Die künstliche Intelligenz (KI) hat sich zu einem globalen Top Thema entwickelt und damit Cybersicherheit zu einem der Technologiesegmente, auf die sich die KI mit am meisten auswirken wird. Mit zunehmender Digitalisierung durchdringt Software immer mehr die Unternehmen und Organisationen, was die Angriffsfläche für Hacker deutlich vergrößert. Beim Social Engineering vertraut der Hacker auf das Unvermögen der Menschen, mit schnell entwickelnden Informationstechnologien Schritt zu halten.
Vielen Personen ist gar nicht bewusst, wie wertvoll deren Daten sind und gehen dementsprechend nachlässig damit um. Social Engineering stellt eine große Gefahr für jedes Sicherheitssystem dar, weil unsere Abhängigkeit von Informationen immer mehr zunimmt. Als Gegenmaßnahme wird es immer wichtiger, Mitarbeitern den Wert von Informationen zu verdeutlichen und sie entsprechend zu schulen. Zudem muss das Bewusstsein hinsichtlich der Vorgehensweise von Social Engineers in den Unternehmen geschärft werden. Der Rolle des CISO (Chief Information Security Officer) kommt hier eine besondere Bedeutung zu. Der Stellenwert und die Relevanz der Aufgabe für das Unternehmen steigt stetig und verändert sich rasant.
CISO Aufgabe
Der CISO ist verantwortlich für die Informations- und Datensicherheit im gesamten Unternehmen. Er ist das entscheidende Bindeglied zwischen den oftmals separaten Disziplinen IT, Sicherheit und Business. Auf Grundlage des Business und der Geschäftsziele erarbeitet er die IT-Security-Strategie und sorgt so für das notwendige hohe Sicherheitsniveau, mit dem Anspruch agile Geschäftsprozesse zu unterstützen.
Traditionell berichtet der CISO an den CIO (Chief Information Officer) oder den CDO (Chief Digital Officer). Aktuell vollzieht sich jedoch ein Wandel im Markt. Inzwischen hat sich der Aufgabenbereich des CISO in Richtung strategischer Inhalte verschoben, um Sicherheitslücken und Probleme zu vermeiden, bevor diese überhaupt eintreten. Er ist verantwortlich für die Sicherheit von Menschen sowie Unternehmensinformationen und -technologien. Das Thema CISO und alle damit verbundenen Aufgaben wird für Unternehmen und Organisationen immer wichtiger. Dies führt zu einer Verschiebung der Berichtslinie an die Geschäftsführung.
CIO und CISO auf Augenhöhe einzusetzen, kann das strukturelle und inhaltliche Konfliktpotenzial senken und als Signal für das gesamte Unternehmen gelten, dass Cybersicherheit ernst genommen wird. Organisatorisch sollte der Bereich Cybersicherheit getrennt und unabhängig von der IT laufen und über ein eigenes Budget verfügen.
CISO Qualifikation
In den Anfängen der CISO-Rolle war die IT-Sicherheit im Großen und Ganzen ein Teil der IT und die Anforderungen an Kandidaten sehr technisch ausgerichtet. Eine Ausbildung zum CISO gibt es bisher nicht, allerdings erleichtert eine fundierte Berufserfahrung im Bereich IT Security (Threat Response / Intelligence und Analysis), IT-Fachkenntnisse sowie Kenntnisse der jeweils gültigen internationalen regulatorischen Vorgaben und Standards sowie Compliance relevanter Themen den Einstieg in die CISO Position.
Um die erforderlichen Sicherheitslösungen regelkonform und erfolgreich umzusetzen, ist jedoch das jeweilige Business Verständnis des CISO entscheidend. Dies erfordert besondere persönliche Fähigkeiten wie Überzeugungskraft, Vertrauenswürdigkeit, Kommunikation, Teamfähigkeit, Kompromiss- sowie Durchsetzungsfähigkeit, Belastbarkeit und oftmals diplomatisches Geschick. Die Fähigkeit, risikobasierte sowie geschäftsorientierte Entscheidungen zu treffen und diese auszuführen, ist ebenfalls von besonderer Bedeutung.
CISO Marktsituation
Aktuell befinden wir uns in einem „Kandidatenmarkt“. Es gibt auf dem Markt mehr Stellenangebote als dafür erforderliche Kandidaten. Oftmals suchen die Kandidaten dabei nach Unternehmen, die technologische Vorreiter sind und die dem Kandidaten die aktuell besten Standards und Perspektiven bieten. IT-Security Studiengänge werden bisher leider nur von wenigen Universitäten angeboten. Die Unternehmen sollten darauf reagieren und Zugeständnisse bei der Rekrutierung von Kandidaten machen und eine realistische Passgenauigkeit zum Idealprofil erwarten.
Vielmehr sollten die Unternehmen in persönliche Fähigkeiten investieren und eine maßgeschneiderte Qualifizierung für mögliche Wissenslücken anbieten. Bis Unternehmen das notwendige Personal und die interne Struktur aufgebaut haben, passend zu ihrem eigenen Gefahren- und Risikoprofil, kann eine Unterstützung durch externe Sicherheitsexperten eine gute Lösung sein. Bei der Suche und Auswahl geeigneter Kandidaten ist die IT Expertise und das Verständnis für neue Technologien verbunden mit einem weitrechenden nationalem und internationalem Netzwerk, Beurteilungskompetenz und tiefgreifendem Recruiting-Wissen entscheidend.
Etliche Unternehmen ändern aktuell ihre Strategie: weg von einer reaktiven hin zu einer proaktiven Handlungsweise. Was diese Geschäftsführer und Vorstände verstanden haben: Egal ob IT (Administration oder Service), Lager/Logistik, Produktion/Fertigung, Finanz- und Rechnungswesen, Entwicklung bis hin zum Einkauf. Sie sind persönlich für die Abwehr von Gefahren verantwortlich.