Karriere in der IT-Sicherheit: Der Weg zum CISO
von Tina Siering
Was sind die Aufgaben eines CISO?
Der Chief Information Security Officer, kurz CISO, nimmt eine der zentralen Positionen innerhalb einer Organisation ein. Er trägt die Gesamtverantwortung für den Bereich der Informationssicherheit. Dies beinhaltet die IT-Sicherheit, geht aber auch weit darüber hinaus: Der CISO ist für den sicheren Umgang mit Informationen und Daten im Allgemeinen zuständig. Es gibt weitere sicherheitsrelevante Positionen in Unternehmen, die sich zwar ähnlich anhören, aber einen anderen Schwerpunkt haben: So ist der CSO (Chief Security Officer) verantwortlich für die Sicherheit der technischen und physischen Infrastruktur, der CIO (Chief Information Manager) hingegen kümmert sich um die Informations- und Kommunikationstechnik innerhalb eines Unternehmens.
Der Chief Information Security Officer ist organisatorisch nicht in der IT verankert, sondern in der Regel dem CEO oder dem CIO direkt unterstellt. In seiner Funktion entwirft der CISO eine Gesamtstrategie für die Informationssicherheit innerhalb eines Unternehmens. Diese Strategie basiert auf einer individuellen Analyse aller Systeme und Prozesse. Das Ziel seiner Arbeit ist es, die eigene Organisation vollständig und bestmöglich gegenüber allen potenziellen Sicherheitsrisiken zu schützen.
In seinem Berufsalltag ist ein CISO verantwortlich für den Aufbau und die regelmäßige Kontrolle der grundlegenden Sicherheits-Architektur, den Schutz vor Cyber-Risiken, Datenverlust und Betrug, aber auch für das Identitäts- und Zugangsmanagement. In all diesen Bereichen entwickelt er Sicherheitsrichtlinien, die unternehmensweit gelten, optimiert Prozesse und organisiert Trainings, um Mitarbeiter für Sicherheitsthemen zu sensibilisieren.
Durch die Entwicklung der letzten Jahre hat die Position des CISO weiter stark an Bedeutung gewonnen. Zum einen ist dies dem enormen Anstieg von Cyberbedrohungen und der zunehmenden Abhängigkeit von digitalen Systemen geschuldet. Zum anderen hat auch die Einführung der Europäischen Datenschutzgrundverordnung (DSGVO) dafür gesorgt, dass das Thema IT-Sicherheit nun eine noch höhere Priorität haben muss. Die Aufgabe des CISO ist es, sicherzustellen, dass das Unternehmen gesetzliche Anforderungen wie die DSGVO oder das IT-Sicherheitsgesetz 2.0 umsetzt und einhält.
Welche Voraussetzungen sind für die Position des CISO erforderlich?
Wer als CISO arbeiten möchte, muss eine breite Palette an Wissen und Fertigkeiten mitbringen: Ein CISO benötigt weitreichende Kenntnisse im Bereich der IT und Verständnis für den Aufbau von Netzwerktechnik. Einige Beispiele dafür sind die Funktion eines VPN, das Routing von Informationen oder die Funktionsweise eines DNS.
Ebenso wichtig ist fundiertes Wissen über die IT Security. Dies ist für den CISO einer der zentralen Bereiche. Der CISO muss die richtigen Lösungen finden, um die Netzwerke und digitalen Systeme der eigenen Organisation effektiv vor den Gefahren durch Cyberkriminalität zu schützen – und sich dafür mit den Möglichkeiten und Funktionsweisen etablierter Schutzmaßnahmen wie Antivirus-Software, Firewalls und Endpoint Protection auskennen. Wichtig ist auch das Wissen zu den verschiedenen Arten von Cyberbedrohungen, um DDoS-Attacken, Phishing, E-Mail-Betrug oder andere Social Engineering Techniken erfolgreich abzuwehren zu können.
Der CISO sollte ebenfalls Know-how im Compliance-Bereich besitzen, um regulatorische Vorgaben einhalten zu können. Darunter fallen beispielsweise je nach Branche und Kerngeschäft die DSGVO, der IT-Grundschutz, KRITIS- oder PCI-Vorgaben. Der CISO ist die Person im Unternehmen, die für die Umsetzung sowie Einhaltung dieser Gesetzesvorgaben zuständig und schlussendlich auch verantwortlich ist.
Managementfähigkeiten sind ein weiterer Skill, den ein CISO benötigt. Der CISO analysiert und plant weitestgehend selbstständig Lösungen und Konzepte für die IT-Sicherheit im Unternehmen. Er koordiniert die Implementierung und Umsetzung von Maßnahmen in diesem Rahmen. Ohne Organisationstalent ist es schwer, den Überblick zu behalten und das Gesamtkonstrukt zu orchestrieren.
