Gefahren und Risiken gelten für alle Branchen
Firmen unterliegen alle denselben Angriffsmustern, selbst wenn sie unterschiedliche Schwerpunkte setzen - sei es, dass eine Versicherung sensible Kundendaten schützen muss, ein Energie-Unternehmen die Informationen der Anlagensteuerung absichert, damit das Stromnetz nicht ausfällt, oder der Automobilhersteller geistiges Eigentum wie die Entwicklungs-Daten neuer Fahrzeugmodelle hütet.
Angesichts zunehmender Hacker-Attacken sollten daher alle Unternehmen Informations-Sicherheit zum strategischen Ziel erklären und parallel zur Ausarbeitung einer digitalen Strategie eine stringente Security Strategie im gesamten Unternehmen einführen. Viele – insbesondere große - Unternehmen setzen daher einen Chief Information Security Officer (CISO) ein. Doch bislang hat sich weder eine einheitliche Sichtweise des Berufsbilds etabliert noch ist die Position des CISO in der Organisationsstruktur von Unternehmen genau definiert.
Der CISO muss das gesamte Unternehmen schützen
Zu den Pflichten eines CISOs zählt es unter anderen, zu verhindern, dass Daten manipuliert werden. Die Konsequenzen, die sich daraus ergeben, werden häufig unterschätzt. Außerdem muss er auf allen Hierarchieebenen Überzeugungsarbeit leisten, um alle Bereiche mit ins Boot zu holen. Neben der fachlichen Qualifikation sind auch umfangreiche Soft Skills wie Kommunikation, Teamfähigkeit und diplomatisches Geschick, Hartnäckigkeit, Kompromissfähigkeit, Belastbarkeit und Vertrauenswürdigkeit erforderlich.
Worauf kommt es im CV an?
Eine Ausbildung zum CISO gibt es nicht, allerdings erleichtern verschiedene Zertifikate den Aufstieg zum Chief Information Security Officer.
Die für den Sicherheitsbereich gesuchten Spezialisten müssen im Hinblick auf ihre Qualifikationen und Profile viel breiter aufgestellt sein als reine IT-Experten. Effektive Präventionsarbeit und auch die Planung potenzieller Angriffsszenarien gehören zu den Standardaufgaben. Für eine derartige Planung sind neben den reinen Programmiersprachen fundierte Kenntnisse im Security und Netzwerkbereich sowie Kryptografie erforderlich.
Neben den Kenntnissen im Bereich der Verschlüsselung mit mathematischem Fokus und einem Fachstudium wie beispielsweise im Bereich der (Wirtschafts-) Informatik, Mathematik, Naturwissenschaften oder Wirtschaftswissenschaften mit IT-Schwerpunkt, ist auch eine fundierte Berufserfahrung im Bereich IT Security (Threat Response/Analysis und Intelligence), CERT, Konzeption von Intrusion Detection und Prevention Systemen erforderlich. Solide Kenntnisse in den Themenfeldern Antimalwaresoftware, Netzwerkadministration, IT Sicherheit oder IT Forensik und der gängigen Skript- und Programmiersprachen sind ebenso wichtige Voraussetzungen.
Ein guter CISO wird im Vorfeld aktiv und verhindert, dass es überhaupt zu einem Datendiebstahl oder einem längeren Ausfall der IT-Systeme kommen kann.
Aus der Perspektive der Personaler sind Branchenkenntnisse das A und O, wenn es um die passende Personalie bei der Besetzung im Informationssicherheitsbereich geht. Neben den Branchenkenntnissen sind fundierte Kenntnisse der jeweils gültigen gesetzlichen Rahmenbedingungen (z. B. KonTraG, MaRisk) und Compliance relevant, um die erforderlichen Sicherheitslösungen regelkonform und erfolgreich umzusetzen.
Fazit:
Die Firmensicherheit in Unternehmen sollte noch stärker fokussiert und nicht als Trivialität eingestuft werden. Security ist keine Trenderscheinung, sondern vielmehr eine Notwendigkeit, die unter anderem durch die digitale Transformation immer mehr an Bedeutung gewinnt!
Autor:
Martin Krill ist seit über fünfzehn Jahren für die Hager Unternehmensberatung tätig und wurde 2004 zum Geschäftsführer berufen. Er besetzt gehobene Vertriebs- und Management-Positionen in der Technologiebranche sowie in weiteren ausgewählten Branchen.