgruppe „Management von Informationssicherheit“ betont: „Durch den Schwerpunktwechsel hin zu sicherheitstechnischen Design-Entscheidungen muss ein CISO/ISB weiterhin ein ausreichend überblicksartiges Fachwissen sowohl der spezifischen Technik als auch der Vorgehensweisen zur Steuerung und Aufrechterhaltung von Informationssicherheit besitzen.“ Insoweit sei eine leichte Verschiebung in einen höheren Abstraktionsgrad unvermeidbar. „Um die technischen Details kümmern sich zunehmend Security-Engineers. Deren Stelleninhaber benötigen aber einen verlässlichen Kompass, da infolge der hohen Vernetzung und Kaskadenwirkungen der betreffenden Informations- und Kommunikationstechnik (IKT) ohne aktiven Austausch mit dem CISO/ISB nur schwer ein zielführendes Vorgehen abgeleitet werden kann.“

Der CISO und sein Stab müssen in der Lage sein, die richtigen Trends und Technologien zu erkennen und verstehen. Nur interne Personen kennen die Organisation, deren Risiken und Möglichkeiten“, mahnt Daniel Gehrig, Principal Consultant Advisory Group IS4IT: „Implementieren kann ein externer Dienstleister Produkte oft besser und schneller. Viele Maßnahmen sind klar definierte Ansätze mit technischen Details und einem konkreten Zieldesign – für den CISO ist hier eine Beurteilungskompetenz ausreichend.“

Christian Friedrich, Senior Managing Consultant bei HiSolutions, beschreibt hohe Anforderungen: „Idealerweise sollte ein CISO umfangreiches Wissen in den Bereichen interner Organisationsabläufe, zu Regulatorik und Standards sowie Technik/IT haben. Das kann in der Regel nicht von einer einzelnen Person geleistet, sondern nur durch ein Team abgebildet werden. Wenn ein solches Team nicht vorhanden ist, dann sind aus meiner Sicht die Bereiche Organisation und Regulatorik wichtiger – das notwendige Know-how für die Technik kann dann von Experten der IT abgerufen werden.“

„Meiner Meinung nach muss ein CISO die technischen Details kennen, um die Risiken im Detail bewerten und die richtigen Schritte zur Risikominderung einleiten zu können. Er braucht ein klares Verständnis der technischen Umsetzung“, sagt Corey Nachreiner, Chief Security Officer (CSO) bei WatchGuard Technologies: „Darüber hinaus kommt es jedoch immer mehr auf die Fähigkeiten zur strategischen Kommunikation innerhalb des Unternehmens an – technische Details zur IT-Sicherheit rücken dabei in den Hintergrund. Es geht darum, Führungskräfte und Mitarbeitende ohne technischen Hintergrund zu überzeugen und verständlich zu informieren. Um Maßnahmen im Einklang mit den Geschäftszielen zu bewerten, müssen CISOs die Unternehmensabläufe und die Gewinn-und-Verlustrechnung des Unternehmens ebenso gut kennen wie jede andere Führungskraft. Ein Mix aus technischem Know-how, strategischem Wissen und Kommunikationsfähigkeit ist entscheidend.“

„Es muss ein Gleichgewicht zwischen strategischer Aufsicht und technischer Kompetenz herrschen, da praktisches Wissen fundierte Entscheidungen und Anpassungsfähigkeit in dynamischen Umgebungen gewährleistet“, unterstreicht Marco Eggerling, Global CISO bei Check Point Software Technologies: „Die Rolle des CISO verschiebt sich in Richtung Strategie auf höherer Ebene, erfordert jedoch weiterhin ein ausgeprägtes technisches Verständnis. Während abstraktes Denken für die Ausrichtung der Sicherheit auf Geschäftsziele von entscheidender Bedeutung ist, müssen CISOs sich weiterhin mit neuen Technologien befassen, um effektiv führen zu können.“

„CISOs befinden sich seit jeher in einem gewissen Spannungsfeld zwischen Management und IT-Praxis“, konstatiert Stefan Rabben, Regional Sales Director bei Fudo Security: „Sie müssen Unternehmensstrategie mit Sicherheit vereinen und genug technisches Wissen haben, um Risiken zu bewerten und IT-Sicherheitsrichtlinien effektiv umzusetzen – daher ist das Grundverständnis der Sicherheitstechniken unabdingbar.“

Vom Macher zum Moderator?

