vCISO - mehr IT-Sicherheit durch flexible Unterstützung | SITS
Blog

vCISO - mehr IT-Sicherheit durch flexible Unterstützung

Ein virtueller Chief Information Security Officer (vCISO) sorgt kostengünstig für sichere IT-Systeme und Compliance. Worauf es bei einem guten vCISO ankommt, verrät dieser Post.
4 Minuten
05. April 2024

vCISO - Externe Expertise für mehr IT-Sicherheit

  • Ein virtueller Chief Information Security Officer verbessert die IT-Sicherheit, bietet personelle Flexibilität und Kostensicherheit.
  • Die Aufgaben des vCISO reichen von der Entwicklung eines individuell angepassten Sicherheitskonzepts über die Implementierung eines Informationssicherheits-Managementsystems bis hin zur Überwachung des Tagesgeschäfts.
  • Gute vCISOs sind hochqualifiziert, zertifiziert, verfügen über Branchenkenntnisse und kommunikative Fähigkeiten.

Täglich werden über 2.000 Cyber-Angriffe auf Unternehmen registriert und mit zunehmender Digitalisierung steigt auch das Schadenspotenzial, das ein erfolgreicher Angriff in einem Unternehmen anrichtet. Gleichzeitig steigt das Angebot an Sicherheitslösungen, Frameworks und Methoden zur Abwehr von Angriffen, doch auch die Regulierung im Bereich der IT-Sicherheit immer komplexer. Viele große Unternehmen beschäftigen deshalb inzwischen einen Chief Information Security Officer, kurz CISO. Er ist dafür verantwortlich, dass die IT-Sicherheitsstrategie des Unternehmens kostengünstig, effektiv und rechtlich einwandfrei aufgestellt ist.

Doch was tun, wenn sich mittlere und kleine Unternehmen keinen eigenen CISO leisten können oder wollen? Dann ist ein virtueller Chief Information Security Officer (vCISO) eine gute Alternative, um Zugang zu hochqualifiziertem Sicherheitsmanagement zu erhalten und Lücken in der IT-Sicherheitsarchitektur zu vermeiden.

Was macht ein CISO?

Ein CISO ist für die Cyber-Sicherheitsstrategie, also die Zuverlässigkeit der Unternehmens-IT, verantwortlich und stellt gleichzeitig sicher, dass alle regulatorischen Anforderungen an die Computer-, Software- und Dateninfrastruktur eines Unternehmens erfüllt werden.

Meist ist der CISO dem Chief Information Officer oder dem Chief Technology Officer unterstellt. Gelegentlich berichtet er auch direkt an den Chief Executive Officer.

Die Internetplattform kununu gibt für diese Position ein durchschnittliches Jahresgehalt von rund 95.000 Euro an.

Wie arbeitet ein vCISO?

Virtuelle CISOs sind Experten, die von Unternehmen nach Bedarf eingesetzt werden können. Sie belasten also nicht das Personalbudget, sondern werden immer dann angefordert, wenn Projekte anstehen, dringendProblemlösungen gefragt sind oder Probleme im Vorfeld vermieden werden sollen.

  • In der Regel beginnt der Implementierungsprozess mit der Durchführung eines Security Audits. Hier stellt der vCISO fest, wie das jeweilige Unternehmen in den Bereichen IT-Sicherheit und Regulierung aufgestellt ist. Er prüft Sicherheitsarchitektur, Identitäts- und Zugriffsmanagement sowie die Einhaltung gesetzlicher Rahmenbedingungen.
  • Im zweiten Schritt erarbeitet der vCISO eine Empfehlung für den Aus- oder Umbau der bestehenden Sicherheitsarchitektur. Dabei stehen neben der Effizienz der Systeme auch Kostenoptimierung, Verlässlichkeit und Zukunftssicherheit im Fokus.
  • Anschließend unterstützt der vCISO bei der Umsetzung der überarbeiteten Sicherheitsmaßnahmen. Häufig unterstützen ein Information Security Management System (ISMS) oder die Anbindung an ein Security Operations Center (SOC) die evaluierten Maßnahmen.
  • In der Folge wird die Qualität des Systems in regelmäßigen Abständen neu bewertet, um die Gefährdungslage in den Bereichen Betrieb, Datenschutz, IT-Sicherheit und Cyber-Resilienz so gering wie möglich zu halten.
  • Und natürlich steht der vCISO im Problemfall jederzeit zur Verfügung, um beispielsweise akute Sicherheitslücken zu schließen oder den Verlust wertvoller Unternehmensdaten zu verhindern.
„Ein CISO sollte über aktuelle Cyber-Security-Bedrohungen und gängige Abwehrmechanismen im Bilde sein. Gesetzliche, sowie branchenspezifische Anforderungen müssen dem CISO ebenso bekannt sein, wie gängige Methoden, um diese Anforderungen effektiv und kostenschonend zu erfüllen.“

