icon

Der externe CISO – verantwortlich für die Informationssicherheit innerhalb des Unternehmens

Nicht jedes Unternehmen benötigt dauerhaft einen festangestellten Chief Information Security Officer (CISO), also einen Verantwortlichen für Informationssicherheit. Immer wieder kann es jedoch zu Situationen kommen, in denen für eine gewisse Zeit ein CISO nötig ist. Vielleicht muss ein übergreifendes Informationsschutzkonzept erarbeitet, umgesetzt und kontrolliert werden. Möglicherweise braucht das Unternehmen einfach grundsätzlich eine Basis, auf der ein funktionierendes Sicherheitssystem aufgebaut werden muss, weil die Firma über die Jahre größer, die IT-Ausstattung komplexer und die gesetzlichen Auflagen umfangreicher geworden sind. Dann ist es Zeit für einen Spezialisten, der sowohl fachlich als auch technologisch aufs Beste für die Arbeit vorbereitet ist.

Informationssicherheit – was gehört dazu?

Informationssicherheit (IS) ist der Schutz vor nicht autorisierter und vor unbeabsichtigter Zerstörung, Veränderung, Enthüllung und Benutzung von Informationen oder Informationsressourcen. Sie umfasst auch die Wiederherstellung von Informationen, die ungewollt oder unerlaubt zerstört oder verändert wurden. Die Informationssicherheit ist ein wesentlicher Bestandteil der Unternehmenssicherheit und ein wichtiger Part im Verantwortungsbereich der Unternehmensführung.
Ein derzeit stark anwachsendes Risiko ist der Verlust der Vertraulichkeit und Verfügbarkeit von Informationen. Schon allein deshalb braucht jedes Unternehmen zwingend einen funktionierenden Informationsschutz. Die Risiken, die zum Beispiel der Ausfall einer Buchhaltungsanwendung, eines Lagerwirtschaftssystems oder einer elektronisch gesteuerten Produktionsstraße zur Folge haben, können rasch kritische Ausmaße annehmen!
Neben der Verfügbarkeit der relevanten Informationswerte ist ein weiteres Ziel der Informationssicherheit die Vertraulichkeit. In diesem Bereich betreibt ein Unternehmen Risikovorsorge, indem es zum Beispiel das eigene marktrelevante geistige Eigentum – etwa aktuellste Forschungsergebnisse oder die Konstruktionszeichnungen eines neuen Prototypen – schützt, aber auch personenbezogene Daten wie beispielsweise die der Bankverbindungen von Mitarbeitern oder Kunden.

Welche Vorteile bringt ein externer CISO Ihrem Unternehmen?

