goSecurity BLOG

„Noch ein Artikel über den CISO?“, mögen Sie sich vielleicht fragen. Und diese Frage ist berechtigt, denn längst ist der CISO (Chief Information Security Officer) eine bekannte Rolle in einem Unternehmen. Dabei spielt die Grösse der Organisation keine Rolle, denn egal ob 10 oder 1000 Mitarbeitende beschäftigt sind – in beiden Fällen sollte ein CISO die Informationssicherheit steuern und kontrollieren. In kleinen Unternehmen kann dies gut in einem kleinen Teilzeitpensum oder durch einen externen Spezialisten erledigt werden, ab mehreren hundert Mitarbeitern empfiehlt es sich dann allerdings, die Stelle mit 100% zu besetzen. Doch mehr dazu später.

Trotzdem ist aber noch längst nicht in jedem Unternehmen ein CISO zu finden. Manchmal ist auch von einem IT-SiBe die Rede, also einem IT-Sicherheitsbeauftragten. Oder es ist jemand da, der die Bezeichnung „IT-Security“ trägt. Immerhin, da ist also jemand, der sich um die digitalen Sicherheitsbelange des Unternehmens kümmert. Reicht doch, oder nicht?

Erwartungshaltungen, die man heute vorfindet

Es tut mir leid, aber ich werde jetzt etwas direkt: es glauben noch immer viel zu viele Unternehmen, dass es ausreicht, wenn man Informationssicherheit als Hobby betreibt. Fotografieren kann ein Hobby sein. Oder die Modellfliegerei. Hobby heisst, ich mache das nebenher, andere Dinge sind deutlich wichtiger. Lassen Sie es mich klar ausdrücken: es gibt heute für Unternehmen nur wenige Themen, die wirklich wichtiger sind, als die Informationssicherheit. Denn egal, was für Projekte und Themen aktuell bei Ihnen z.B. in der Unternehmensentwicklung auf dem Tisch liegen – lesen Sie den Namen Ihres Unternehmens morgen in der Zeitung, weil Sie gehackt wurden, und vertrauliche Daten im Darknet zum Kauf angeboten werden, wird über Nacht alles zur Nebensache, egal, wie wichtig es heute noch scheinen mag!

Es reicht auch nicht, „mal eben schnell“ einen CISO einzustellen, er wird das dann schon richten. Weit gefehlt! Zum Beispiel nimmt die Norm ISO 27001 im Bereich Führung klar die oberste Leitung in die Pflicht. Die Geschäftsleitung muss sich als Ganzes um Informationssicherheit kümmern, muss diesem Thema eine hohe Priorität zuordnen und alles dafür tun, dass gesetzte Ziele auch erreicht werden können. Das schliesst das zur Verfügung stellen von erforderlichen Ressourcen ein – seien es personelle (sprich zeitliche) Ressourcen oder z.B. auch teurere Lizenzen, mit denen der Datenstandort Schweiz sichergestellt werden kann.

Bitte unterschätzen Sie den Aufwand nicht, der besonders dann erforderlich ist, wenn Sie in den letzten Monaten oder sogar Jahren diesem Thema zu wenig Aufmerksamkeit gewidmet haben. Das kann vorkommen. Doch genau jetzt ist der richtige Moment, das Steuer kraftvoll herumzureissen, um nicht als gehacktes Unternehmen auf die Titelseite der Tageszeitungen zu geraten.

Klare Verantwortungen …

Wir haben eingangs über den CISO und den IT-SiBe gesprochen. Nehmen wir doch zuerst den CISO etwas genauer unter die Lupe. Das C in der Bezeichnung CISO deutet es schon an: C-Level, also oberste Führungsebene. Ein CISO kann also nicht einem CIO unterstellt sein, sondern sollte auf demselben Level angesiedelt sein. Warum ist das so? Die Antwort ist vergleichsweise einfach: das Thema Informationssicherheit ist Abteilungsübergreifend. Es ist kein reines IT-Thema, sondern betrifft die gesamte Unternehmung. Und da der CISO als oberste Informationssicherheits-Instanz über möglichst kurze Kommunikationswege verfügen sollte, ist es zwingend erforderlich, dass er auf derselben Ebene wie CIO, COO, usw. platziert ist. Denn dann hat er auch eine direkte Zugangsmöglichkeit zum Verwaltungsrat, von der er in Härtefällen durchaus Gebrauch machen muss.

