Was macht ein IT-Sicherheitsbeauftragter (ISO/CISO)?

Ob Malware, DDoS-Angriffe oder Phishing – 9 von 10 Unternehmen wurden einer Bitkom-Studie zufolge 2020/2021 Opfer von Cyber-Kriminalität. Jedes 10. Unternehmen sieht sogar seine Existenz von Angreifenden aus dem Netz bedroht. Der Trend zum Mobilen Arbeiten z.B. aus dem Home-Office ist für viele Unternehmen eine zusätzliche Schwachstelle in der IT-Sicherheit. Als IT-Sicherheitsbeauftragte:r (ITSiBe) oder (Chief) Information Security Officer ((C)ISO) verhinderst Du, dass Angreifer die IT-Systeme von Unternehmen lahmlegen oder Daten in die Hände von Hacker:innen gelangen. Als Sicherheitsstrateg:in berätst Du die Geschäftsführung in allen Sicherheitsfragen und Compliance-Vorgaben. Welche Aufgaben neben der Prävention und dem Risikomanagement noch auf Dich zukommen und welche Zertifizierungen im Dienste der Sicherheit wichtig sind, erfährst Du hier.

CIO, CSO, CISO oder ISO, ITSiBe und DSB – in den letzten Jahren haben sich in KMU und großen Konzernen eine ganze Reihe von Rollenbezeichnungen mit zahlreichen Abkürzungen rund um die IT-Sicherheit etabliert. Die Verantwortungsbereiche der einzelnen Rollen überschneiden sich und nicht selten ist der Chief Information Officer (CIO) gleichzeitig auch er Chief IT Security Officer (CISO). Der kann übrigens auch nur als ISO ohne Chief daher kommen oder mit der deutschen Bezeichnung als IT-Sicherheitsbeauftragte:r (ITSiBe). Manchmal gibt es auch die Kombination von (C )ISO und der Rolle der Datenschutzbeauftrage:n (DSB). Damit Du zum Start einen guten Überblick hast, kommt hier für Dich eine kleine Unterscheidungshilfe:

Der Chief Information Officer leitet die IT-Abteilung und ist für den störungsfreien Betrieb der gesamten IT-Infrastruktur des Unternehmens verantwortlich.
Im Aufgabenbereich von Datenschutzbeauftragten (DSB) steht der Schutz aller personenbezogenen Daten in einem Unternehmen. Die Datenschutz-Expert:innen haben vor allem die gesetzlichen Vorgaben der Datenschutz-Grundverordnung (DSGVO) im Blick und sorgen dafür, dass personenbezogene Daten nach §3 Abs. 1 BDSG z.B. IP-und E-Mail-Adresse geschützt sind. Überschneidungen von Datenschutz und Datensicherheit lässt sich nicht vermeiden. In kleineren Unternehmen kann der ITSiBe auch für den Datenschutz zuständig sein, wenn keine Interessenkonflikte bestehen.
Im Fokus von (C)ISOs oder IT-Sicherheitsbeauftragten steht die Informationssicherheit. Sie schützen die gesamten IT-Systeme, also den gesamten Cyberraum. Die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität schließen auch die personenbezogenen Daten mit ein. CISOs berichten direkt an die Geschäftsführung und beraten diese, wie ein angemessenes Sicherheitsniveau im Unternehmen umgesetzt und aufrechterhalten werden kann. IT-Sicherheitsbeauftragte schulen aber auch Mitarbeitenden und sensibilisieren für einen sicheren Umgang mit Daten und Informationen.
Der Verantwortungsbereich des Chief Security Officers geht über die Kommunikations-und Informationssicherheit also den Bereich des CISO hinaus. CSO sind zuständig für die Sicherheit der gesamten technischen und physischen Infrastruktur des Unternehmens.

In großen Unternehmen stehst Du als ITSiBe im Austausch mit Deinem Team, das sich aus IT-Security Analysten, IT-Forsenikerinnen, Pentestern, Security-Beraterinnen und Ethical Hackern zusammensetzt. Hier kann die IT-Security auch in weitere Spezial-Abteilungen aufgegliedert sein, z.B. Incident Response, IT-Forensik oder Risk Management. Dann arbeitest mit dazwischen geschalteten IT-Security Manager:innen oder IT-Security Directors zusammen, die die Aufgaben an die jeweiligen Fachabteilungen weitergeben. Als CISO verwaltest Du die einzelnen Teams, hast die verfügbaren Ressourcen im Blick und beauftragst mit Deinem Budget externe Beratungen und Pentests.

