Was ist ein Chief Information Security Officer?
Ein Chief Information Security Officer (CISO) ist eine Person, die für die Informationssicherheit in einer Organisationseinheit, wie einem Unternehmen, einer Behörde oder auch einer Verwaltung, die Gesamtverantwortung trägt. Sie gehört zum oberen Management und übernimmt die Koordination der einzelnen Teilbereiche der Informationssicherheit mit der Geschäftsführung.
Aufgabenbereiche eines CISOs
Die Rolle des CISOs ist nicht in allen Organisationen mit den gleichen Aufgaben betraut, da es je nach Größe, Reifegrad und Struktur der Organisation Abweichungen geben kann. Einschlägige Normen zur Informationssicherheit, regulatorische Vorgaben und Best Practices können aber zur Aufgabendefinition herangezogen werden. Insbesondere die Normen der ISO 27000er-Reihe und der IT-Grundschutz-Katalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) sind hier relevant. Als Teil des Managements ist ein CISO für strategische Themen der IT-Sicherheit in einer Organisation verantwortlich. Hierzu gehört vor allem, die Informationssicherheitsstrategie zu entwickeln und anzupassen. Für diese fortlaufende Tätigkeit muss zunächst bekannt sein, über welche unternehmenskritischen Werte die Organisation verfügt und welchen Bedrohungen sowie Risiken diese ausgesetzt sind, um konkrete Schutzziele zu definieren. Wichtige Werkzeuge hierfür sind Business-Impact- und Risiko-Analysen. Wurde eine Informationssicherheitsstrategie entwickelt, muss diese auch implementiert werden. Hierfür bedarf es einer ganzen Reihe von Sicherheitsrichtlinien– und Vorgaben. Diese Dokumente werden sinnvollerweise von verschiedenen Personen verfasst und ergänzt, um die spezifischen Eigenschaften von Systemen und Prozessen in einem angemessenen Detailgrad abzudecken. Vor der organisationsinternen Veröffentlichung müssen sie allerdings vom CISO mit dem Rest der Geschäftsführung, insbesondere dem CEO, abgestimmt werden, damit sie im Sinne der Geschäftsführung im gesamten Unternehmen etabliert werden können. Eine reine Veröffentlichung von Vorgaben und Richtlinien sorgt aber noch nicht automatisch für die Umsetzung und Einhaltung. Vor allem bei signifikanten Änderungen kann es notwendig sein, ganze Geschäftsprozess-Ketten in der täglichen Arbeit ganzer Organisationseinheiten anzupassen. Daher muss ein CISO auch dafür Sorge tragen, dass Funktionseinheiten etabliert werden, die sich um die Umsetzung der Vorgaben kümmern und den Entwicklungsstand überwachen. Da es sich bei allen genannten Punkten um fortlaufende und teilweise langfristige Tätigkeiten handelt und sich Organisationen im Laufe der Zeit auch ändern, handelt es sich um ein komplexes Themenfeld. Daher besteht eine wichtige Aufgabe für einen CISO auch darin, ein Informationssicherheits-Management (Information Security Management System, ISMS) aufzubauen und zu pflegen. Ein ISMS umfasst neben den Richtlinien und Vorgaben auch Prozessbeschreibungen, Notfallpläne und weitere Informationen, die für die Informationssicherheit eines Unternehmens relevant sind. Damit bildet es einen zentralen Knotenpunkt in der Organisation und besitzt einen entsprechenden Stellenwert. Kontinuierliche Schulungen und Awareness-Trainings helfen dem Unternehmen, die Mitarbeiter möglichst gut zu informieren und Risiken zu verringern. Eine moderne Möglichkeit des IT-Sicherheitstrainings gegen Cyberbedrohungen ist Serious Games. Zusätzlich zu den internen Arbeitsbereichen können CISOs auch mit der Koordination und Zusammenarbeit mit Stakeholdern und Geschäftspartnern betraut sein. Wird beispielsweise eine strategische Partnerschaft etabliert und ein externer Dienstleister erhält so direkten oder indirekten Zugang zu internen Geschäftsprozessen oder Informationen, kann ein CISO dafür verantwortlich sein, das Sicherheitsniveau des potenziellen Partners zu bewerten und die Schnittstellen zum anderen Unternehmen mitzugestalten. So können gegebenenfalls beide Geschäftspartner Synergien bilden, Prozesse angleichen und sich gegenseitig bei der Erhöhung der Cyber-Sicherheit unterstützen.
„Privacy from 5 PM to 6 AM: Tracking and Transparency Mechanisms in the HbbTV Ecosystem“
„Smartphone-Apps Kontaktieren im Schnitt 25 Server und durchqueren sechs Netzwerke“ „Denken in Fallen – Wie kognitive Verzerrungen Sicherheitsentscheidungen sabotieren“ „Integration einer Software Bill of Materials in die Backend-Entwicklung“
„Lehrbuch Cyber-Sicherheit“
„Übungsaufgaben und Ergebnisse zu Kapitel 5: Identifikation und Authentifikation“ „Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download“
„Vorlesungen zum Lehrbuch Cyber-Sicherheit“
„Bedrohungslage und Sicherheitsprinzipien für souveräne Datenräume“ „Souveräne Datenräume als Treiber für Resilienz und KI-Innovationen“ „Aktuelle Cybersicherheitslage und Cyber-Sicherheitsstrategien“
„Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“
„Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“ „Marktplatz IT-Sicherheit“ „Marktplatz IT-Sicherheit: IT-Notfall“ „Marktplatz IT-Sicherheit: IT-Sicherheitstools“ „Marktplatz IT-Sicherheit: Selbstlernangebot“ „Marktplatz IT-Sicherheit: Köpfe der IT-Sicherheit“ „Vertrauenswürdigkeits-Plattform“
„Information Security Management System, ISMS“
„IT-Sicherheit“ „Cyber-Sicherheit“ „Cyber-Sicherheitsstrategie“ „Cyber-Sicherheitsmaßnahmen“ „Informationssicherheit“ „Sicherheitsrichtlinien“ „Serious Games“
Zurück zur Übersicht
Summary Article Name CISO Description Der Chief Information Security Officer ist hauptverantwortlich für die Informationssicherheit in einer Organisationseinheit, wie einem Unternehmen, einer Behörde oder einer Verwaltung. Author Prof. Norbert Pohlmann Publisher Name Institut für Internet-Sicherheit – if(is) Publisher Logo | 