Somit übernimmt der CISO in einer Organisation primär eine Aufsichtsfunktion. Er sorgt dafür, dass alle Sicherheits-Richtlinien, die existieren, auch konsequent befolgt, und alle Prozesse wie definiert eingehalten werden. Er übernimmt quasi das Controlling über alle Informationssicherheits-Aspekte, und greift, wo nötig, korrigierend ein. Er ist auch dafür verantwortlich, dass die gesamte Organisation entsprechend intensiv und regelmässig geschult wird – was aber nicht zwingend heisst, dass er die Schulungen auch selbst durchführen muss. Das dürfte aufgrund seines Pensums in grösseren Unternehmen oft nicht möglich sein. Und natürlich – quasi selbsterklärend – ist er für das ISMS (Information Security Management System) verantwortlich, das Steuerungselement für die Informationssicherheit des Unternehmens.

… und Aufgaben

In Anbetracht seiner Verantwortung sind auch die Aufgaben recht klar definierbar. Er muss sicherstellen, dass alle Informationssicherheits-Richtlinien stets vollständig und aktuell sind und er sorgt auch dafür, dass diese immer im Einklang mit den Unternehmensstrategien sind – die ändern sich durchaus gelegentlich. In seinen Aufgabenbereich gehört auch das Durchführen und Begleiten des Risikomanagements für die Informations- und IT-Sicherheit sowie den Datenschutz. Er muss zudem sicherstellen, dass die Massnahmen zur Mitigierung der Risiken aktiv umgesetzt werden und prüft auch deren Wirksamkeit. Er hält zudem fest, dass alle regelmässig durchgeführten Kontrollen korrekt ausgeführt werden – ganz im Sinne des PDCA-Zyklus. Falls Vorfälle auftreten, sorgt er dafür, dass diese schnell und korrekt behandelt werden. Ausserdem begleitet er die ISO-Audits, die jedes Jahr stattfinden, begleitet Audits durch Kunden und führt auch selbst Audits bei Lieferanten oder Partnerunternehmen durch. Daneben hat er noch beratende Funktionen, sei es gegenüber Teamleitern, der Führungsebene oder dem Verwaltungsrat und den Eigentümern.

Jetzt taucht eine Frage auf: wer setzt denn die zahlreichen Aufgaben um? Aufsicht ist gut und recht, aber irgend jemand sollte ja noch die Arbeit erledigen, die dadurch anfällt. Wer begleitet z.B. den Auftrag, die Firewall zu erneuern oder wer führt all die geforderten Berechtigungskontrollen durch? Wer aktualisiert die technischen Vorgabedokumente für das IT-Team? Darauf kommen wir im letzten Abschnitt zu sprechen.

Unterschiedliche Rollen für unterschiedliche Themenbereiche

Liest man die ISO-Norm, so werden dort viele Themen aufgeführt, die einen direkten Zusammenhang mit der Informationssicherheit haben. Allen voran der Datenschutz oder das Rechts- und Vertragswesen. Man ist jetzt versucht, das alles dem CISO zuzuweisen, denn schliesslich haben wir ja etwas weiter oben formuliert, dass der CISO die Gesamtverantwortung über die Informationssicherheit hat und dass dies ein abteilungsübergreifendes Thema ist. Richtig? Nein – machen Sie diesen Fehler nicht! Und zwar aus einem ganz bestimmten Grund nicht – der rechtlichen Komponente! Sowohl beim Datenschutz als auch beim Rechts- und Vertragswesen bestehen in jedem Land ganz klare gesetzliche Vorschriften, die es zu berücksichtigen gilt (und meist sogar eine mehr oder weniger spezielle Sprache). Natürlich kennen sich viele CISOs mit diesen Themen aus, denn Sie haben recht, diese Themen haben viele Gemeinsamkeiten. Um aber einen Vertrag prüfen zu können, ob er z.B. den gesetzlichen Anforderungen gerecht wird, reicht kein „ungefähres Wissen“ – dazu braucht es juristische Grundlagen und somit eine entsprechende Aus- oder Weiterbildung. Und genau diese fehlt den CISOs meistens, da sie eher einen technischen Background mitbringen.