Als IT-Sicherheitsbeauftragte:r baust Du Brücken zwischen Management, Fachabteilungen, Kund:innen und allen weiteren Stakeholdern. Du erstellst und pflegst eine holistische Sicherheitsstrategie für die IT des Unternehmens und hast dabei sämtliche Aspekte von Datenschutz und -sicherheit, Risk und Compliance, Governance und auch die Schwachstelle Mensch im Blick. Du definierst Sicherheitsrichtlinien- und prozesse die einerseits gesetzlichen Vorgaben wie die DSGVO oder das IT-Sicherheitsgesetz (IT-SiG) und weitere relevante Regularien (z.B. VAIT, MaRisk) einhalten und gleichzeitig die Abläufe und Anforderungen des Kerngeschäfts nicht beeinträchtigen. Du implementierst ein Managementsystem zur Informationssicherheit (ISMS) nach den Anforderungen der internationalen Norm ISO/IEC 27001, mit dem Du überwachst, ob Deine erarbeiteten Schutzziele eingehalten werden.

Cyber Risk Management

Deine Rolle ist proaktiv: Du wehrst nicht nur Cyber-Attacken ab. Als ITSiBe antizipierst Du komplexe Angriffsszenarien. Um Angriffe im Vorfeld unschädlich zu machen, bist Du als IT-Risiko-Manager:in unterwegs und führst ein IT Risk Assessment durch. Beim Threat Modeling, der systematischen Risikoanalyse, erkennst Du durch strukturierte und methodische Verfahren, an welchen Schwachstellen Bedrohungen möglich sind. In Deiner Business Impact Analyse schätzt Du im Anschluss ein, wie groß die Wahrscheinlichkeit ist, dass der Risikofall eintritt. Du kalkulierst aber auch die Art und die Höhe des möglichen Schadens. Diese Risikobewertung hilft Dir bei der Priorisierung und dem effektivsten Einsatz von Ressourcen und Budget. Bei Tech-Giganten wie Google landen täglich hunderte von Schwachstellen auf dem Schreibtisch des CISOs, der darüber entscheidet, welche davon sofort gefixt wird und welche auf der Prioritätenliste weiter nach hinten rutscht.

Als IT-Sicherheitsberater ist es Deine Aufgabe, wertvolle Daten Deines Unternehmens und seiner Kunden zu schützen. Als unternehmensinterner Mitarbeiter oder externer Dienstleister stellst Du Dich digitalen Gefahren wie Viren, Cybervandalismus, also dem Löschen oder Verändern von Dateien, oder Wirtschaftsspionage. Gerade in Zeiten, in denen Unternehmen mobile Endgeräte und Cloud-Lösungen intensiv nutzen, wird das Schützen großer Datenmengen, die jederzeit abgerufen werden können und müssen, immer komplexer und kritischer.

Sicherheitsarchitektur

Nachdem Du potenzielle Risiken analysiert hast, optimierst Du die Sicherheitsarchitektur. Um Deine Schutzmaßnahmen zu prüfen, arbeitest Du eng mit Penetrationstester:innen bzw. Ethical Hackern zusammen. Die durchgeführten Angriffe der White Hat Hacker zeigen Dir, wo z.B. die Firewall Schwachstellen hat und Du aktiv werden musst. Ständiges Monitoring, Threat Detection, Vulnerability Management und das strategische Sammeln von Informationen über potenzielle Bedrohungen (Cyber Threat Intelligence) bilden die Grundpfeiler Deiner Sicherheitsarchitektur und stärken die Widerstandsfähigkeit gegen Cyberangriffe.

IT Compliance und Governance

Je nach Unternehmen und Branche fällt die IT Compliance unterschiedlich aus. Zu den immer wiederkehrenden Tasks gehört das interne Audit des Information Security Management Systems nach ISO/IEC 27001. Die international gültige Richtlinie beschreibt die Anforderungen wie ISMS eingerichtet umgesetzt und fortlaufend verbessert werden müssen.

Wesentliche Grundlagen für Dich als ITSiBe:

ist die ganze ISO 27000-Reihe. Die besteht aus einer Sammlung von über 20 Normen für die Informationssicherheit und
der IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik). In dem sind systematische Vorgaben zur Identifikation und Umsetzung von Sicherheitsmaßnahmen formuliert.

Die Ergebnisse Deiner Audits berichtest Du regelmäßig an die Geschäftsführung.

In stark regulierten Branchen wie dem Finanz- und Versicherungssektor hast Du es als Security-Entscheider:in mit sehr komplexen Compliance-Regelwerken zu tun, z.B. von der Finanzaufsichtsbehörde BaFin. Du sorgst für die Einhaltung und hast die regelmäßigen Aktualisierungen im Blick.

