Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Governance & Compliance Glossar

CISO (Chief Information Security Officer)

Führungsverantwortlicher für die gesamte Informationssicherheit einer Organisation. Der CISO verantwortet Sicherheitsstrategie, Risikomanagement, Compliance und Incident Response - und ist direkte Schnittstelle zwischen technischer IT-Sicherheit und Unternehmensführung.

CISO - der Chief Information Security Officer - ist mehr als ein technischer Experte. Er oder sie ist Risikomanager, Kommunikator und strategischer Berater in einer Person. In einer Zeit, in der Cyberangriffe zur Chefsache geworden sind und NIS2 persönliche Haftung für Geschäftsführer einführt, ist die Frage “Brauchen wir einen CISO?” für viele Unternehmen längst beantwortet.

Was ein CISO macht - und was nicht

CISO-Kernaufgaben

1. Sicherheitsstrategie:

  • Langfristige Sicherheitsstrategie entwickeln (3-5 Jahreshorizont)
  • Sicherheitsprogramm aufbauen und messen
  • Budget planen und gegenüber Vorstand/GF vertreten
  • “Was kostet uns Sicherheit vs. was kostet uns ein Angriff?”

2. Risikomanagement:

  • Sicherheitsrisiken identifizieren, bewerten, behandeln
  • Risiko-Reporting an Geschäftsführung / Aufsichtsrat
  • Risikoappetit definieren: “Welche Risiken akzeptieren wir?”
  • Business-Entscheidungen mit Sicherheitsbrille bewerten

3. Compliance & Governance:

  • NIS2, DSGVO, ISO 27001, BSI IT-Grundschutz
  • Policies und Standards schreiben und durchsetzen
  • Audit-Begleitung (intern und extern)
  • Lieferanten-/Dienstleister-Sicherheitsbewertung

4. Incident Response:

  • IR-Plan erstellen und üben
  • Im Ernstfall: Krisenkommunikation an GF und Behörden
  • “War Room” leiten bei größeren Vorfällen
  • Post-Incident: Lessons Learned, Root Cause

5. Security Awareness:

  • Kulturwandel: Sicherheit als Unternehmenskultur verankern
  • Training-Programme für Mitarbeiter und Führungskräfte
  • “Security Champion” Programme

Was CISO NICHT ist

  • Nicht der einzige der für Sicherheit zuständig ist
  • Nicht nur technischer Firewall-/Server-Admin
  • Nicht automatisch IT-Leiter (oft kombiniert, aber unterschiedliche Rollen!)
  • Nicht verantwortlich für die Sicherheit der Produkte (das: CTO/Dev)

CISO vs. IT-Leiter vs. CTO

RolleFokusSicherheitsanteil
CTOTechnologie-Stack, Produktentwicklung, InnovationIn der Produktarchitektur (Secure by Design)
IT-LeiterBetrieb der IT-Infrastruktur (Server, Netz, Endgeräte)Operativ (Patches, Backup, Firewall-Betrieb)
CISOSicherheits-PROGRAMM, Risikomanagement, GovernanceÜbergreifend: CTO, IT-Leiter, alle Fachabteilungen

Typische Konflikt-Potenziale

  • IT-Leiter will schnell patchen → CISO will Prozess
  • CTO will neue Cloud-Plattform → CISO will Risikobeurteilung zuerst
  • Vertrieb will Kundendaten schnell → CISO: DSGVO-Check nötig

Gute Lösung: CISO berichtet direkt an CEO / Aufsichtsrat - nicht an CIO/IT-Leiter (Interessenskonflikt!)

CISO-Typen - welcher passt zu welchem Unternehmen?

1. Interner CISO (Vollzeit, angestellt)

  • Ab ca. 500-1000 Mitarbeiter oder KRITIS-Unternehmen
  • Vorteile: tief im Unternehmen, kennt alle Prozesse
  • Nachteile: teuer (€120.000-200.000 Jahresgehalt), schwer zu finden
  • Gut für: Banken, Kliniken, Industrieunternehmen, Behörden

2. Teilzeit CISO (Fractional CISO)

  • Externer Experte, 1-3 Tage/Woche
  • Vorteile: günstiger, sofort verfügbar, breite Erfahrung
  • Nachteile: weniger verfügbar in Krisen
  • Kosten: €10.000-25.000/Monat
  • Gut für: KMU, Scale-ups, Unternehmen die ISO 27001 brauchen

3. Virtual CISO (vCISO)

  • Dienstleistungsmodell: Beratungsstunden on-demand
  • Vorteile: sehr flexibel, kosteneffizient
  • Nachteile: keine tiefe Einbettung ins Unternehmen
  • Kosten: €5.000-15.000/Monat
  • Gut für: Startups, KMU bis 100 Mitarbeiter

4. CISO-as-a-Service

  • Strukturiertes Programm von Sicherheitsberatungsunternehmen
  • Beinhaltet: ISMS-Aufbau, Policies, Awareness, Reports
  • Vollständiges Sicherheitsprogramm ohne Vollzeit-CISO
  • Gut für: NIS2-betroffene Unternehmen ohne interne Kapazitäten

CISO und NIS2 - Persönliche Haftung

NIS2-Richtlinie (Art. 20) - Verantwortlichkeit der Leitungsorgane: “Die Leitungsorgane […] sind für die Einhaltung der Pflichten nach dieser Richtlinie verantwortlich.”

