Die Ransomware-Wellen 2017, die zunehmenden externen Anforderungen (IT-Sicherheitsgesetz, DSGVO, Anforderungen von Supply Chain Partnern, bankaufsichtliche Anforderungen an die IT -BAIT…), die generell zunehmenden Cyber-Angriffe aber auch die zusätzlichen Herausforderungen, die mit der Digitalisierung verbunden sind, haben viele Firmen dazu gebracht, neu über die CISO-Organisation nachzudenken (CISO: Chief Information Security Officer).
Vordergründig geht es häufig um die Frage, ob der CISO an den CIO berichten sollte oder ganz bewusst an eine Funktion außerhalb der IT. Die Möglichkeiten reichen hier von einer Berichtslinie an Funktionen wie Risk Management, Werkschutz / Corporate Security oder Compliance bis zu einer direkten Anbindung an den Vorstand oder eine Vorstandsfunktion. Das ‚Three-Lines-of-Defense-Model‘ des Risk Managements suggeriert zwar, dass seine Berichtslinie außerhalb der IT obligatorisch ist, allerdings berichtet die überwiegende Zahl der CISOs in großen Konzernen weiterhin an den CIO, auch wenn die Aufgaben definitiv über die IT im engeren Sinne hinausgehen. Beispiele hierfür sind die Informationsklassifizierung, Business Impact Analysen oder Mitarbeiter Awareness – alles Aufgaben, die nur im engen Schulterschluss mit den Fachabteilungen erfolgreich sein können.
Wichtiger, ob der CISO an den CIO berichtet oder nicht, ist allerdings die Frage, inwieweit seine Aufgaben in Ihrer Bedeutung und Breite vom Unternehmen verstanden und akzeptiert sind. Dies ist offensichtlich in vielen Unternehmen der Fall und deshalb lassen diese Unternehmen den CISO regelmäßig an ein Executive Gremium mit Vorstandbeteiligung berichten. Dies führt dazu, dass die Frage, an wen der CISO berichtet, weit weniger entscheidend ist.
Allerdings ist die Nähe zur IT in jedem Fall ein wichtiger Erfolgsfaktor für die Effizienz und Effektivität des CISOs und seiner Organisation. Die Umsetzung von Prinzipien wie ‚Security by Design‘ und das Monitoring der Einhaltung von Security-Vorgaben sind nur in enger Zusammenarbeit zwischen operativer IT und CISO-Organisation zu gewährleisten. Durch die enge Anbindung des CISOs an den operativen IT-Bereich lässt sich auch sicherstellen, dass aktuelle Entwicklungen zeitnah verfolgt und entsprechend geregelt und auch in das Security Monitoring übernommen werden können. Insbesondere die Veränderungen durch die Digitalisierung erfordern ein pro-aktives Agieren der CISO-Organisation. Bei einer zu großen Entfernung von der operativen IT besteht immer das Risiko, dass die CISO-Funktion den Entwicklungen hinterherläuft und als rückwärtsgewandte Governance-Funktion ohne nennenswerte Akzeptanz und damit Effektivität wahrgenommen wird.
Spannend und in vielen Firmen im Umbruch ist die Frage, wer verantwortlich für Cyber Security in der OT (Operational IT oder besser IT in der Produktion) ist. Durch die Konvergenz der Technologie liegt es nahe, den CISO und seine Organisation auch hierfür in die Pflicht zu nehmen. Häufig geht dies auch einher mit der Etablierung einer entsprechenden Support Einheit in der klassischen IT Organisation. Durch die typischerweise gewachsenen Strukturen mit eher dezentralen Verantwortlichkeiten und durch die deutlich langsameren Innovationszyklen bei Produktionsanlagen im Vergleich zum klassischen IT-Equipment, stellt die Aufgabe meist eine sehr große Herausforderung dar, zumal mit dem Einzug von Industrie 4.0 die Anfälligkeit der Prozesse durch Cyberangriffe massiv wächst.
Ein weiterhin aktuell diskutiertes Thema ist die Frage, inwieweit die CISO Organisation eher operative Verantwortlichkeiten für das SOC (Security Operation Center), das CERT (Computer Emergency Response Center) oder die etwas umfassendere Cyber Defense Organisation übernehmen sollte und wie das Zusammenspiel mit der operativen IT gestaltet wird. Auch wenn es hier durchaus unterschiedliche Konstellationen gibt, hat sich in großen Unternehmen durchgesetzt, die operative Security Einheit dem CISO zu unterstellen. Die Zuständigkeit des CISOs bedeutet dabei nicht automatisch, dass auch alle Aufgaben intern erledigt werden. Insbesondere der Betrieb von SOC-Aufgaben wird häufig – wie andere operative Aufgaben in der IT auch – durch spezialisierte Partnerunternehmen erbracht.
Inzwischen wird vermehrt die Frage gestellt, inwieweit auch die Sicherheit in Endprodukten z.B. bei Fahrzeugen oder medizinischen Devices in den Verantwortungsbereich des CISOs gehört. Auch hier gibt es keine allgemeingültigen Antworten, aber die Verantwortlichen für die IT in den Produkten sind sicher gut beraten, sich die häufig langjährige Expertise der CISO-Organisation zu sichern.
Last but not least muss auch überlegt werden, wie in Konzernen mit Tochtergesellschaften im In- und Ausland die CISO-Organisation global aufgestellt wird. Eine komplett zentralisierte Organisation hat sich insbesondere wegen der erforderlichen Nähe zum operativen Geschäft nicht bewährt. Stattdessen wird häufig ein Hybrid aus zentralen / regionalen und lokalen Komponenten gewählt. Governance-Aufgaben, das Monitoring von Security Vorgaben sowie Cyber Defense/CERT-Aufgaben sind sinnvollerweise zentral bzw. regional etabliert. Awareness Trainings, Risk Assessments und Business Impact Analysen eignen sich auch für lokale Aufgaben.
Die konkrete Ausprägung der globalen Struktur wie auch die anderen angesprochenen Organisationsaspekte müssen immer im Kontext des individuellen Unternehmens definiert werden. Ein Unternehmen aus der Finanzbranche, ein Handelsunternehmen oder ein forschendes Produktionsunternehmen werden nicht unbedingt das gleiche Setup der CISO-Organisation wählen, auch wenn die Grundstrukturen sich immer weiter annähern. In allen ist gemeinsam, dass nur mit einem starken CISO und einer entsprechend schlagkräftigen Cyber Security Organisation sich die Sicherheit in Zeiten der zunehmenden Digitalisierung gewährleisten lässt.
Der zweite Teil „Resilienz IT-basierter Geschäftsprozesse“ erscheint in Kürze.
Fragen, Feedback und Kommentare zu diesem Beitrag senden Sie bitte an h.leucker@acent.de
Hermann Leucker | 29.01.2020
