teissTalk: Meine Rolle als CISO: Was und wer muss ich zukünftig sein?

Die große Bedeutung von Vertrauen hat bei einigen Unternehmen dazu geführt, dass sie die C-Level-Riege aufstocken: Es gibt jetzt den:die Chief Trust Officer (CTrO), der:die entweder eng mit dem:der CISO (Chief Information Security Officer) zusammenarbeitet.

 

Florian Jörgens: „Natürlich ist das Vertrauen der Kunden extrem wichtig. Man muss aber auch differenzieren, um welches Produkt oder um welche Branche es sich handelt. Mein Lieblingsbeispiel ist der Kauf einer Webcam. Ich habe die Möglichkeit das deutsche Qualitätsprodukt mit Zertifikat für 200 Euro zu erwerben oder ich nehme das Produkt, das ich für 10 Dollar bei Alibaba finde, dass die Daten unverschlüsselt versendet. Es ist zwar besser geworden in den letzten Jahren, aber der Großteil der Endverbraucher, die technisch nicht so versiert sind, greifen zum günstigen Produkt, ohne zu wissen, welche Komponente sie sich in ihr eigenes Netzwerk reinholen.“

 

Er ergänzt: „In anderen Bereichen hat die Sicherheit noch einmal ganz anderen Einfluss, gerade wenn es um Gesundheitsdaten geht, aber auch wir bei Vorwerk legen großen Wert darauf, dass unsere Kundendaten geschützt sind. Insofern, ja, das Thema Informationssicherheit hat einen großen Einfluss auf die Außenwirkung. Ich denke da auch an Finanzdienstleister, Banken. Wenn es dort zu einem Hack gekommen ist, ist auch das Vertrauen nachhaltig geschädigt. Die Bezeichnung Chief Trust Officer finde ich etwas überspitzt, aber ein Unternehmen muss auch nachweisen können, warum die Kunden die Kunden ihm vertrauen und ihre Daten zur Verfügung zu stellen.“

 

Mit welchen internen Berichtsstrukturen sehen sich CISOs konfrontiert? Sitzt der CISO eher zwischen den Stühlen oder ist er ein Entscheider?

 

André Loske: „Ich kenne beide Welten. Ich habe angefangen als IT-Security Officer mit direkter Berichtslinie an einen CIO. Mit der Strategie "Heidelberg goes digital" entwickeln wir datenbasierte Geschäftsmodelle, deshalb wird das Thema Cybersecurity immer wichtiger, das sieht auch das Management so. Es gab eine Neuausrichtung, die Security wurde aus der IT herausgenommen und eine separate Organisationseinheit Informationssicherheit aufgebaut, die direkt an den Vorstandsvorsitzenden berichtet. Dieses Setup ist dem ersten deutlich überlegen, da Security ein Querschnittsthema ist. Informationssicherheit ist mehr als IT-Security. Das ganze Thema ist historisch gewachsen. Die IT hat die Systeme ins Unternehmen gebracht und damit auch Security-Probleme und sollte sich dann darum kümmern. Aber heute ist IT integraler Bestandteil aller möglichen Geschäftsprozesse im Unternehmen. In diesen Prozessen muss die Sicherheit gewährleistet sein, das kann die IT nicht mehr leisten, das müssen die Geschäftsbereiche selbst leisten. Wenn der CISO also in der IT ist, muss er aus seinem "Töpfchen" den ganzen Konzern bedienen, aber mit einer herausgehobenen Rolle wird er dem Anspruch der Querschnittsfunktion gerecht und es ist ein Symbol für die Wichtigkeit des Themas.“

 

Sandra Aengenheyster frägt nach: „Dafür braucht es viel Erfahrung und es bedeutet, dass der CISO Kenntnis von den operativen Geschäften haben muss. Wie bekommen die jüngeren Kollegen diese Erfahrung?“

 

André Loske: „Das sehe ich auch bei anderen CISO-Kollegen, eher selten treffe ich Kollegen, die einen reinen IT-Background haben. Es sind eben oft so Querschnittsthemen, ich bin ja auch Wirtschaftsinformatiker, die angegangen werden müssen. Das wichtige, und dieser Rolle sehe ich mich auch im Unternehmen, ist die technischen und komplexen Themen in allgemeinverständliche (Management-) Sprache zu übersetzen, damit Entscheidungen getroffen werden können. Der CISO hat somit eine ganz wichtige Schnittstellenfunktion. Es braucht sicherlich viele Jahre, um sich da einzuarbeiten, ich war zwischendurch auch in der Beratung, das ist sicherlich ein klassischer Weg zum CISO. Ich glaube nicht, dass man den CISO an der Hochschule direkt ausbilden kann.