„Ziel eines CISO ist es nicht, das Unternehmen so sicher wie möglich zu machen“, meint Marius von Spreti, Deloitte Cyber Risk Lead Deutschland: „Stattdessen spielt der CISO die Rolle des Mediators, der in einem hochdynamischen Umfeld mit komplexer Bedrohungslage risikobasierte Sicherheitsstrategien mit dem Geschäftsnutzen kombiniert.“

„Mit der Einbindung von IT-Security in das Risikomanagement, wie es beispielsweise durch NIS-2 verlangt wird, erhalten CISOs zunehmend die Aufgabe, ihre Tätigkeit der Geschäftsführung gegenüber verständlich zu vermitteln“, sagt auch Richard Werner, Security Advisor bei Trend Micro: „Dafür ist es – neben entsprechenden Kommunikationsfähigkeiten – vor allem wichtig, bestehende Cyberrisiken zu erkennen und qualitativ zu beurteilen. Technologisch sind Lösungen gefragt, welche das Risiko der eigenen Angriffsoberfläche ins Verhältnis mit dem Vorgehen von Angreifern setzen.“

„Die Rolle von CISOs ist es nicht, technische Produkte oder Lösungen vorzugeben, sondern dafür zu sorgen, dass es Prozesse gibt, in deren Rahmen passende und angemessene Produkte und Lösungen gefunden werden. Diese müssen dann auch immer wieder auf den Prüfstand gestellt werden“, antwortet Dr. Kai Martius, CTO secunet Security Networks: „Das bedeutet allerdings, dass sich CISOs im technischen ‚Lösungsraum‘ soweit auskennen sollten, dass sie die Sinnhaftigkeit bestimmter Technologien und deren Versprechen für die Compliance bewerten können. Letztlich entsteht Compliance jedoch aus einer Vielzahl von Produkten, deren Zusammenwirken und dem dazugehörigen ‚Lifecycle-Management‘ (also Prozessen wie nach ISO 27001). Insofern ist es noch wichtiger, dass CISOs ein Verständnis für diesen ganzheitlichen Ansatz haben.“

Probleme und Herausforderungen

„Die wachsende Bedeutung und Anerkennung von CISOs hat weltweit zu stärkerem Druck, mehr Verpflichtungen und einer genaueren Überprüfung ihrer Rolle geführt – zuweilen zu stark: Fast zwei Drittel (61 %) der deutschen CISOs sind unserem ‚2024 Voice of the CISO‘- Report zufolge der Meinung, dass die Erwartungen an den CISO/CSO unrealistisch sind“, kommentiert Miro Mitrovic, Area Vice President DACH bei Proofpoint.

„Extern steigt der Druck durch neue Bedrohungen und strengere Regularien kontinuierlich“, beobachtet Rabben (Fudo Security): „Intern kämpfen CISOs um Investitionen in die IT-Sicherheit, da Vorstände oft betriebswirtschaftliche Interessen priorisieren. Auch die oft fragmentierten Zuständigkeiten in Unternehmen erschweren eine einheitliche IT-Sicherheitsstrategie.“

Schmerl (Arctic Wolf) unterstreicht: „Ein CISO allein erreicht wenig – Erfolg hängt von der Unterstützung durch IT-Teams, Fachabteilungen und Sicherheitsdienstleistern ab. Häufig fehlt es an klaren Verantwortlichkeiten oder einer Sicherheitskultur im Unternehmen. Auch die Balance zwischen Sicherheitsanforderungen und geschäftlicher Agilität stellt eine Herausforderung dar. Externe Faktoren wie Lieferkettenrisiken oder regulatorische Unsicherheit erhöhen den Druck zusätzlich.“

„Nach innen treten Probleme auf, wenn der Vorstand sich nicht in der Verantwortung für Cybersecurity-Themen sieht, obwohl er im Ernstfall letztlich haftbar ist“, sagt auch Nern (KPMG): „Nach außen betrachtet ist es herausfordernd, dass der CISO bei Sicherheitsvorfällen derjenige ist, der die Meldung und Behebung von negativen Folgen koordinieren muss. Dazu kommt eine oft mangelhafte Budgetierung für IT-Security-Maßnahmen, die im Widerspruch zur wachsenden Bedrohungslage steht.“

