Report: Die Zukunft der CISOs

Cybersicherheit hat mehr als eine Dimension

Über die notwendige Veränderung in der Cybersecurity wird viel berichtet und diskutiert, das ist richtig so. Doch Cybersicherheit kann den steigenden Cyberbedrohungen nicht die Stirn bieten, wenn nur die Technologie als Bereich gesehen wird, in dem etwas geschehen muss. Es stimmt zwar, dass neue Technologien auch neue Sicherheitsrisiken mit sich bringen und dass neuartige technische Lösungen in der Cybersecurity einen erweiterten Schutz bieten können. Doch aus gutem Grund fordert zum Beispiel die EU-Agentur für Cybersicherheit ENISA eine Überprüfung der Cybersicherheit in drei Bereichen: Technologie, Prozesse und Menschen.

Nur wenn die Cybersecurity in allen drei Dimensionen Fortschritte macht, kann die Digitalisierung wirklich sicherer werden. Dabei kommt uns Menschen ein besonderer Stellenwert zu, nicht nur wegen der notwendigen Security-Awareness. Bei aller KI ist es der Mensch, der die Richtung der Security vorgibt. Wenn es also um eine Veränderung in der Cybersicherheit geht, muss immer auch an die neuen Rollen und Aufgaben der Sicherheitsverantwortlichen, der CISOs, gedacht werden.

Wo CISOs heute stehen

Die CISOs von heute sind überhäuft mit Aufgaben und stehen unter Dauerstress, mit gefährlichen Folgen für die Cybersicherheit. Das liegt auch an den bisherigen Aufgaben und Rollen der CISOs. Die EU-Agentur ENISA nennt als Aufgaben der CISOs die „Verwaltung der Cybersicherheitsstrategie einer Organisation und deren Umsetzung, um sicherzustellen, dass digitale Systeme, Dienste und Vermögenswerte angemessen sicher und geschützt sind.“

CISOs „definieren, pflegen und kommunizieren die Cybersicherheitsvision, -strategie, -richtlinien und -verfahren. Sie verwalten die Umsetzung der Cybersicherheitsrichtlinie in der gesamten Organisation und sichern den Informationsaustausch mit externen Behörden und Berufsverbänden“, so ENISA.

Das klingt nicht nur administrativ, ohne Zweifel haben CISOs eine große Zahl an Verwaltungsaufgaben auf ihren Schultern. Nun ist Verwaltung zwar wichtig, Dynamik und Veränderung aber kann man aus Administrationstätigkeiten nicht erwarten.

Die Marktforschenden von Gartner beschreiben die Rolle von CISOs schon etwas anders: Chief Information Security Officers (CISOs) ermöglichen das digitale Geschäft, indem sie wichtige Initiativen vorantreiben, die das Unternehmen sichern und schützen. Umfragen von Gartner zeigen: Die Rolle der CISOs wächst, gleichzeitig nimmt der Umfang des digitalen Geschäfts zu. Unter den Vorstandsmitgliedern geben 64 Prozent an, dass ihre Organisation versucht, ihre wirtschaftliche Architektur erheblich zu ändern, um mehr Wert auf digitale Technologien zu legen. Gleichzeitig geben 88 Prozent an, dass sie Cybersicherheit als Risiko für das Unternehmen erkennen.

CISOs sind also Treiber und Enabler, doch in der Praxis fühlen sie sich häufig getrieben.

Digitale Transformation erfordert auch Transformation der CISOs

Da sich Organisationen weiterentwickeln und Sicherheitsteams auf eine sich ändernde Bedrohungsumgebung reagieren müssen, müssen viele CISOs umfangreiche Änderungsprogramme starten, um die Cybersicherheitsfähigkeiten zu transformieren und neue Kompetenzen aufzubauen, so Forrester Research. Diese Änderungsprogramme können größer sein als alles, was CISOs bisher vorangetrieben haben, daher ist es wichtig, einen klaren Plan und engagierte Sponsoren zu haben, um das Programm zu unterstützen und die Ziele zu erreichen.

Der Schluss, dass die digitale Transformation auch eine Transformation der Security erfordert, greift zu kurz, wenn nicht auch die Rollen und Aufgaben der CISOs transformiert werden. Marktforschungs- und Beratungshäuser haben verschiedene Prognosen, wo es für CISOs hingegen wird oder sollte, manche sehen CISOs in Zukunft als Gestalter und nicht mehr als Verwalter, andere sprechen von CISOs eher als Security Influencer.

Klar ist jedoch, dass CISOs auch in Zukunft keine eindimensionale Rolle haben werden, so wie die Cybersicherheit selbst mehrere Dimensionen hat. Verwalten, Gestalten und Beeinflussen könnte sicherlich dazu gehören. Aber das reicht nicht. Der Schlüssel liegt in der Konzentration auf Kernkompetenzen.

Cybersecurity braucht CISOs und nicht nur Künstliche Intelligenz

Die Rollen und Aufgaben der CISOs müssen sich entfernen von der Verwaltung der Security, mit einer guten Security-Management-Lösung, die verständlich dokumentiert ist, können dies Beschäftigte übernehmen, die auch andere Aufgaben managen. CISOs müssen auch befreit werden von viele operativen Funktionen, hier kann Automatisierung und KI vieles vereinfachen und übernehmen.

CISOs müssen zudem befreit werden von der Last der alleinigen Verantwortung, denn Security ist in der Verantwortung des ganzen Unternehmens, des ganzen Managements und aller Beschäftigten. Stattdessen sollte das so wichtige Wissen der CISOs wertgeschätzt und genutzt werden, hier liegt die Kernkompetenz.

Weder KI noch externe Security-Services können interne CISOs ersetzen, denn nur sie verbinden in sich das umfassende Security-Know-how und das Wissen über das jeweilige Unternehmen. CISOs sollten deshalb weitaus stärker als bisher als “Security Think Tank” gesehen und eingesetzt werden. Der ganze C-Level des Unternehmens kann von der Security-Expertise profitieren. Der Bedeutung der Security entsprechend sollten diese Security Think Tanks und damit die CISOs auch direkt dem C-Level angegliedert sein.

Statt also auf geheimnisvolle KI zu hoffen, sollte man die vorhandene Security-Intelligenz im Unternehmen nutzen, die von KI unterstützt werden kann. Die Zukunft der CISOs sollte also nicht in der Security-Verwaltung liegen, sondern das Security-Gehirn sein. Im Idealfall gibt es auch kein Security-Budget mehr, sondern Security ist Teil jedes Budgets und jeder Verantwortung.