Das 1×1 der IT-Sicherheit: Wer in einem Unternehmen für die Cybersicherheit verantwortlich ist – und wie das gelingt

Headergrafik des 1x1 der IT-Sicherheit

In unserer Serie „1×1 der IT-Sicherheit“ beleuchten wir regelmäßig die Risiken für Organisationen durch Cyberkriminelle und die Technologien, mit denen wir ihnen begegnen können. Doch wer kümmert sich in Unternehmen eigentlich um die IT-Sicherheit? In dieser Folge soll es um diejenigen gehen, die für die Cyberabwehr verantwortlich sind, in ihrer eigenen Organisation oder für Kund*innen – und welche Herausforderungen ihr Job mit sich bringt.

CIO, CISO, CSO, CSA – In den letzten Jahren haben sich ganz verschiedene Rollenbezeichnungen in Unternehmen etabliert, bei denen IT-Sicherheit von Bedeutung ist. Ihre Verantwortungsbereiche überschneiden sich in Teilen, beinhalten jedoch häufig auch Zuständigkeiten über die Cybersicherheit hinaus. So ist ein Chief Information Officer (CIO) für den störungsfreien Betrieb der IT-Infrastruktur zuständig. Ein Chief Security Officer (CSO) verantwortet die digitale und physische Sicherheit, das bedeutet er kümmert sich etwa auch um Gebäude- und Brandschutz. Der Fokus eines Chief Information Security Officer (CISO) liegt auf der Sicherheit von Informationen und Daten. Chief Security Advisor (CSA) hingegen beraten Kund*innen in Sicherheitsfragen.

So unterschiedlich der individuelle Arbeitsbereich ausfallen mag, die verschiedenen Rollen und Funktionen haben eines gemeinsam: Die Menschen, die sie ausfüllen, müssen jederzeit mit der dynamischen Cyberbedrohungslage Schritt halten und Risiken abwägen. Das heißt auch: Nein sagen. Das neue Tool oder der etwas einfachere Workflow sind manchmal das Sicherheitsrisiko nicht wert, das sie für das gesamte Unternehmen mit sich bringen würden. Es gehört zum Job der Verantwortlichen für Cybersicherheit, eine gesunde Portion Paranoia zu pflegen.

Sicherheitsbeauftragte nehmen eine Brückenfunktion in Unternehmen ein

Ein solches Nein müssen sie jedoch auch gut begründen können. Sicherheitsbeauftrage stehen in ihrem Job immer wieder vor der Herausforderung, eine Kluft innerhalb ihrer Organisationen überwinden zu müssen. Nicht alle Beschäftigten verstehen die technischen Details hinter gefährlichen Sicherheitslücken – gelegentlich sind sie vielleicht selbst für CISOs, CSOs oder andere zu komplex. Deshalb geht es in der Rolle des Sicherheitsbeauftragten auch darum Vertrauen zu schaffen und eine Brücke zu bauen zwischen Techniker*innen, die tief in den Details stecken, und etwa dem Vorstand, der auf Basis der Risikoeinschätzung Entscheidungen treffen muss.

In einem früheren Beitrag haben wir bereits auf das Präventions-Paradox verwiesen, IT-Verantwortliche werden es kennen. Die Kurzfassung: Man sieht ein Ereignis nicht, das durch eine präventive Maßnahme verhindert wurde – und stellt die Maßnahme selbst in Frage. Für IT-Verantwortliche ist es daher oftmals eine Herausforderung, Entscheider*innen auf aktuelle Gefahren und Risiken hinzuweisen, damit sie die notwendigen Investitionen in die Cyberabwehr tätigen. Denn ein vereitelter Angriff wird nur selten sichtbar – niemand sieht den verheerenden Schaden, den CISOs, CSOs und CIOs mit ihren Teams verhindern konnten. Doch es gibt glücklicherweise auch die andere Seite der Medaille: Den Erfolg, ein Problem zu lösen und den Kolleg*innen so zu ermöglichen, ihren Job einfacher und sicherer zu erledigen, beispielweise die erfolgreiche Identifizierung und Detonation einer Phishing-E-Mail.

Alle Lösungen, die wir in unserer Serie „1×1 der IT-Sicherheit“ vorgestellt haben, helfen Menschen sicher und produktiv zu arbeiten. Diese Tools bestmöglich einzusetzen, Sicherheitsprobleme zu lösen und Kolleg*innen und Kund*innen verständlich zu erklären, warum Schutzmaßnahmen wichtig sind – das sind die wichtigsten Aufgaben unserer CIOs, CISOs, CSOs und CSAs.

Weitere Beiträge der Serie:

Ein Beitrag von Stratos Komotoglou
Senior Subsidiary Product Marketing Manager Microsoft 365 Security bei Microsoft Deutschland
Profilbild Stratos Komotoglou

 

Tags: ,

Weitere Infos zu diesem Thema