Die Rolle des CISO

Kocher: Die Diskussionsbasis dreht sich hier um ein klassisches Riskmanagement. Die Frage, die ich mit dem CEO und CFO erörtern muss, lautet: Wie viel kann ich verlieren in Bezug auf den Umsatz, damit mein Unternehmen als Ganzes oder auf einzelne Abteilungen bezogen noch operabel bleibt und der Image-Schaden sich in Grenzen hält?

Danach muss ich mit Szenarien operieren, da es sich bei der IT-Security um ein technisch sehr komplexes Thema handelt. Diese müssen zudem ganzheitlich sein. Denn es nützt nichts, wenn man Teile der Unternehmens-IT optimal absichert – beispielsweise, weil man sich ein neues IT-Security-Produkt zulegt –, dabei aber vergisst, die anderen Teile zu schützen.

Kocher: Auch wenn die CISO schon ein «C» in der Bezeichnung haben, sind sie vielerorts noch nicht auf der CxO-Ebene angesiedelt. Das müsste sich meiner Meinung nach ändern. Jemand, der sich grundsätzlich mit dem Riskmanagement auseinandersetzt, das kann auch ein CSO oder CRO sein, sollte deshalb meines Erachtens in der Geschäftsleitung Einsitz nehmen. Denn die weiteren Mitglieder der Führungsetage haben tendenziell andere Interessen. Nehmen wir als Beispiel den CFO. Dieser sieht in der IT meist einen reinen Kostenfaktor und in der IT-Security erst recht. Wenn dann die unterschiedlichen Interessen nicht auf Augenhöhe austariert werden können, weil der CISO beispielsweise auf einer tieferen Hierarchieebene angesiedelt wird, kann sich dies negativ auf die Risikobeurteilung auswirken.

Kocher: Grundsätzlich sollten CIO und CISO zusammenarbeiten und wie Sie sagen am gleichen Strang ziehen. Allerdings gibt es auch Interessenkonflikte zwischen den beiden. Um ein etwas plakatives Bild zu verwenden, ist der CIO für den IT-Betrieb zuständig. Das heisst, er ist daran interessiert, dass die Lämpchen auf dem IT-Management-Monitor alle grün leuchten und falls sie doch einmal rot werden sollten, schnell wieder auf grün wechseln. Der CISO dagegen ist in der Verantwortung, dass die Lämpchen lange grün bleiben und nicht lange rot werden. Konflikte sind hier somit möglich.

Wenn ich dies auf die Anwenderebene herunterbreche ist es sogar so, dass die IT eher der «Enabler» ist, während die IT-Security eher hinderlich sein kann. Denken Sie nur an die Absicherung der Systeme durch Passwörter und weitere Faktoren. Will man hier als CISO einen optimalen Schutz implementieren, wird das für den Anwender unweigerlich komplex und «verhindert» damit das Arbeiten.  Auf der anderen Seite hängt der Arbeitsplatz an der IT-Security. Denn wenn ein Unternehmen wegen eines grösseren Vorfalls grosse Umsatzeinbussen erleidet, ist dieser gefährdet. Ziel der IT-Security muss es daher sein, diskret zu schützen, ohne den Anwender zu sehr in Mitleidenschaft zu ziehen.

Computerworld: Welche Unternehmen beschäftigen heute bereits einen CISO?

Kocher: Das sind schon in der Regel die grösseren Firmen, die sich durchschnittlich den Risiken einer mangelnden IT-Security bewusst sind. In klassischen KMU fehlt diese Position noch. Typischerweise ist da der IT-Leiter auch für die Security zuständig. Tendenziell wird die IT dort auch noch als reines Arbeitswerkzeug wahrgenommen, über dessen Schutz man sich noch wenig Gedanken macht. Allerdings steigt auch hier das Bewusstsein für die IT-Security.