 

Florian Jörgen: „Langfristig müssen wir dahin, dass der CISO auf der gleichen Ebene ist wie der CEO, CFO. Ich bin der festen Überzeugung, dass das in den nächsten 10 Jahren so kommen wird. Die US-Börsenaufsichtsbehörde diskutiert z.B. gerade darüber, ob Unternehmen gezwungen werden können, mehr Informationssicherheits-Know-how in das Board zu bringen, was letzten Endes dazu führen würde, dass der CISO Board-Mitglied wird. Der CISO als Schnittstelle zwischen Business und IT halte ich für sinnvoll. Für mich hat ein CISO immer einen technischen Background, sei es durch die Wirtschaftsinformatik oder ähnliche Studiengänge oder Ausbildungsinhalte. Und ja, es ist wichtig, das Business zu kennen. Man muss dort mitgearbeitet haben, wo das Geld verdient wird. Bei Vorwerk ist es völlig normal, dass das Management mal beim ThermoMix-Erlebniskochen mit dabei ist, dass sie mit den Kobold-Advisern mitgehen, das ist auch bei anderen Unternehmen so, bei Aldi, bei Lidl. Letztendlich hat die Informationssicherheit einen einzigen Zweck, nämlich die Business-Strategie zu unterstützen. Wenn ich nicht weiß, was mein Business braucht, kann ich auch keine Informationssicherheitsstrategie aufbauen.“

 

Florian Jörgens ergänzt: „Als CISO muss ich beide Seiten bedienen können. Um mit der IT reden zu können, brauche ich einen IT-technischen Background, auch wenn ich weiß, dass das viele CISO-Kollegen nicht haben. Für mich persönlich ist das ein No-Go. Aber ich muss auch das Business verstehen, d.h. ich brauche einen Business Administration Background.“

 

In welchem Verhältnis steht in CISO zum CEO oder CIO?

 

André Loske: „Das Verhältnis zum CIO hat sich durch die Neuausrichtung deutlich entspannt. Vorher war der CIO immer in der Zwickmühle, da er seine Businessziele besser erreichen kann. Er wollte zum Beispiel eine neue Anwendung ins Unternehmen bringen, dass ist Security immer das lästige. Die Entscheidung, die er treffen musste, Security versus schöne neue Wissensfunktion, für die ihn dann alle feiern, wird er also immer der Wissensfunktion den Vorzug geben. Dadurch, dass Security draußen ist und sozusagen externer Anforderer an den CIO ist, hat er den Konflikt nicht innerhalb seiner Organisation.

 

Kristin Weber frägt beide CISOs: „Wo ist bei euch der Datenschutz aufgehängt? Ist das beim Thema Informationssicherheit mit dabei? Bei uns (an der Hochschule) haben wir das zusammengelegt, das ist aber auch historisch bedingt. Das funktioniert, hat aber auch viele Konfliktfelder.“

 

André Loske: „Bei Heidelberg haben wir eine eigene Datenschutzfunktion, die bewusst getrennt ist von der Informationssicherheit. Bei uns in der Informationssicherheit, wir machen ja nicht nur Managementsysteme, Governance und Awareness-Themen, sondern wir haben auch ein SOC (Security Operations Center). Die Ziele sind teilweise im Konflikt. Aus Security-Sicht möchte ich gerne alle personenbezogenen Daten möglichst lange aufheben, um festzustellen, ob es einen Security-Incident gegeben hat und den dann besser analysieren zu können. Der Datenschutz möchte natürlich alle personenbezogenen Daten so schnell wie möglich löschen können. Deshalb halte ich dieses Setup, sogar in Personalunion zu bündeln, halte ich nicht für zielführend. Die Zusammenarbeit in unserem Setup funktioniert gut, wir haben die Prozesse aufeinander abgestimmt, also Meldungen Datenschutzvorfälle, wenn es einen Security Incident gibt.