Identitätsmanagement

Remote Work, eine hohe Fluktuation des Personals oder der WLAN-Zugang für Gäste – als ITSiBe definierst Du, wer sich als Benutzer:in anmelden darf, welche Zugriffsrechte Personen bekommen oder welche eingeschränkt werden. Die zugewiesene digitale Identität ändert sich über den gesamten Access Lifecycle und muss gewartet, aktualisiert und überwacht werden. Für den Schutz von Informationen und Daten ist es für Dich als ISO essentiell, zu wissen, wer Zugang hat und mit welchen Rechten die Person ausgestattet ist. Mit Identity and Access Management-Systemen (IAM) hast Du die Tools und Technologien, um die Rollen von Nutzenden anzupassen, zu überwachen und Reports zu erstellen. Entsprechende Erweiterungen helfen Dir, die Security Policies durchzusetzen.

Schulung von Mitarbeitenden und Awareness-Kampagnen

Beim Schutz von IT-Systemen und sensiblen Daten ist Dir bewusst, dass die beste IT-Security-Strategie unwirksam ist, wenn die Anwendenden selbst sorglos mit ihren Daten umgehen oder ihr privates WLAN im Home-Office nicht ausreichend sichern. Cyberkriminelle wissen längst, dass oft der Mensch das schwächste Glied in der Kette ist. Deshalb fokussieren sie mit Spear Phishing und Malware die Mitarbeitenden, statt sich durch Firewalls und verschlüsselte Kanäle zu hacken. Als ITSiBe sensibilisierst Du die Mitarbeitenden für diese Art von Cyber Crime. Awareness-Kampagnen, Schulungen und Trainings sind ein essentieller Bestandteil Deiner umfassenden Sicherheitsstrategie. Mit diesen Maßnahmen schaffst Du bei allen Mitarbeitenden des Unternehmens ein Bewusstsein für Informationssicherheit. Denn neben Techniklücken nutzen Cyber-Kriminelle beim Social Engineering gezielt die Schwachstelle Mensch in der Sicherheitskette aus.

Krisenfeste Kommunikation

Als ISO brauchst Du viel Fingerspitzengefühl und bist ein Kommunikationstalent. Denn Du bist in Deinem Daily Business mit vielen unterschiedlichen Menschen im Austausch: dem Vorstand, leitenden Manager:innen, den Fachabteilungen, aber auch Kund:innen. Deine Kommunikationsfähigkeit entscheidet über den Erfolg Deiner Sicherheitsstrategie. Um Cyberattacken erfolgreich abzuwehren und Hacker:innen so wenig Angriffsfläche wie möglich zu bieten, müssen alle Mitarbeitenden im Unternehmen an einem Strang ziehen und Deine Security-Policy einhalten. Sind die Cyberkriminellen trotz Deiner Maßnahmen schneller und es kommt z.B. zum Datenleck, musst Du den Vorfall je nach Art des entstehenden Risikos beim Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Für Betreibende von kritischer Infrastruktur, Energieversorgung und Telekommunikationsdiensten besteht eine besondere Meldepflicht.

Um der Lage Herr zu werden, entwickelst Du als IT-Security Consultant eine umfassende Sicherheitsstrategie. Einerseits ist es Deine Aufgabe die IT-Systeme auf technischem Wege vor Angriffen zu schützen, andererseits das Sicherheitsbewusstsein des Unternehmens zu schärfen, indem Du beispielsweise Mitarbeiter in sicherer Kommunikation schulst. Du erstellst in Zusammenarbeit mit den Mitarbeitern eine Bedarfsanalyse, führst Tests zur Überprüfung der Sicherheit durch, implementierst IT-Security-Lösungen und reagierst sofort auf aktuelle Ereignisse, wie Hackerangriffe oder Datenverluste.

IT Sicherheit betrifft jedes Unternehmen und jede Branche, daher hast Du als IT-Sicherheitsbeauftragte:r sehr gute Aussichten. Anders als bei Datenschutzbeauftragten gibt es keine gesetzliche Pflicht für Unternehmen, einen ITSiBe zu beschäftigen. Doch es gibt Ausnahmen: Betreibende von öffentlichen Telekommunikationsnetzen verpflichtet das Telekommunikationsgesetz (TKG § 109 Abs. 4 Satz 1 ) dazu, einen IT-Sicherheitsbeauftragte:n zu benennen und ein Sicherheitskonzept zu erstellen. Damit kritische Infrastrukturen (Kritis) aufrecht erhalten bleiben, müssen Unternehmen aus der Strom- und Wasserversorgung, dem Finanz-und Ernährungssektor ebenfalls einen Sicherheitsbeauftragten beschäftigen. Arbeitest Du als ITSiBe in einer dieser Bereiche, musst Du sogar regelmäßig nachweisen, dass Du alle gesetzlichen Vorgaben zum Schutz der Systeme erfüllst. Du beschäftigst Dich also intensiv mit Regularien wie VAIT, MaGo, MaRisk oder KonTraG.