Es kann viele sinnvolle Gründe dafür geben, über einen bestimmten Zeitraum einen externen CISO zu beauftragen. Oft ist ein Unternehmen personell nicht so ausgestattet, dass die Aufgaben rund um die Informationssicherheit entsprechend priorisiert und qualifiziert wahrgenommen werden können. Auch bestimmte Veränderungen können es notwendig machen, dass ein CISO ein umfassendes Konzept zur Informationssicherheit in einem Unternehmen definiert, umsetzt und konsolidiert. Solche Veränderungen können zum Beispiel in der unternehmensinternen Datenverarbeitung auftreten, aber auch in der personellen Besetzung einer Firma oder bezüglich der Unternehmensgröße. Auch neue externe Vorschriften ­– seien es Vorgaben von Geschäftspartnern, deren Zulieferer das Unternehmen ist, oder auch veränderte gesetzliche Bestimmungen – spielen für die Informationssicherheit in der Regel eine Rolle. In all diesen Fällen lohnt es sich unbedingt, einen externen Spezialisten einzubeziehen.
Er bringt den Vorteil mit, dass es zu seinem Tagesgeschäft gehört, Informationsrisiken zu erkennen, zu bewerten und im Sinne eines Unternehmens damit umzugehen. Ein weiterer großer Vorteil des externen CISOs ist, dass er nicht „betriebsblind“ ist: Er bringt einen neutralen Blick von außen mit, den ein interner Mitarbeiter nach einigen Jahren im Unternehmen nicht mehr so einfach entwickeln kann. Da der externe CISO außerdem erst einmal die Business-Seite Ihres Unternehmens verstehen muss, um die relevanten Gefahren ausmachen zu können, betrachtet er die Sicherheitsthemen in Ihrem Unternehmen auch nicht primär aus der IT-technischen Richtung, die ja oft einseitig ist, sondern er liefert ganzheitliche Lösungsansätze für das Informationssicherheitsmanagement Ihres Unternehmens. Dieses Vorgehen kann alle Mitarbeiter sensibilisieren, was zu einem Kulturwandel innerhalb des Unternehmens führt. Diese Entwicklung beeinflusst die Informationssicherheit viel nachhaltiger als technische Maßnahmen allein es vermögen. Denn wenn sich im Unternehmen bei allen Mitarbeitern die Einstellung entwickelt, Unternehmenswerte unabhängig von Situationen, technischen Komponenten oder der äußeren Gefahrenlage zu schützen, baut sich ein sehr nachhaltiger Schutz auf.
Ein externer CISO ist darüber hinaus ein geeigneter Ansprechpartner für externe Überprüfungen, denen sich ein Unternehmen stellen muss. Diese können beispielsweise im Rahmen einer Wirtschaftsprüfung stattfinden. Ebenso ist es möglich, dass andere Firmen vor einer Zusammenarbeit mit Ihrem Unternehmen prüfen, ob Sie bestimmte Richtlinien und Vorgaben erfüllen, die das andere Unternehmen für eine Kooperation zwingend vorschreibt.
Der externe CISO kann in diesen Fällen nach Abstimmung mit der Unternehmensführung die Kommunikation mit den prüfenden Institutionen übernehmen und so Unternehmensführung wie auch Bereichsleiter von der damit verbundenen Mehrarbeit sinnvoll entlasten.
Und noch ein Vorteil des externen CISOs: er kann so lange und in genau dem Umfang für Sie tätig werden, wie es Ihr Unternehmen aktuell braucht. Die oben genannten Situationen sind zum Beispiel zeitlich begrenzt, ebenso wie bestimmte Projekte, für die aus verschiedenen Gründen zeitweise Unterstützung durch einen CISO oder Sicherheitsberater nötig ist. So ist es vorstellbar, dass der CISO in der „heißen Phase“ rund um ein aktuelles Sicherheitsthema einige Wochen lang Vollzeit zur Verfügung steht, anschließend vielleicht für einen oder zwei Tage wöchentlich. Auch jeder andere Umfang der Zusammenarbeit ist denkbar – sprechen Sie mich an, wir werden gemeinsam eine geeignete Lösung finden.

Wie geht ein externer CISO vor?

Ein Informationssicherheitsbeauftragter – oder CISO – wird zuerst erfassen, welchen Risiken ein Unternehmen konkret ausgesetzt ist. Auf dieser Basis wird er ein funktionierendes Informations-Sicherheits-Management-System (ISMS) erarbeiten.
Ein individuell auf das Unternehmen abgestimmtes ISMS, welches sich an der ISO 2700x oder am BSI-Grundschutz orientiert, ist für die meisten Firmen ein geeignetes Werkzeug, um die Risiken in der Informationstechnologie zu steuern. Technische Tools vereinfachen dabei die Arbeit, sind aber kein Ersatz für Erfahrung:
Für den Aufbau eines wirksamen ISMS benötigt man vor allem qualifiziertes Personal.
Desweiteren ist es essentiell, die Mitarbeiter des Top-Managements in ihrer Funktion als Führungskräfte vom Nutzen eines ISMS zu überzeugen und gemeinsame Ziele zu erarbeiten.
Die Haupteinsatzbereiche des externen CISO sind:
Analyse von Risiken und Schutzbedarf
Daraus resultierend das Erstellen von Sicherheitskonzepten
Erstellen, Umsetzen und Konsolidieren eines individuellen ISMS und entsprechender Richtlinien für Ihr Unternehmen
Reporting zu den Sicherheitsthemen

Welche Schritte dies in meiner Arbeit konkret umfasst, lesen Sie unter dem Menüpunkt „Leistungsspektrum“.