Chief Information Security Officer: Vom Traum- zum Albtraum-Job

NIS2, TISAX, DORA, DSGVO, IT-Grundschutz nach ISO27001 – damit ist die Reihe an Governance-Pflichten noch lange nicht erschöpft. Erschöpft ist aber der CISO. Er muss rechtliche Maßnahmen umsetzen, die IT vor immer perfideren Cyberangriffen im KI-Zeitalter schützen, Budget-Vorgaben einhalten. Ein Job mit Burnout-Garantie, wenn man kein James Bond der IT-Security ist oder keinen findet.

"Die positionsspezifische Verantwortung für einen CISO steigt, rechtliche Risiken kommen hinzu", sagt Corey Nachreiner, Chief Security Officer bei Watchguard

In der Fiktion rettet James Bond stets die Welt vor dem Bösen. Man schaut sich jedes aufregende Spektakel von 007 in der festen Gewissheit an, dass am Ende alles gut wird und der berühmteste MI5-Agent seine Abenteuer mit einer Schönheit im Bett, wahlweise Rettungskapsel oder einsame Südseeinsel, krönt. Bond ist physisch, geistig und situativ ohnehin stets überlegen, und er ist ausgestattet mit den innovativsten Accessoires aus Qs Werkstatt, die ihn aus jeder noch so ausweglosen Lage befreien. James Bond, das ist auch und vor allem ein Kampf der Technologien. Man wünschte, er bliebe es in der Fiktion.

Dem ist nicht so, wie aus jedem der vielen und regelmäßig erscheinenden Reports von IT-Security-Herstellern sehr real ersichtlich ist. Es drängt sich hier ein anderes Bild auf: das der Hydra, der man einen Kopf abschlägt und zwei nachwachsen. So geht es aktuell vielen für IT-Security Verantwortlichen.

Kein Bock auf CISO - Lücke bei internen Cybersecurity-Kapazitäten wird größer

Eine der Thesen von Security-Hersteller Watchguard: "Die Rolle des CISO, Chief Information Security Officer, ist nicht erstrebenswert", sagt Corey Nachreiner, Chief Security Officer bei Watchguard. Die Last der Aufgaben ist mittlerweile nämlich erdrückend, wie er ausführt. Die typischen Probleme sind ihm zufolge weniger technischer Natur, sondern betreffen vor allem den Umgang mit menschlichen Befindlichkeiten und Governance-Themen. Immer mehr rechtliche Vorgaben sind zu berücksichtigen –  einschließlich der Anforderung, als CISO persönlich für die IT-Security-Integrität des Unternehmens einzustehen. Die positionsspezifische Verantwortung steigt, rechtliche Risiken kommen hinzu.

Das sieht auch Jörg von der Heydt, Regional Director DACH bei Bitdefender, so und zählt auf: NIS2, TISAX, DORA, die DSGVO, nicht zu vergessen der IT-Grundschutz gemäß ISO27001 und viele andere branchenspezifische Regularien. Sie sorgen freilich für ein höheres Maß an digitaler Resilienz und damit für ein geringeres unternehmerisches Risiko. Man müsse sich aber im Klaren sein, was diese einzelnen Richtlinien ausmachen und wie diese technologisch oder durch entsprechende Dienstleistungen umgesetzt werden können.

Zudem nehme laut Watchguard die Gefahr von Burnout auf Seiten der IT-Verantwortlichen zu, da die Herausforderung, abteilungsübergreifende Unterstützung zu gewinnen und den aktuellen Sicherheitsbedrohungen zu begegnen, immer größer werde. Und noch weitere Faktoren kommen hinzu: Steigender Kostendruck und Personalfluktuation. In dieser Gemengelage sinke die Bereitschaft qualifizierter Kandidaten, sich um den Posten eines CISO zu bemühen. Wer dennoch den vermeintlichen Traumjob annimmt, könnte in einem Albtraum aufwachen.

Die Folge für Unternehmen: die Lücke bei den internen Cybersecurity-Kapazitäten wird noch größer, was wiederum dazu führt, dass auf Sicherheitsrisiken erst dann reagiert wird, wenn es zu spät ist. "Eingetretene Sicherheitsverletzungen oder Compliance-Probleme drehen dann die Kostenspirale weiter nach oben und der Aufwand, der mit einem Sicherheitsvorfall einhergeht, ist nicht zu unterschätzen", beschreibt Watchguard die Konsequenzen.

