Welche Aufgaben können CISOs gegenwärtig kaum erledigen und warum?

Zum einem müssen CISOs sich darum bemühen, angesichts expandierender Angriffsflächen und komplexer sowie häufiger werdender Angriffe nicht den Anschluss an die Cyberkriminalität zu verlieren. Dabei sollen ihre Cybersicherheitsprogramme mit dem Tempo sich verändernder Geschäftsprozesse und -modelle Schritt halten. Zum anderen aber hat sich ihre Verantwortlichkeit verschoben. Diese erstreckt sich nicht mehr länger nur auf die IT oder die IT-Sicherheit, sondern auch auf so gut wie jede Abteilung im Unternehmen, wie etwa Human Resources, Rechtsabteilungen, Sales oder auch das Marketing – auf alle Mitarbeiter, die am PC sitzen oder an das Internet angebunden sind.

Diese Realität, verschärft durch den Mangel an professionellen und kompetenten Fachkräften, führt dazu, dass CISOs kaum noch eine Balance zwischen strategischen und Alltagsaufgaben finden. Viele Sicherheitsverantwortliche reagieren nur noch mehr und agieren kaum noch proaktiv oder gar strategisch.

Welche Rolle sollten CISOs in Unternehmen haben, obwohl sie in der Praxis oft anderweitig eingebunden sind?

Eigentlich sollte ein CISO umfassende Cybersicherheitsstrategien entwickeln und implementieren, die mit den übergeordneten Geschäftszielen übereinstimmen. Darüber hinaus identifiziert und bewertet er in der Theorie Sicherheitsrisiken und setzt Sicherheitsrichtlinien und Abläufe zum Mindern von Risiken durch.

In Wirklichkeit ist er aber eingebunden in Bereiche wie Compliance, Risikomanagement oder allgemeine IT-Abläufe. Das lenkt ihn nicht nur von seinen Kernaufgaben ab, sondern setzt eine Organisation auch gesteigerten Sicherheitsrisiken aus. Ungeachtet dieser Diskrepanz spielen CISOs eine immer größere Rolle: Laut einer Gartner-Analyse werden 2026 CISOs Mitglied in rund 70 Prozent von Aufsichtsräten sein. Das Prestige eines CISO oder eines Security Risk Managers (SRM), seine Sichtbarkeit und Prominenz im Unternehmen und sein Tätigkeitsbereichs wachsen definitiv.

Was sollten in Zukunft die Aufgaben der CISOs sein? Wie sollten sich CISOs transformieren?

Hybride Arbeitswelten und digitale Transformationsprozesse diktieren die zukünftige Agenda. Sie müssen ständig die Sicherheit ihrer digitalen Ökosysteme verbessern, indem sie Kontrollmechanismen implementieren. Damit betrachten sie dann ganzheitlich die zunehmend fragmentierte Angriffsoberfläche. Zudem sollten sie verstärkt die Perspektive der Hacker einnehmen, um Risiken priorisiert eindämmen zu können.

Dazu benötigen CISOs einerseits eine vollständige Aufsicht auf die Angriffsoberfläche und sollten andererseits den Fuhrpark eingesetzter Sicherheitslösungen konsolidieren. CISOs, die über nicht genügend Ressourcen verfügen, um ein solch umfassendes IT-Sicherheitsprogramm zu implementieren, werden auf externe Hilfe durch Sicherheitsexperten im Rahmen einer Managed Detection and Response (MDR) auf Dauer nicht verzichten können.

Was ist für die Transformation der CISOs notwendig?

Bisher wurde Sicherheit historisch über Technologien, Menschen und Prozesse definiert. Die Technologie spielte dabei die dominante Rolle. Aber der alleinige Blick auf Lösungen reduziert den Wirkungsgrad von Cybersicherheitsrisiken. Selbst die beste Sicherheitstechnologie schützt nicht gegen den Mitarbeiter, der sich entschließt, einen bösartigen Link anzuklicken.

Die obersten Sicherheitsbeauftragten müssen also die Balance zwischen Mensch, Prozess und Technologie wiederfinden. Denn alle drei Säulen spielen eine wichtige Rolle, um nachhaltige Cybersicherheitsprogramme zu entwickeln. Aufgabe der Technologie ist es vor allem, die Verweildauer der Angreifer in der IT und die Reaktionszeit der Abwehr zu verkürzen. Über die Anwendungen hinaus gilt es, Abwehrprozesse zu verstehen, um die Attacken schon bei den ersten Anzeichen zu unterdrücken.

Was empfehlen Sie den CISOs von heute?

Unabhängig von der Unternehmensgröße sollten C-Level-Sicherheitsbeauftragte sich als Entscheider sowohl in Sachen der Sicherheit als auch der Geschäftsentwicklung sehen. Sie können deshalb nicht mehr länger nur Technologien verstehen. Vielmehr müssen sie mit dem gesamten C-Level oder mit den verschiedenen Abteilungsleitern reden können. Zugleich sollten sie sich um eine einfache und effizientere Sicherheit durch ein konsolidiertes IT-Sicherheitsportfolio im Unternehmen kümmern. Ist das der Fall, agieren sie nicht mehr reaktiv, sondern aktiv.

Zentral wird aber der Faktor Mensch bleiben: Ein Mitarbeiter-Training zum Thema Phishing ist eine hochwirksame Abwehrmaßnahme. Denn viele komplexe Angriffe starten auch heute noch mit einfachen Mails samt bösartigem Link oder Anhang. Zu guter Letzt appellieren wir an die Einsicht des CISO: Externe Hilfe etwa in Form einer Managed Detection and Response (MDR) einzuholen, ist erlaubt und früher oder später auch notwendig.

Tyler Baker

ist Senior Manager, Global Security Operations bei Bitdefender