Der «Rucksack» des CISO

Kocher: Der CISO benötigt im Grunde genommen das Skill-Set eines Projektleiters. Er ist der Kommunikator und sollte über Managementfähigkeiten verfügen. Denn in der Regel hat er ein Team aus technisch versierten IT-Security-Fachleuten, mit dem er die verschiedenen Projekte dann umsetzt.

Der CISO braucht also beides, ein bestimmtes technisches Know-how auf der einen Seite. Andererseits muss er mit seinem Team und mit der Geschäftsleitung sowie dem Verwaltungsrat stufengerecht kommunizieren können. Dem CISO kommt somit eine klassische Mittlerrolle zu: Er muss unten die Technik verstehen und die Gefahrenlage nach oben verständlich erklären sowie Management-technisch richtig verpacken können.

Kocher: Nicht unbedingt. Ich würde schätzen die Hälfte kommt von der Technik her und die andere Hälfte von der Managementseite. Letzteres trifft meist bei grösseren Unternehmen dann zu, wenn die Position des CISO aus Compliance-Gründen besetzt wird. Dann kommt er eher aus dem Management. Aber auch dann muss er eine Lücke füllen und sich viel technisches Wissen aneignen, was auch nicht immer einfach ist.

Kocher: Durchaus. Denn viele mittelgrosse Unternehmen benötigen nicht ständig einen CISO. Deshalb gibt es in der Schweiz bereits Firmen, die sich mit anderen einen CISO teilen. Wir stellen beispielsweise solche Leute zur Verfügung, natürlich unter strengsten NDAs. Schliesslich darf man hier das Vertrauen in keinster Weise gefährden.

Kocher: Eigentlich braucht jede Firma, egal wie gross sie ist, ab und zu die Sichtweise des CISO auf die eigene IT-Infrastruktur. Das kann bei kleinen Unternehmen bedeuten, dass sich ein CISO einmal im Jahr die Prozesse und die Sicherheitsmassnahmen anschaut oder dass er bei der Einführung von neuen IT-Produkten und -Abläufen beigezogen wird, um sich diese einmal mit der IT-Security-Brille anzuschauen und zu überprüfen. Schliesslich hat jede Firma, wenn sie gehackt wird, Geld zu verlieren.