Personelle und finanzielle Ressourcen

„Bei einer PwC Pulse Survey im vergangenen Oktober gaben 90 % der befragten Risikoverantwortlichen (einschl. CISOs) an, dass neue Risiken, Vorschriften und der Fachkräftemangel ihren Zielen im Weg stehen. Oft ist es auch eine Kombination dieser Faktoren, die große Herausforderungen mit sich bringt. Intern bleibt es für viele CISOs nach wie vor schwierig, auf Vorstandsebene gehört zu werden – die Budgets und personellen Ressourcen sind häufig knapp, die Verantwortung dafür aber umso höher“, führt Seiferth aus (PwC Deutschland).

„Nach wie vor ist die Ausstattung des CISOs mit Budget und Ressourcen ein schwieriges Thema“, antwortet auch Julia Hermann, Vizepräsidentin Kommunikation und Marketing des ISACA Germany Chapter e.V.: „Oft wird die Rolle als wichtig gesehen und verstanden; und trotzdem ist die Bereitschaft, diese entsprechend auszustatten, nicht da. Für CISOs ist es daher extrem wichtig darzustellen, dass sie nicht nur eine Kostenstelle sind, sondern dem Unternehmen Mehrwert liefern.“

Roland Stritt, VP Central EMEA bei Sentinel-One, stellt fest: „Herausforderungen ergeben sich vor allem durch den Fachkräftemangel, die dynamische Bedrohungslage und die Notwendigkeit, Sicherheitsziele mit geschäftlichen Prioritäten in Einklang zu bringen. Im Außenverhältnis erschwert die Komplexität von Lieferketten das Management von Drittanbieter-Risiken.“

Eggerling (Check Point) sieht ebenfalls eine interne Schwierigkeit darin, die notwendigen Ressourcen und das Budget für umfassende Sicherheitsprogramme zu sichern: „Extern bleibt es eine große Herausforderung, den sich schnell entwickelnden Cyberbedrohungen immer einen Schritt voraus zu sein. CISOs stehen häufig vor Kommunikationsbarrieren mit dem nichttechnischen Management, was es schwieriger macht, Sicherheit effektiv zu priorisieren. Darüber hinaus besteht ein wachsender Bedarf an abteilungsübergreifender Zusammenarbeit, um eine einheitliche Sicherheitsstrategie voranzutreiben.“

Eine zentrale Herausforderung sind die personellen Ressourcen: Sofern es die notwendigen Planstellen gibt, ist es schwer, diese zu besetzen“, bekräftigt Friedrich (HiSolutions): „Ein damit verbundenes Thema ist die Einbindung der Fachbereiche: Diese sollen in der Lage sein, die für von ihnen verantwortete Geschäftsprozesse entstehenden Informationsrisiken zu identifizieren und zu behandeln. Auch hierfür müssen sowohl bei den Fachbereichen als auch der Sicherheitsorganisation die notwendigen Ressourcen vorhanden sein.“

Interne und externe Zusammenarbeit

„Intern besteht das größte Problem immer darin, von anderen Abteilungen Zeit zu bekommen, um Anpassungen im Sinne der IT-Security vorantreiben zu können. Viele Bereiche sind mit ihrer geschäftlichen Aufgabe heutzutage maximal ausgelastet – Sicherheit wird oft als ein Extra betrachtet. Die ständige Herausforderung liegt also darin, intern Überzeugungsarbeit zu leisten, Politik zu machen und Kompromisse zu schließen, um Arbeitsprozesse und Sicherheitsanforderungen bestmöglich in Einklang zu bringen“, sagt Nachreiner (WatchGuard): „Und im Außenverhältnis fordern Kunden, Partner und Lieferanten einschlägige Aufmerksamkeit – selbst wenn es manchmal nur darum geht, Fragebögen zu beantworten, um sich als zuverlässiger Akteur innerhalb der Lieferkette zu beweisen. Die ständigen Ransomware-Angriffe und Sicherheitsvorfälle der letzten zehn Jahre haben das Vertrauen geschwächt, was grundsätzlich nicht verkehrt ist. Unternehmen interessieren sich jetzt für die Sicherheitspraktiken ihrer Partner und schicken der Zusammenarbeit eine Security-Validierung voraus. Dieser Aufgabe müssen sich CISOs stellen, wobei es gar nicht so einfach ist, mit dem Tempo der externen Anfragen Schritt zu halten.“

