CSO und CISO in der Fertigungsindustrie

Andrea Gillhuber,

Schattenkrieger der Industrie 4.0

In der neuen SCOPE-Artikelserie „Smart Leadership“ werden regelmäßig Technologien und Trendentwicklungen der Industrie 4.0 unter den Gesichtspunkten Führung und Personalmanagement beleuchtet. In dieser Ausgabe: CSO und CISO in der Fertigungsindustrie. Von Jessica Volkwein

Neue Serie: Smart Leadership auf scope-online.de © Shutterstock / wavebreakmedia

Wer heute seine Wertschöpfungsnetze vor Industriespionage und Sabotage schützen möchte, muss sich mit einer schier unüberschaubaren Zahl und Art von Angreifern und Waffen auseinandersetzen: von Pishing-Mails, USB-Sticks, IoT-Devices, Smartphones bis hin zum Lauschangriff in der Kantine – die Schwachstelle für eine fatale Attacke auf Intellectual Property (IP) oder kritische Infrastrukturen des Produktionsprozesses kann sich überall auftun.

Aufgrund der zahlreichen, vielfältigen und oft leicht zu übersehenden Schwachstellen ist es entsprechend schwierig, die kritischsten Angriffsziele wirksam zu sichern. Security-Technologien können weiterhelfen; zusätzlich bauen Unternehmen aber in der Regel dann einen effektiven Schutz beziehungsweise Resilienz gegenüber neuen Angreifern auf, wenn im Führungsteam ein/eine hervorragend qualifizierte/r Sicherheitsbeauftragte/r diese Aufgabe steuert.

Abschirmung gegen das Ungewisse

Nur: welche Führungskraft behält die Vielzahl der heterogenen Security-Themen im Blick und steuert zugleich souverän interdisziplinäre Teams, um das Unternehmen permanent gegen die Bedrohung aus dem Ungewissen abzuschirmen? Diese Verantwortung liegt heute in erster Linie beim Chief Security Officer (CSO) und/oder beim Chief Information Security Officer (CISO). Je nach Organisationsform und Branche variiert deren Aufgabenspektrum. Wer eine passende Stellenbeschreibung für sein Unternehmen entwickeln möchte, sollte die generellen Unterschiede zwischen einem CSO und einem CISO kennen und diese seinen Zielen beziehungsweise Aufgaben zuordnen:

Anzeige

Chief Security Officer …

  • sind ganzheitlich für die Sicherheit der Kommunikations- und aller anderen Informationssysteme verantwortlich, insbesondere für Schnittstellen zu externen Systemen (z.B. Internet). Dazu zählen auch die physische Netzwerk- und Produktsicherheit sowie die Sicherheit von Mitarbeitern, Vermögenswerten und Einrichtungen;
  • entwickeln dazu sichere Geschäfts- und Kommunikationspraktiken und beschaffen entsprechende Produkte und Technologien;
  • verantworten die Mitarbeiterqualifizierung in Sachen Security Awareness sowie die Einhaltung von Sicherheitsrichtlinien;
  • haben eine berufliche Vita mit Schwerpunkt Jura, BWL oder einer militärischen Laufbahn.

Chief Information Security Officer …

  • verantworten die allgemeine IT-Sicherheit, um auf Basis der Identifizierung, der Entwicklung, der Einführung und der kontinuierlichen Weiterentwicklung sicherheitsrelevanter Prozesse die operationellen Risiken zu minimieren;
  • schützen die IP bzw. alle wertvollen Informationen im Unternehmen;
  • entwickeln und überwachen die Umsetzung der Informationssicherheitsstrategie des Unternehmens in allen Funktionsbereichen. Dies umfasst unter anderem Prävention, Erkennung, Reaktion auf Vorfälle, Risiko- und Schwachstellenmanagement und Sicherheitsarchitekturen. Hinzu kommen Compliance-Themen, in Deutschland zum Beispieldie Umsetzung der EU-DSGVO und der BSI KRITIS-Verordnung;
  • verfügen meist über einen IT- oder technischen Hintergrund: 59 Prozentder CISO in den Fortune 100 Unternehmen starteten ihre Karriere im Bereich IT/IT-Security, 19 Prozent beim Militär oder in Regierungsinstitutionen [1].

Abwesenheit von Sicherheit managen

Der gemeinsame Nenner beider Positionen: beide berichten meist an den CEO, CIO oder CTO, stellen aber mehr als eine weitere Funktionsebene dar. Es liegt in ihrer Verantwortung, sowohl Sicherheit als auch die Abwesenheit von Sicherheit zu managen. Das erfordert zum einen, wie ein Risiko- und Krisenmanager in Szenarien denken zu können. Zum anderen gilt es, im Unternehmen ein Sicherheitsbewusstsein zu schaffen, das zum festen Bestandteil der Unternehmenskultur- und Mission wird. Ein reaktives Security-Management reicht dazu nicht aus. Im Gegenteil, der unternehmerische Mehrwert der Arbeit von CSO und CISO muss deutlich werden, etwa bei der präventiven Eliminierung von Sicherheitsschwachstellen zwischen den Abteilungen.

Hierfür ist eine gute Mischung technischer und kommunikativer Kompetenz von Vorteil: schließlich muss ein CSO/CISO nicht nur fachlich versiert und klar in seinen Aussagen mit allen Mitarbeitern interagieren, sondern auch ein vertrauenswürdiger Berater für die Vorstandsebene sein. Das erfordert in erster Linie die Bereitschaft, sich intensiv mit den Herausforderungen zu befassen, die mit der Informationssicherheit einhergehen – und die Fähigkeit, Lösungswege zu entwickeln und als Führungskraft verständlich und partizipativ vermitteln zu können.

Quellen & weiterführende Webseiten zum Thema:

[1] Infografik “The anatomy of a CISO”, Digital Guardian 2016.

Die Autorin

Jessica Volkwein, Geschäftsführerin der Executive-Search-Beratung LAB & Company © LAB & Company

Jessica Volkwein, Geschäftsführerin der Executive-Search-Beratung LAB & Company, beleuchtet in der Serie „Smart Leadership“ regelmäßig Technologien und Trendentwicklungen der Industrie 4.0 unter den Gesichtspunkten Führung und Personalmanagement.

Anzeige

Das könnte Sie auch interessieren

Anzeige

Digital-Gipfel in Dortmund

Festo unterstützt GAIA-X

Beim Digital-Gipfel am 28. und 29. Oktober stellte das Bundeswirtschaftsministerium das Projekt GAIA-X zum Aufbau einer vernetzten, offenen Dateninfrastruktur als „Wiege eines offenen, digitalen KI-Ökosystems“ vor. Festo unterstützt den Aufbau einer...

mehr...
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige

Newsletter bestellen

Immer auf dem Laufenden mit dem SCOPE Newsletter

Aktuelle Unternehmensnachrichten, Produktnews und Innovationen kostenfrei in Ihrer Mailbox.

AGB und Datenschutz gelesen und bestätigt.
Zur Startseite