Aber was ist jetzt mit den Fragen rund um das Thema Datenschutz, welche insbesondere auch vor dem Hintergrund des nächstes Jahr in der Schweiz in Kraft tretenden revidierten Datenschutzgesetztes in der Organisation auftreten? Wer kümmert sich um dieses Thema? Die Antwort finden wir im revidierten DSG selbst, Artikel 10: „Private Verantwortliche können eine Datenschutzberaterin oder einen Datenschutzberater ernennen. … Die Datenschutzberaterin oder der Datenschutzberater ist Anlaufstelle für die betroffenen Personen und für die Behörden, die in der Schweiz für den Datenschutz zuständig sind.“ Ja, da steht zwar „… können …“, aber in Anbetracht der Komplexität und des Schwierigkeitsgrades des Themas tut jede Firma gut daran, dies nicht auf die leichte Schulter zu nehmen, sondern einen Datenschutzberatenden mit entsprechender Erfahrung zu bestimmen. Er wird seine Kenntnisse auch bei den Datenschutz Folgeabklärungen einsetzen können, welche künftig vermehrt durchgeführt werden müssen. Dabei handelt es sich um Risikobeurteilungen, welche Risiken z.B. beim Einsatz eines gewissen Tools bestehen und ob dieses gemäss den gesetzlichen Vorschriften für den entsprechenden Einsatz geeignet ist oder nicht.

Dasselbe gilt auch für alle anderen rechtlichen oder vertraglichen Themen, die in einem Unternehmen anstehen. Lassen Sie diese durch entsprechend ausgebildete Fachpersonen bearbeiten. Und das bestätigt, was wir einleitend in diesem Abschnitt geschrieben haben: das können keine Themen für den CISO sein. Und ich wiederhole es nochmals: das ist kein Hobby. Nehmen Sie diese Themen ernst!

Eine stabile und leistungsfähige Sicherheitsorganisation, unsere Empfehlung

Ist Ihnen das  Wort „Organisation“ in der Überschrift aufgefallen? Sehr gut! Genau so, wie ein Tisch mit 4 Beinen grosse Lasten tragen kann, so ist auch eine Sicherheitsorganisation dann am leistungsfähigsten, wenn Sie diese auf 4 Stützen stellen:

1. CISO: Er trägt die Gesamtverantwortung, entwirft Konzepte und Richtlinien sowie kontrolliert deren Einhaltung
2. Datenschutzberater (DSB): Er kümmert sich um alle rechtlichen Aspekte im Bereich Datenschutz und arbeitet eng mit dem CISO zusammen
3. IT-SiBe: Er sorgt für die Umsetzung der vom CISO (und auch DSB) empfohlenen Anpassungen, verbessert aktiv die Dokumentationen und unterstützt die Anwender bei der Einhaltung aller Richtlinien
4. Schulungsverantwortlicher: Er unterstützt CISO, DSB und IT-SiBe aktiv durch praxisorientierte Schulungen innerhalb der gesamten Organisation.

Diese Organisation wird Ihnen im Bereich der Informationssicherheit in vielerlei Hinsicht helfen:

• Sie verfügen über genügend Ressourcen, um auch im Krisenfall und bei höchster Arbeitslast dieses Thema im Griff zu haben
• Sie können Ferien- und Krankheits-Vertretungen lückenlos sicherstellen
• Sie können das 4-Augen-Prinzip jederzeit problemlos erfüllen
• Ihr Informationssicherheits-Team kann mit entsprechendem Nachdruck auftreten und Richtlinien durchsetzen
• Durch individuelle Schulungen der vier Personen können Sie Ihrem Unternehmen ein Maximum an Know-how zur Verfügung stellen

Das müssen jetzt nicht zwingend vier 100-Stellenprozent sein. Sparen Sie im HR-Budget aber bitte nicht am falschen Ort. Denken Sie daran: die Anforderungen an die Informationssicherheit und den Datenschutz werden immer komplexer und sind deshalb zunehmend schwieriger umzusetzen. Die digitale Welt wird je länger je mobiler, neue Technologien wie AI / KI gelangen zunehmend in den Alltagseinsatz. Dem gegenüber steigen die Anforderungen an sichere Informationen und Daten. Warten Sie deshalb nicht, bis es zu spät ist, sondern bauen Sie jetzt eine leistungsfähige Sicherheitsorganisation in Ihrem Unternehmen auf. Nur so können Sie in Ihrem Unternehmen für eine nachhaltige Informationssicherheit sorgen.