Was das konkret bedeutet

  • Geschäftsführer/Vorstände können persönlich haftbar gemacht werden
  • Nicht der CISO - die Geschäftsführung
  • Bußgelder: bis €10 Mio. oder 2% des Weltumsatzes

Rolle des CISO in NIS2

  • CISO berät GF zu Sicherheitsrisiken (beratende Funktion)
  • CISO liefert Nachweise: Risikoanalysen, Maßnahmen, Audits
  • CISO koordiniert Meldungen ans BSI
  • GF entscheidet, CISO berät und dokumentiert

Schutz für Geschäftsführer

  • CISO-Berichte regelmäßig lesen und dokumentieren
  • Sicherheitsmaßnahmen aktiv beschließen (Vorstandsprotokoll)
  • Budget für Sicherheit bereitstellen
  • Empfehlung CISO “abgelehnt” → schriftlich dokumentieren!

Managerhaftung bei Ignorieren von CISO-Empfehlungen

  • Wenn CISO warnt, GF ignoriert → GF haftet
  • Wenn CISO nicht warnt (Fehler) → CISO haftet intern

CISO-Qualifikationen und Zertifizierungen

Technische Grundlage

  • Hintergrund: IT-Sicherheit, Informatik, Netzwerktechnik
  • Praxiserfahrung: oft 10-15 Jahre vor CISO-Rolle

Wichtige Zertifizierungen

CISSP (Certified Information Systems Security Professional):

  • ISC² - Gold-Standard für CISOs
  • 8 Domains: Security & Risk Management, Asset Security, Security Architecture, Network Security, IAM, Assessment, Security Operations, Software Development Security
  • Voraussetzung: 5 Jahre Berufserfahrung
  • Prüfung: 125-175 Fragen, CAT-Format

CISM (Certified Information Security Manager):

  • ISACA - Management-fokussiert
  • Fokus: Governance, Risikomanagement, Incident Management
  • Gut für: Manager-Perspective, weniger technisch als CISSP

CRISC (Certified in Risk and Information Systems Control):

  • ISACA - Risikomanagement-Fokus
  • Gut für: GRC-Spezialisten, Risk Officers

ISO 27001 Lead Auditor / Lead Implementer:

  • Praktische ISMS-Expertise
  • Gut für: CISO mit ISO 27001 Verantwortung

Weitere: CCSP (Cloud), GIAC GSLC (Leadership), CISA (Audit)

CISO-Reporting: Was der Vorstand sehen will

Nicht zeigen

  • “Wir haben 3.472 SIEM-Alerts gehabt”
  • Technische CVE-Listen
  • Detaillierte Firewall-Statistiken

Stattdessen zeigen

1. Risiko-Ampel:

  • Gesamtrisiko: MITTEL (war letzten Monat: HOCH)
  • Verbesserung durch: Rollout MFA abgeschlossen

2. Top 3 Risiken:

  1. Ransomware via E-Mail: HOCH → Maßnahme: E-Mail-Gateway
  2. Schwachstellen ungepatcht: MITTEL → Patch-Prozess läuft
  3. Keine 24/7-Überwachung: MITTEL → MDR-Angebot liegt vor

3. Incidents:

  • Letzten Monat: 0 schwerwiegende, 2 mittlere (beide behoben)

4. Compliance-Status:

  • NIS2: 40% umgesetzt (Ziel Q4: 80%)
  • ISO 27001: Stage 2 Audit geplant für Juni

5. Budget-Status:

  • Verbraucht: €45.000 von €120.000 (37%)
  • Nächste große Investition: MDR-Service (€40.000/Jahr)

AWARE7 Leistungen zum Thema

ISO 27001 Beratung Penetrationstest

Ausführlicher Wiki-Artikel

Incident Response

9 Min. Lesezeit

ISO 27001 - Informationssicherheitsmanagementsystem

9 Min. Lesezeit

NIS2-Richtlinie

7 Min. Lesezeit

Verwandte Begriffe

Compliance (IT-Sicherheits-Compliance) ISMS (Informationssicherheitsmanagementsystem) ISO 27001 Risikomanagement (IT-Sicherheit)
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung