Ein CISO, oder Chief Information Security Officer, ist eine leitende Führungskraft, die in einer Organisation für die Informationssicherheit verantwortlich ist.
Zu den Aufgaben eines CISO gehören die Entwicklung und Umsetzung von Cybersicherheitsstrategien, die Bewertung von Risiken, die Entwicklung und Umsetzung von Sicherheitsmaßnahmen, die Überwachung der Sicherheitslage und die Schulung von Mitarbeitern in Bezug auf Cybersicherheit.
In diesem Beitrag
- Was bedeuten die Begriffe CISO und ISB?
- Gibt es Unterschiede zwischen CISO und ISB?
- Ist ein ISB vorgeschrieben?
- Welche Unternehmen brauchen einen ISB?
- Welche Aufgaben hat ein CISO / ISB?
- Wer kann die ISB-Rolle übernehmen?
- Gehalt und Bedeutung von Informationssicherheits-Experten
- Die Rolle des CISO und ISB outsourcen – so helfen externe Dienstleister
Wer ihn braucht und warum sich das Outsourcen lohnt
Informationssicherheit ist für viele Unternehmen ein Top-Thema im Wettbewerb. Wer zum Beispiel Teil einer komplexen Lieferkette sein will, muss in den meisten Branchen über ein zertifiziertes Infor-mationssicherheits-Managementsystem (ISMS) verfügen. Für das Audit gilt: Ohne offiziell bestellten ISB wird kein Zertifikat erteilt.
Weltweit fehlen rund 3 Millionen Cyber-Security-Fachkräfte. Und das Magazin IT-Sicherheit Online ernannteden Fachkräftemangel in der Informationssicherheit sogar zu einem der top vier Trends, auf den Unternehmen sich einstellen müssen. CISO und ISB sind also gefragte Leute mit großartigen Chancen auf dem Arbeitsmarkt.
Überraschend ist das nicht – vereinen Berufe in der Informationssicherheit gleich mehrere Anforderungen, die rar sind auf dem Arbeitsmarkt: Neben fundierten IT-Kenntnissen müssen Bewerber sich mit gängigen Normen und Gesetzen der Informationssicherheit auskennen. Darüber hinaus erfordern die meisten Rollen Kommunikations- und Verhandlungsgeschick. Denn die Umsetzung von Informationssicherheitsprozessen klappt nur, wenn alle Abteilungen kooperieren.
Das Wichtigste in Kürze
- CISO steht für Chief Information Security Officer und ISB bedeutet Informationssicherheitsbeauftragter.
- Beide sind Experten im Bereich der Informationssicherheit und setzen Maßnahmen im Unternehmen um.
- Informationssicherheitsexperten sind auf dem Arbeitsmarkt heiß begehrt.
- Für einen Job in der Informationssicherheit ist kein bestimmtes Studium erforderlich: Informatiker und BWLer sind gleichermaßen geeignet.
- Entscheidend ist vielmehr die bisherige Arbeitserfahrung und Kenntnisse zur ISO 27001 und Informationssicherheits-Managementsystemen.
- Mit Jahresgehältern nördlich der 70.000-100.000 EUR sind beide Jobs gut bezahlt, was mit der hohen Verantwortung gegenüber dem Unternehmen zusammenhängt.
- Viele Unternehmen entscheiden sich dafür, die Rolle des ISB oder CISO auszulagern und beauftragen externe Dienstleister.
Was bedeuten die Begriffe CISO und ISB?
Der Chief Information Security Officer (CISO) und der Informationssicherheitsbeauftragte (ISB) kümmert sich im Unternehmen um den Schutz von Informationen. Dabei stehen sie regelmäßig vor einer Herausforderung: Sie müssen das bestmögliche Maß an Informationssicherheit (InfoSec) gewährleisten, dürfen dabei aber einen reibungslosen Geschäftsablauf nicht negativ beeinflussen.
Beispielweise wäre es aus Sicht der Informationssicherheit definitiv sinnvoll, nur Arbeitsplätze innerhalb eines Bürogebäudes einzurichten und die Verwendung von eigenen Mobilgeräten (also privaten Smartphones) für die Arbeit zu verbieten. Allerdings sind Homeoffice und „Bring your own device“ (BYOD) längst in der Arbeitsrealität angekommen. Also müssen CISO und ISB Kompromisse finden und InfoSec-Maßnahmen ergreifen, die sich nach dem individuellen Risikoappetit des Unternehmens ausrichten.
KEY FACT:
- Der Chief Information Security Officer (CISO) und der Informationssicherheitsbeauftragte (ISB) haben die Aufgabe, für das bestmögliche Maß an Informationssicherheit im Unternehmen zu sorgen
Gibt es Unterschiede zwischen einem CISO und Informationssicherheitsbeauftragtem?
CISO und Informationssicherheitsbeauftragte (ISB) sind normalerweise direkt dem Topmanagement unterstellt, arbeiten aber besonders eng mit der IT-Abteilung sowie den Compliance- und Legal-Teams zusammen. Der CISO hat dabei eher eine strategische, übergeordnete Rolle und muss das gesamte Unternehmen im Blick behalten. Der Informationssicherheitsbeauftragte kümmert sich eher um die Umsetzung von Maßnahmen in den Abteilungen, agiert beispielweise als Projektmanager für die Einführung eines Informationssicherheits-Managementsystems.
Je nach Unternehmen sind die Rollen jedoch unterschiedlich definiert. Viele haben nur entweder einen CISO oder ISB – dann sind die Berufsbezeichnungen als synonym anzusehen.
KEY FACT:
- CISO: Chief Information Security Officer, arbeitet strategisch und hat eine übergeordnete Rolle
- ISB: Informationssicherheitsbeauftragter kümmert sich um die Umsetzung von Maßnahmen
- Gibt es nur CISO oder ISB im Unternehmen, sind die Bezeichnungen synonym
Ist ein CISO oder ISB vorgeschrieben?
Für Unternehmen und Organisationen gibt es keine allgemeine rechtliche Verpflichtung zum Aufbau eines Informationssicherheits-Managementsystems. Kein Gesetz schreibt dies vor. Daher ist auch die Rolle des CISO sowie des Informationssicherheitsbeauftragten kein Muss.
KEY FACT:
- Es gibt keine gesetzliche Regelung und damit keine rechtliche Pflicht – weder zur Einführung eines ISMS noch zur Bestellung eines ISB.
AUSNAHMEN:
- Ein ISMS mit Informationssicherheitsbeauftragtem ist in Deutschland etwa für Unternehmen vorgeschrieben, die unter das IT-Sicherheitsgesetz fallen. Es gilt für Betreiber sogenannter kritischer Infrastrukturen (KRITIS) – dazu zählen unter anderem Telekommunikationsanbieter, Wasserwerke und Energieversorger. Seit 2021 wurde die Liste der KRITIS-Unternehmen deutlich ausgeweitet.
Welche Unternehmen brauchen einen ISB?
Unternehmen, die mit Geschäftspartnern sensible Informationen austauschen, wollen sichergehen, dass diese die Informationen auch schützen. Dies betrifft in besonderem Maße digital stark vernetzte Unternehmen. Der Nachweis lässt sich durch ein Zertifikat erbringen. Das Vorlegen eines Zertifikats ist für jedes Unternehmen ein Wettbewerbsvorteil.
Internationaler Standard für die Zertifizierung ist die ISO 27001. Ein nach diesem Standard auditiertes ISMS sollte einen ISB haben, um die Zertifizierung erteilt zu bekommen. An einer Zertifizierung nach ISO 27001 oder daraus abgeleiteten Industriestandards führt in vielen Branchen kein Weg mehr vorbei. Beispiel Automotive: Unternehmen in diesem Segment sollten ein ISMS mit ISB nachweisen.
KEY FACTS:
- Ein zertifiziertes ISMS nach ISO 27001 dient Unternehmen als Nachweis der Informationssicherheit. Voraussetzung für eine erfolgreiche Auditierung ist der Informationssicherheitsbeauftragte (ISB).
- Ein zertifiziertes ISMS ist für Unternehmen generell ein Wettbewerbsvorteil und daher zu empfehlen.
- In bestimmten Branchen sind die Auditierung und der ISB Voraussetzung für die Geschäftstätigkeit zum Beispiel in der Automobilindustrie. Hier gilt der Branchenstandard TISAX® (Trusted Information Security Assessment Exchange).
Welche Aufgaben hat ein CISO / Informationssicherheitsbeauftragter?
Der Aufgabenbereich eines CISO ist nicht gesetzlich vorgeschrieben und hängt sehr vom jeweiligen Unternehmen und der einzuhaltenden Regeln ab. Eine Ausnahme bieten hier z. B. Spezialfälle im öffentlichen Sektor.
Zu seinen Aufgaben gehören:
- Schutz von Unternehmenswerten vor Angriffen und Datenverlusten (in Zusammenarbeit mit dem Datenschutzbeauftragen und der IT)
- Zertifizierungen nach ISO 27001/27002 und/oder TISAX®
- Einführung eines Informationssicherheits-Managementsystems (ISMS)
- Auswahl geeigneter Methoden und Tools
- Risikomanagement und Beratung der Geschäftsführung
- Abteilungsübergreifende Kommunikation
Oft sind CISOs Informatiker oder Computer Scientists mit Weiterbildungen oder Spezialisierungen im Bereich Security und langjähriger Berufserfahrung. Je nach Anforderungen des Unternehmens kann die Stelle des CISO durch einen internen Mitarbeiter oder einen externen Dienstleister besetzt werden.
Sichern Sie Ihren Erfolg.
Abonnieren Sie praxisnahe Experten-Tipps!
Schließen Sie sich 3.000+ Führungskräften an, die mit unserem monatlichen Newsletter zu dem Thema Informationssicherheit auf dem Laufenden bleiben.
Wer kann die ISB-Rolle übernehmen?
Der ISB ist verantwortlich für die Umsetzung, Überwachung und operative Steuerung des ISMS. Um diese Rolle auszufüllen, benötigt der ISB entsprechende Ressourcen. Er muss weisungsunabhängig und frei von Interessenkonflikten agieren können.
Die fachlichen Anforderungen sind hoch: Der ISB muss über umfassendes technisches und organisatorisches Know-how verfügen. Er muss mit den einschlägigen internationalen und nationalen Normen (ISO 27001, TISAX, ISIS12, BSI 200-1, BSI 200-2, NIST 800-53, SOC1 und 2 etc.) bestens vertraut sein und die aktuellen rechtlichen Grundlagen aus dem Effeff kennen.
Wege in die Informationssicherheit sind zum Beispiel: Schulungen zur ISO 27001 sowie den IT-Grundschutzstandard des Bundesamtes für Sicherheit in der Informationstechnik besuchen. Oder aber Betriebswirte bilden sich im Bereich der IT-Sicherheit fort und lassen sich als Information Security Officer zertifizieren.
Für die erfolgreiche Besetzung der Rolle des Informationssicherheitsbeauftragten kommt es vor allem darauf an, dass Mitarbeiter Erfahrung in den folgenden Bereichen mitbringen:
- Implementierung der IT-Sicherheit, inkl. einem Verständnis kritischer Infrastrukturen
- Aufbau eines ISMS
- Zertifizierung des ISMS nach ISO 27001 / TISAX®
- Bearbeitung von und Umgang mit Informationssicherheitsvorfällen
- Mitarbeiterschulungen und Sensibilisierungsmaßnahmen
- Verhandlungen und Projektmanagement
KEY FACTS:
- Organisatorische Anforderungen: Der ISB übt eine unabhängige Funktion aus. Er darf gemäß ISO 27001 daher nicht zugleich Mitglied der Geschäftsführung sein und nicht Parallelverantwortung in der IT-Abteilung tragen.
- Fachliche Anforderungen: Der ISB muss über umfassendes organisatorisches und fachliches Know-how verfügen und die rechtlichen Anforderungen kennen. Relevante Nachweise sind zum Beispiel aktuelle Zertifikate wie ISMS Security Officer oder Information Security Officer.
Gehalt und Bedeutung von Informationssicherheits-Experten
InfoSec-Fachkräfte sind umkämpfte Mangelware. Die Anforderungen an die Informationssicherheit steigen stetig: Cyber-Attacken verursachten im letzten Jahr beispielsweise Schäden von 223 Milliarden Euro für die deutsche Wirtschaft. Das eigene Unternehmen vor solchen Angriffen zu schützen ist unter anderem die Aufgabe von CISO und ISB.
Und das lassen Unternehmen sich einiges kosten. Laut Erhebungen von Glassdoor liegen die Verdienstmöglichkeiten im Schnitt…
- bei rund 70.000 EUR brutto Jahresgehalt für Informationssicherheitsbeauftragte.
- bei über 100.000 EUR brutto Jahresgehalt für Chief Information Security Officer.
Das könnte Sie auch interessieren:
- Informationssicherheit und Datenschutz: Gemeinsam effizienter arbeiten
- Cyber-Attacken auf Unternehmen – Einfallstore und Gegenmaßnahmen
Die Rolle des CISO und ISB outsourcen – so helfen externe Dienstleister
Nicht jedes Unternehmen kann oder will die Informationssicherheit mit internen Ressourcen umsetzen und managen. Oder aber das interne Team ist überlastet, kommt mit dem Dokumentationsaufwand nicht hinterher, besitzt nicht die nötige Expertise für ein bestimmtes Projekt, fällt durchs Audit … Dann bietet sich ein externer Dienstleister an, der gezielt beraten kann.
Der Vorteil: Externe Services können schnell eingekauft werden und erfordern dank dem Erfahrungsschatz der Dienstleister kein langes Onboarding. Ein guter Anbieter teilt seinen Kunden einen persönlichen Ansprechpartner zu, der sich mit den aktuellen Herausforderungen des Kunden auskennt, und diese schon an anderer Stelle meistern konnte.
Auch die Kosten für einen externen Dienstleister liegen deutlich unter denen für eine Vollzeitstelle. Bei DataGuard zahlen Kunden zwischen 500 und 2.000 € pro Monat – je nach Komplexität.
KEY FACTS:
- Vorteile eines externen ISB:
- Flexibel und bedarfsgerecht abrufbares Know-how
- Umfassende Expertise und aktuelle Qualifikationen
- Kalkulierbare, genau planbare Kosten
- Hoher Return on Security Invest (ROSI)
Streben Sie eine Zertifizierung nach ISO 27001 oder TISAX® an? Unsere Experten aus dem Bereich Informationssicherheit helfen Ihnen gerne Ihre Ziele in der Informationssicherheit zu erreichen.
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das TISAX® Assessment an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.