Kipker (cyberintelligence.institute) konstatiert: „Die zunehmende Interdisziplinarität verlangt erhebliche Umstellungen im Knowledge-Management sowie im betrieblichen Alltag – und das bei nach wie vor limitierten Ressourcen. Überdies sorgt die zunehmende Abhängigkeit von der digitalen Lieferkette in den Betrieben dafür, dass sich immer mehr Aspekte der Informationssicherheit auch der konkreten Entscheidungshoheit des CISOs originär entziehen – zum Beispiel mit Blick auf die Vertragsgestaltung.“

„CISOs sind oft mit einem Flickenteppich unterschiedlicher Lösungen konfrontiert – daraus sinnvolle Informationen abzuleiten, ist mit teilweise hohem Aufwand verbunden und birgt das Risiko, wichtige Details zu übersehen. Diese Situation kann dazu führen, dass man intern schnell in die Defensive gerät, um die eigenen Ausgaben zu rechtfertigen. Oft fehlen auch Vergleichsmöglichkeiten mit anderen Unternehmen, sodass man die eigene Leistungsfähigkeit nur sehr schwer einschätzen kann“, beobachtet Werner (Trend Micro).

Komplexität durch Technik, Organisation und Regulierung

„Die tiefe Verankerung von Lösungsanbietern in den Umgebungen von Unternehmen ist zu einem der Hauptfaktoren für die Komplexität geworden“, meint Grant Bourzikas, CSO bei Cloudflare und warnt: „Unterm Strich führt Komplexität zu Chaos – und Chaos lenkt von den wahren Prioritäten ab, wenn es um die Sicherung eines Unternehmens geht. CISOs verwenden weiterhin Anbieter, weil es einfach ist, da diese bereits Teil ihrer Infrastruktur sind – aber ‚einfach‘ ist selten gleichbedeutend mit ‚sicher‘. Ein Tool an sich mag zwar nicht das Problem sein, aber die Komplexität, die dadurch entsteht, dass man es nicht entfernt, führt häufig zu Sicherheitslücken.“ In dem Moment, in dem man die Abkehr von einem Anbieter für unmöglich oder zu schwierig halte, beginne sich das Kräfteverhältnis zugunsten der Bedrohungsakteure zu verschieben: „Die übermäßige Konzentration auf die digitale Transformation sowie die Implementierung einer Vielzahl neuer Tools und Anbieter zur schnellen Innovation hat die Sicherheit vernachlässigt. Wir müssen uns jetzt auf die ‚Sicherheitstransformation‘ fokussieren und beginnen, uns von den Tools und Anbieter zu verabschieden, die Komplexität verursachen, anstatt Innovation zu fördern.“

James Hughes, GTM Leader EMEA bei Rubrik, sieht ein Problem im immer vielfältigeren und komplexeren Aufgabenfeld von CISOs: „Zusätzlich zu einer Vielzahl neuer gesetzlicher Änderungen muss der moderne CISO das Unternehmen, das er schützt, vollständig verstehen. Das bedeutet, dass er die Geschäftsabläufe, die Einnahmequellen, die Anwendungen und die Daten, die das Unternehmen unterstützen, vollständig durchblicken muss. Eine Rolle, die so viele Bereiche eines Unternehmens berührt und gleichzeitig in einem regulierten Umfeld tätig ist, kann eine echte Belastung für den Einzelnen darstellen. Die Verantwortung für die Datensicherheit und die Erwartungen der Führungsebene, insbesondere bei einem Cyber-Vorfall, sind derzeit beispiellos. Laut dem ‚2024 Rubrik Zero Labs‘-Report gaben 100 % der deutschen IT- und Sicherheitsverantwortlichen an, dass sich ihr emotionaler und/oder psychischer Zustand als direkte Folge eines Cyberangriffs verändert hat.“ (vgl. auch 2023# 5, S. 16 zu psychischen Auswirkungen von Ransomware-Vorfällen).

„Ob durch die zunehmende Nutzung von SaaS und Outsourcing oder die Implementierung von KI-Systemen – die Anforderungen an Security by Design und auch an CISOs gewinnen erheblich an Bedeutung“, bemerkt Sowa (GI): „Zwar wurde dieser Grundsatz bereits in der ersten Cybersicherheitsstrategie des Bundes verankert, doch bleibt weiterhin ‚unklar, wie dies operationalisiert werden soll‘, wie die Gesellschaft für Informatik in ihrer Stellungnahme zur Cybersicherheitsagenda schon 2022 festgestellt hat (https://gi.de/meldung/stellungnahme-zur-cybersicherheitsagenda-2022).“ Damit Risiken neuer Technologien beherrschbar bleiben, sei eine der zentralen Aufgaben von CISOs, Vorgaben, Audits und Tests zu Security by Design zu implementieren.

Aufstellung der Security

Bourzikas (Cloudflare) kommentiert: „In unserer ‚Cyber Security Readiness Survey 2024‘ geben 49 % der CISOs an, dass sie mehr als 20 Tools einsetzen – ‚zu viele Tools‘ wäre eher eine Untertreibung. Zusätzlich zu dieser ‚Tool-Pandemie‘ müssen sich Unternehmen auch mit jahrzehntealten technischen Erblasten auseinandersetzen – das heißt mit zusätzlicher Arbeit, die erforderlich ist, um ein Problem zu beheben, das durch frühere ‚Abkürzungen‘ verursacht wurde.“ Wenn Unternehmen Ressourcen für den Kampf gegen die Komplexität der eigenen Umgebung aufwenden müssen, verliere man jedoch den Fokus auf die effektive Verteidigung: „Die Komplexität hängt auch damit zusammen, wie Sicherheitsteams Tools verwenden und optimieren. Das Problem sind (normalerweise) nicht die Menschen, sondern ist die Art und Weise, wie sie Tools verwalten.“ Auch die Leistung der „besten Tools“ bleibe bei einem unprofessionellen Management ineffektiv.

„Um das technische Regelwerk schlank und übersichtlich zu halten, hilft dem CISO die Konsolidierung auf wenige, flexible Plattformen“, empfiehlt Schuhwerk (Zscaler): „An den Vorstand muss er sich mit der Botschaft richten, dass Sicherheit kontinuierlich adaptiert werden muss – und dazu gehören im Zuge der Resilienzsteigerung auch proaktive Maßnahmen zur Mitigierung erfolgreicher Angriffe. Zudem kann er das Thema Usability mit ins Feld führen, um neben mehr Sicherheit gleichzeitig die Anwenderzufriedenheit zu steigern.“

Mensch und Technik

Nachreiner (WatchGuard) hält Automatisierung und Fokussierung auf menschliche Fähigkeiten für entscheidend: „Die Anzahl und Komplexität der Aufgaben bringen Security-Teams schnell an ihre Grenzen. Ohne Investitionen in Cloud-Plattformen, maschinelles Lernen/KI und Programmierung wird es kaum noch gelingen, Schritt zu halten. Der CISO muss sicherstellen, dass sein Team jede Routineaufgabe automatisiert.“ Gleichzeitig erfordere die Rolle als Vermittler zwischen verschiedenen Anspruchsgruppen exzellente Kommunikationsfähigkeiten: „CISOs müssen Menschen verstehen, auf ihre Bedürfnisse eingehen und gut mit ihnen zusammenarbeiten – Menschenkenntnis und soziale Kompetenz sind heute unverzichtbar.“

„Technologisch sollten CISOs verstärkt auf Automatisierung, SOAR, XDR und Zero Trust setzen, während Cloud-Sicherheit (CSPM, CWP) und Endpoint-Protection (EDR) essenziell bleiben“, rät Schmerl (Arctic Wolf) und unterstreicht: „CISOs sollten sich als Brückenbauer zwischen Technik und Business verstehen. Klare Kommunikationsfähigkeiten, ein tiefes Verständnis für Geschäftsprozesse und die Fähigkeit, komplexe technische Risiken verständlich zu vermitteln, sind essenziell. Wichtig sind zudem gut definierte Schnittstellen zu Business-Ownern, dem Vorstand, Datenschutzbeauftragten, SOC-Managern, Incident-Response-Teams und Security-Architekten.“

„Wichtig ist der Aufbau einer resilienten Sicherheitskultur, die nicht nur auf Technologie, sondern auch auf Prozesse und Menschen setzt“, sagt Stritt (SentinelOne): „CISOs sollten sich unbedingt intern mit Geschäftsführung und Fachabteilungen vernetzen und externen Austausch – etwa mit Branchenkollegen – pflegen. Darüber hinaus sollten sie in Automatisierung und Threat-Intelligence investieren, um agil auf Bedrohungen reagieren zu können und gleichzeitig Effizienzen zu schaffen.“

Seiferth (PwC Deutschland) betont: „Die Unterstützung des Vorstands ist und bleibt entscheidend. CISOs sollten Risiken daher aus einer Geschäftsperspektive darstellen und zeigen, wie Investitionen in die Cybersicherheit zum Geschäftserfolg beitragen. Dabei ist es wichtig, eng mit anderen Mitgliedern der C-Suite – insbesondere CIOs, CTOs, CROs und CFOs – zusammenzuarbeiten, um eine ganzheitliche Sicherheits- und Risikomanagementstrategie zu entwickeln.“

„Ohne professionelle Beratung geht es sicher nicht – und auch eine Vernetzung mit Gleichgesinnten ist hilfreich“, meint Martius (secunet): „Auf jeden Fall sollten CISOs eigene Kompetenzen so weit aufbauen, dass sie informierte Entscheidungen treffen können. Vor dem Hintergrund der heutigen Komplexität der gesamten IT-Landschaft inklusive externer Angebote ist deren Bewertung ebenfalls komplex. Es bedarf einer differenzierten Betrachtung, welche Informationen wie geschützt werden müssen, um einen wirklich adäquaten Schutz der wesentlichen Assets zu erhalten.“

Organisation und Compliance

Flexibilität ist essenziell – Bedrohungen und neue Technologien erfordern schnelle Anpassungen“, gibt Rabben (Fudo Security) zu bedenken: „Dennoch braucht es geregelte Abläufe. Checklisten für regelmäßige Sicherheitsprüfungen und Notfallszenarien sind hilfreich. Der menschliche Faktor darf auch nicht vernachlässigt werden: Klare Schnittstellen zwischen IT und Management sowie kontinuierliche Schulungen verbessern die Sicherheitskultur.“

Kipker (cyberintelligence.institute) empfiehlt: „Von Anfang an sollte die regulatorische Perspektive deutlich stärker als bislang in die Organisation einbezogen werden – diese erst sekundär hinzuzuziehen, kann zu vermeidbaren wirtschaftlichen Mehraufwänden und Verzögerungen führen. Hierzu empfiehlt es sich, originär eigenes Cybersecurity-Compliance-Know-how in der Abteilung für Informationssicherheit aufzubauen, da die allgemeinen Rechtsabteilungen hier zumeist recht wenig eigenes Vorwissen mitbringen.“

„Ein einheitliches GRC-Tool für alle relevanten Compliance-Prozesse ist eine erhebliche Erleichterung: Durch die Verarbeitung der Daten ohne Medienbrüche und mit automatisierten Workflows kann hier eine erhebliche Effizienzsteigerung für die Arbeit des CISO entstehen. Hierbei sollte aber auch eine initiale Phase mit vielen Anpassungsproblemen mit einkalkuliert werden“, sagt Friedrich (HiSolutions).

Erwartete Entwicklungen

Eggerling (Check Point) rechnet in der Zukunft mit weiteren regulatorischen Verschärfungen und einer erhöhten Rechenschaftspflicht für Cybersicherheitsleiter: „CISOs werden wahrscheinlich mehr Autorität erhalten, aber auch mit zunehmender persönlicher Haftung für Verstöße konfrontiert sein. Die Integration von künstlicher Intelligenz (KI) und maschinellem Lernen wird für die Automatisierung der Bedrohungserkennung und -reaktion von entscheidender Bedeutung sein. In den nächsten drei bis fünf Jahren wird es einen Wandel hin zu stärker integrierten, geschäftsorientierten Sicherheitsstrategien geben, die eine stärkere Zusammenarbeit zwischen den Abteilungen erfordern.“

„Die Interdisziplinarität in der Informationssicherheit spielt jetzt schon eine erhebliche Rolle und wird in naher Zukunft eine noch größere Rolle spielen“, unter streicht Kipker (cyberintelligence.institute): „Schon lange ist Cybersicherheit keine rein technisch-organisatorische Aufgabe mehr, sondern muss ebenso die betriebswirtschaftliche Perspektive und die Cybersecurity Compliance immer stärker in das Blickfeld fassen.“

„Das Ende der Fahnenstange bei Compliance und Regulierung ist noch nicht erreicht – alles deutet darauf hin, dass schärfere Vorgaben folgen“, erwartet Nachreiner (WatchGuard). Zudem dürfte die Abwanderung von Cybersecurity-Fachkräften vorerst anhalten: „Profis verlangen immer höhere Gehälter, während die Wirtschaft überall spart. Daher vermute ich, dass mehr Unternehmen Cybersicherheit an Managed-Service-Provider auslagern.“

Security-Experten werden immer begehrter und loten ihre Möglichkeiten aus – auch jenseits ihres aktuellen Arbeitgebers. Für CISOs bedeutet dies, dass es schwieriger werden dürfte, neue Mitarbeiter zu gewinnen und zu halten. Sie werden auch nach Dienstleistern suchen müssen, die über die erforderlichen Kompetenzen verfügen und schnell eingebunden werden können – das erfordert eine einfachere, besser strukturierte Umgebung“, sagt Mitrovic (Proofpoint): „CISOs sollten darüber nachdenken, welche Bereiche zum Kern ihrer Aufgaben gehören und was als ‚allgemein‘ gelten kann.“ Der „Kern“ müsse im Haus verbleiben, während das „Allgemeine“ ausgelagert werden könne.

Die Zukunft des CISOs werden drei Methoden bestimmen: Für die effektive Bewertung und das Management von Cyberrisiken wird er sich verstärkt der agilen, iterativen Szenarioplanung bedienen – die Zeit der reinen Reaktion auf Cybervorfälle ist vorbei. Die Dezentralisierung der Cybersecurity wird zweitens helfen, das Risiko zu verteilen, den Schaden zu minimieren sowie schneller und flexibler auf mögliche Vorfälle zu reagieren“, antwortet von Spreti (Deloitte) – und das führe zum dritten Punkt: „Der CISO der Zukunft muss in der Lage sein, verschiedenste interne und externe Stakeholder zu koordinieren und auch dezentralisierte Netzwerke effektiv zu organisieren.“

„Die Stärkung der Resilienz und das Thema Prävention, sprich proaktives Risikomanagement werden künftig im Zentrum stehen“, prognostiziert Stritt (Senti nelOne): „Künstliche Intelligenz wird sowohl als Sicherheitswerkzeug als auch als neue Bedrohung eine zentrale Rolle spielen, was neue regulatorische und operative Anforderungen mit sich bringt. Mit KI steigen die Cyberrisiken. Sicherheitsstrategien müssen früh greifen, da Angriffe immer raffinierter werden – eine ‚Security-First‘-Kultur im Unternehmen wird dadurch essenziell.“

Neben unmittelbaren Auswirkungen der KI auf Angriff und Verteidigung sieht Gehrig (IS4IT) auch ethische und haftungsrechtliche Überlegungen bei deren Einsatz, die Einfluss auf die CISO-Arbeit haben dürften – außerdem: „Die ersten Urteile und Strafen bei Verstößen gegen Auflagen von NIS-2 und CRA werden richtungsweisend sein. Und das Thema ‚digitale Souveränität‘ wird in den nächsten Jahren durch geopolitische Entwicklungen noch wichtiger werden.“

„Künftig werden wir die ersten CISOs sehen, die auch in die Boardebene Einzug halten – denn Security ist nicht nur eine Pflichtübung, sondern wird künftig essenziell sein für den Wandel vieler Industrien hin zu digitalen Services“, erwartet Schuhwerk (Zscaler): „Durch die zunehmende Bedeutung der Sicherheit wird die Rolle wohl zukünftig in mehrere Executive-Bereiche aufgeteilt werden, die sich die Aufgaben teilen – beispielsweise Compliance-Anforderungen, SOC-Betrieb oder eben Zero Trust.“

„Mittel- bis langfristig erwarte ich, dass Informationssicherheit, Compliance, physische Sicherheit, Krisenmanagement und Business-Continuity sowie gegebenenfalls auch IT-Governance deutlich enger zusammenwachsen und möglicherweise sogar zu einer Funktion in der ‚Second Line‘ verschmelzen“, meint hingegen Hermann (ISACA Germany).