Nächste Seite: SOC und virtueller CISO als Service – Warnung vor zweifelhaften Angeboten

Integrierte Plattform für Managed Security Services

Diesen Teufelskreislauf will und kann freilich kein Security-Hersteller so stehen lassen. James Bond findet immer einen Ausweg, und was für ihn Q ist, ist für den beschlagenen CISO die integrierte Plattform eines Security-Anbieters samt seiner vielen Systempartner vor Ort. "Technologieanbieter und Partner verfolgen zunehmend einen Plattformansatz, um den Aufwand zu reduzieren und den steigenden Anforderungen an Vertrauen und Verantwortlichkeit im gesamten Ökosystem gerecht zu werden", so Watchguard.

Keinen Zoo an isolierten Security-Tools, die in Silos innerhalb eines Unternehmens betrieben werden, wenig effektiv und teuer überdies, davor warnt Jörg von der Heydt, Regional Director DACH bei Bitdefender und empfiehlt konsolidierte Plattformen für IT-Sicherheit. "Sie reduzieren die zu betreibende Produktvielfalt, verbessern gleichzeitig die Bedienerfreundlichkeit und minimieren so Fehler in Konfiguration und Betrieb. Zugleich entlasten sie die Abwehr durch einen deutlich geringeren Aufwand für Training und Updates", sagt er.

Wer keinen Bond, respektive CISO, findet, "mietet" sich seinen. "Insbesondere für kleinere Unternehmen bieten sich inzwischen immer mehr Möglichkeiten, die CISO-Verantwortung an Managed Services Provider (MSP) oder Managed Security Services Provider (MSSP) auszulagern, die die entsprechenden Aufgaben professionell übernehmen", sieht Watchguard einen steigenden Trend für externe Security-Services.

Managed-SOC oder externer CISO als Dienstleistung - aber aufgepasst!

Freilich ist es so, dass die riesigen Herausforderungen, vor denen CISOs stehen, dieselben sind, die auch externe Security-Dienstleister bewältigen müssen. Sie sollen und wollen sich als "mietbare" James Bonds im Markt anbieten, können indes nicht alle Waffen selbst entwickeln. Müssen sie auch nicht: die Security-Industrie mit ihren integrierten Plattformen und MSP-fähigen Lösungen rüstet sie aus.

Bifdefender-Chef von der Heydt: "IT-Systemhäuser können diesen Bedarf nach günstiger, aber dennoch leistungsfähiger IT-Sicherheit aufgreifen: Managed-SOC-Angebote sind eine günstige und oft sehr viel kompetentere Alternative zur unternehmensinternen IT-Sicherheit - dynamisches 24/7-Monitoring- und -Reaktion auf Vorfälle inklusive".

Systemhäuser, die Kunden "juristisch UND technologisch fundiert beraten und begleiten können, verschaffen sich einen erheblichen Wettbewerbsvorteil", so Bifdefender-DACH-Chef von der Heydt. Er warnt aber auch vor "sehr fragwürdigen Angeboten".

Systemhäuser sollten sich seiner Meinung nach mit neuen Produkt- und Service-Angeboten "intensiv auseinanderzusetzen – sowie sukzessive ihr eigenes Dienstleistungsangebot optimieren und erweitern". Wer als Dienstleister seine Kunden juristisch und technologisch fundiert beraten und begleiten kann, "verschafft sich einen erheblichen Wettbewerbsvorteil", so von der Heydt. Externe Hilfe wie etwa die eines virtuellen CISO könne hier "optimal unterstützen". Allerdings nur, wenn MSSPs oder Systemhäuser bei der Auswahl eines Herstellerpartners genau hinschauen. "Denn aktuell gibt es in diesem Bereich bereits eine Reihe von sehr fragwürdigen Angeboten", warnt der Bitdefender-Chef.

Die IT-Security-Industrie selbst und ihre Distributoren tun viel, damit auch kleinere Partner Zugang zu Managed Security Services erhalten, mit denen sie wichtige Security-Aufgaben bei ihren Kunden erfüllen können, die ohnehin keinen CISO finden oder auf einen sehr ausgebrannten treffen, der immer noch dabei ist, Köpfe der Hydra abzuschlagen – ohne zu wissen, dass man die klaffende Wunde mit einer Fackel veröden muss, damit nichts nachwächst.