Das C im Namen verrät schon: Als CISO bist Du im C-Management unterwegs. In dieser Position hast Du bereits zwischen 7 und 10 Jahren Berufserfahrung in der IT-Security gesammelt. Vom Uni-Abschluss bis ins obere Management ist es ein weiter Weg. Und der beginnt für IT-Talente wie Dich z.B. als IT-Security Analyst oder IT-Security Engineer. Unternehmen setzen für Positionen im C-Level einen Master-Abschluss voraus. Mit einem Master in Informatik oder Wirtschaftsinformatik hast Du also eine gute Basis. Deine Skills, die Du on the job lernst, solltest Du unbedingt mit Zertifikaten belegen. Zu den Basics gehört der Cyber Security Practitioner (CSP) und der CompTIA Security+. Mit weiterführenden Zertifikaten wie dem Certified Information Security Manager (CISM), dem Certified Information Systems Security Professional (CISSP) und steigender Erfahrung übernimmst Du erste Projektleitungen. Um als ISO bei Deinem Arbeitgeber ein ISMS einzuführen, ist ein Zertifikatslehrgang zum IT-Sicherheitsbeauftragten (ITSiBe)/CISO aber keine zwingende Voraussetzung. Neben Erfahrung im Pentesting, Threat Modelling kennst Du Dich mit Betriebssystemen und Netzwerktechnik aus. Aber keine Sorge, dieses breite Spektrum an Skills eignest Du Dir in den ersten Jahren im Job an. Bis Du im oberen Management ankommst, dauert es im Schnitt 7 Jahre. Wirst Du als CISO angeheuert, um das Sicherheitsniveau Deines neuen Arbeitgebers auf das nächste Level zu bringen, solltest Du auch Erfahrung im Change Management mitbringen. Als CISO leistest Du echte Überzeugungsarbeit im Dienste der Sicherheit.

Last but not least: Du bist krisenfest, denn IT-Security ist Krisenmanagement. Du bildest Dich ständig weiter, verfolgst Trends und hast die Common Vulnerabilities and Exposures (CVE) immer im Blick.

Als CISO hast Du Dir den bestbezahlten Bereich der IT-Welt ausgesucht. In der IT-Security werden die höchsten Gehälter gezahlt, es ist aber auch der Bereich mit der größten Verantwortung. Wie hoch Dein Gehalt ausfällt, hängt davon ab, in welcher Branche Du arbeitest. Beim Einstieg in das Berufsfeld IT-Security kannst Du mit einem durchschnittlichen Gehalt von 51.170 Euro rechnen. neben der Branche spielt auch die Größe des Unternehmens eine Rolle bei Deinen Gehaltsaussichten. Bei Startups verdienst Du meist weniger als bei einem großen Konzern. Als Junior IT-Security-Analyst legst Du im Durchschnitt mit 50.900 Euro los. Wenn Du es noch genauer wissen willst, dann wirf einfach unseren Gehaltsrechner an und fütter’ ihn mit Deinen genauen Daten. Wenn Du die Karriere-Sicherheitsleiter weiter nach oben kletterst, erwartet Dich als ISO mit einigen Jahren Berufserfahrung ein Jahresgehalt von über 70.000 Euro.

tl;dr:

Als IT-Sicherheitsbeauftragte:r antizipiert Deine Security-Strategie Cyberangriffe: Du koordinierst sämtliche Tasks vom IT Risk Assessment, dem Identitäts-und Zugangsmanagement bis zum internen Audit des ISMS.
Du berätst die Geschäftsführung in allen Sicherheitsfragen und Compliance-Vorgaben und bist ein Kommunikationsgenie.
Das Berufsfeld IT-Security ist sehr anspruchsvoll – entsprechend hoch sind die Anforderungen. Dafür kannst Du mit einigen Jahren Berufserfahrung aber auch auch überdurchschnittlich viel verdienen. Beim Einstieg erwarten Dich durchschnittlich 51.170 Euro.

Was macht ein IT-Sicherheitsbeauftragter (ISO/CISO)?

Ein Job für Sicherheitsstrateg:innen mit einer gesunden Portion Paranoia

Das 1x1 der IT-Security in Unternehmen