Auch der Umgang mit Menschen spielt eine Rolle für den CISO. In seiner Position ist der direkte Kontakt mit vielen Personen im Unternehmen erforderlich. Dies betrifft beispielsweise die Umsetzung von IT-Sicherheitsregeln oder auch Informationsveranstaltungen zum Thema.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Der Weg zum CISO – Ausbildung, Studium und Fortbildungen
Wie bei vielen neuen Berufsbildern im Bereich der IT gibt es auch für den CISO keinen klar definierten Ausbildungsweg. Dennoch ist es natürlich möglich, die eigene Ausbildung auf das Ziel CISO zu fokussieren. Die Basis bildet in vielen Fällen ein Studium. Der Bachelor-Abschluss in Computerwissenschaften oder einem ähnlichen Studiengang öffnet den Weg in die IT-Sicherheitsbranche. Vermehrt gibt es auch Master-Abschlüsse mit einem Fokus auf IT-Sicherheit.
Als frisch gebackener Absolvent ist es jedoch nicht direkt möglich, als CISO einzusteigen. Diese verantwortungsvolle Position erfordert breites Fachwissen und vor allem Berufserfahrung. Deshalb achten die meisten Unternehmen, die nach einem CISO suchen, besonders auf die bisherigen Stationen im Lebenslauf der Bewerber. Vorausgesetzt wird oft praktische Erfahrung zwischen sieben und zwölf Jahren, davon mindestens fünf Jahre in einer Position mit Verantwortung im Management.
Ihre Fähigkeiten und Kenntnisse im Bereich der IT Security können Bewerber über Zertifizierungen nachweisen. In unserem Blogbeitrag „Die 10 besten Cybersicherheits-Zertifizierungen der Welt“ erläutern wir, welche internationalen Zertifikate und Fortbildungen international anerkannt sind. Darüber hinaus gibt es einige deutsche beziehungsweise europäische Zertifizierungen, die für eine Karriere im Bereich der IT Security hilfreich sind. Dazu gehören in erster Linie Zertifikatslehrgänge, die den BSI IT-Grundschutz sowie ISO/IEC 27001/27002 vermitteln. ISO 27001 ist eine der Grundvoraussetzungen, um IT-Systeme nach aktuell geltenden Sicherheitsstandards zu organisieren. Wer die verantwortungsvolle Positiondes CISO bekleiden möchte, muss sicher im Umgang mit ISO 27001 sein.
Einige IT-Dienstleister bieten auch spezifische Lehrgänge und Kurse an, die bei erfolgreicher Absolvierung ein Zertifikat als CISO verleihen. Hier ist darauf zu achten, dass es sich um einen seriösen Anbieter handelt. Die Inhalte, die solche Kurse vermitteln, sind durchaus hilfreich und geben ein gutes Bild von den Aufgaben, die ein CISO hat.
Das verdient ein CISO
Die Position des Chief Information Security Officer ist mit großer Verantwortung verbunden und wird im Regelfall auch entsprechend gut vergütet. So liegt der durchschnittliche Verdienst als CISO laut den bekannten Jobbörsen bei etwa 100.000 Euro im Jahr. Die Gehaltsspanne ist jedoch sehr breit. Das individuelle Gehalt hängt primär von der Größe der Organisation ab. Größere Netzwerke sind anspruchsvoller und erfordern mehr Kompetenz.
Einstiegsgehälter in kleineren Unternehmen bewegen sich oft in einem Bereich zwischen 50.000 und 65.000 Euro. Jedoch gibt es auch viele Stellenangebote, bei denen das Jahresgehalt in einem Bereich zwischen 125.000 und 175.000 Euro liegt. Spitzengehälter bewegen sich dann sogar jenseits der 200.000 Euro pro Jahr.
Fazit zur Karriere als CISO
Der Chief Information Security Officer ist in puncto IT-Sicherheit die wichtigste Person innerhalb eines Unternehmens. Eine Position mit so großer Verantwortung setzt viel Erfahrung, Fachwissen und besondere Fähigkeiten voraus. Dementsprechend lang ist der Weg. Aber mit Fokus und einer durchdachten Karriereplanung im Bereich der IT-Sicherheit ist es möglich, gezielt auf den CISO hinzuarbeiten. Hilfreich dabei ist auf jeden Fall Eigeninitiative, um sich mit Fortbildungen die notwendigen Fachkenntnisse anzueignen und diese mit entsprechenden Zertifizierungen nachzuweisen.