Oliver Teich (Strategic Consultant)

Zu den weiteren Aufgaben eines vCISO gehören:

  • Beratung in Fragen der Sicherheitsstrategie und bei der Auswahl von Software, Frameworks, etc.
  • Betreuung und Überwachung von Managed Service Providern (MSP)
  • Weiterentwicklung der IT-Sicherheitsstrategie
  • Erstellung von IT-Sicherheitsberichten
  • Beratung der Geschäftsführung im Bereich Cyber Security
  • Kontaktpflege zu Aufsichtsbehörden
  • Überprüfung der IT-Sicherheit von Partnern und Lieferanten
  • Regelmäßige Aktualisierung der Sicherheitsrichtlinien

Darüber hinaus ist ein vCISO ein wertvoller Sparringspartner für alle IT-Bereiche des Unternehmens. Er bringt eine externe Perspektive und Markterfahrung in die Planung von Projekten ein. Dadurch erkennt er auch Schwachstellen in bestehenden Sicherheitsarchitekturen schnell und zuverlässig.

Unabhängig davon kann ein vCISO natürlich auch als Interimslösung die Aufgaben eines festangestellten CISO übernehmen, um z.B. Elternzeiten, Krankheiten, Urlaube oder sonstige Ausfälle zu kompensieren oder als Unterstützung bei vorübergehend hohem Arbeitsaufkommen zu dienen.

Wie findet man einen guten vCISO?

Da ein virtueller CISO sowohl mit der IT-Abteilung als auch mit dem Management und teilweise mit den Mitarbeitenden eines Unternehmens spricht, muss er neben der fachlichen Qualifikation auch gute kommunikative Fähigkeiten mitbringen. Der Kandidat sollte in der Lage sein, komplexe Sachverhalte herunterzubrechen und verständlich zu erklären. Verhandlungsgeschick, Strategisches Denken und Erfahrung im Stakeholder-Management gehören ebenfalls zu den Softskills eines guten vCISO.

Zu den fachlichen Voraussetzungen für die Arbeit als vCISO gehören ein Informatikstudium (oder eine vergleichbare Ausbildung) und entsprechende Zusatzqualifikationen. Auch eine Weiterbildung wie z.B. ein MBA mit Schwerpunkt Informationssicherheit zeigt, dass ein Kandidat für die Aufgabe als vCISO gut vorbereitet ist. In jedem Fall sollte der vCISO gute Branchenkenntnisse und mehrjährige Berufserfahrung in der Leitung von IT-Sicherheitsprogrammen und -projekten nachweisen können.

Wichtige Zertifikate, die eine umfassende Qualifikation für die Arbeit als vCISO nachweisen:

  • CISSP (Certified Information Systems Security Professional): Dieses international anerkannte Zertifikat gilt als wichtigster Nachweis für Fachwissen im Bereich Informationssicherheit.
  • CISM (Certified Information Security Manager): Zeigt, dass der Kandidat die Managementaspekte der Informationssicherheit beherrscht.
  • CEH (Certified Ethical Hacker): Das CEH-Zertifikat weist nach, dass der Inhaber über umfangreiche Erfahrungen im Bereich des ethischen Hackings und der Penetrationstests verfügt.
  • ISO 27001 Lead Implementer: Bescheinigt die Fähigkeit, ein Informationssicherheits-Managementsystem nach ISO 27001 aufsetzen zu können.
  • ISO 22301 Business Continuity Managementsystem: Sicherstellung des Fortbestands des Unternehmens auch bei hohem Schaden und in Krisen- und Notfallsituationen.

Übrigens: Die Entscheidung für einen virtuellen CISO bietet die Möglichkeit, einen Partner zu wählen, der perfekt zu den aktuellen Anforderungen der eigenen Branche passt – und diesen gegebenenfalls einfach und flexibel austauschen zu können, sollten sich diese Anforderungen im Laufe der Zeit ändern.

Neben all diesen Überlegung sollte bei der Entscheidung für einen vCISO auch dessen Verfügbarkeit im Notfall geklärt werden.

„Ein vCISO muss auch in kritischen Situationen verfügbar sein. Im Ernstfall muss sichergestellt sein, dass eventuell eine Vertretung oder ein Notfall-Team einspringen kann.“ - Oliver Teich (Strategic Consultant)

Ist ein vCISO die beste Wahl für Sie?

Gerade für kleine und mittelständische Unternehmen ist die Entscheidung für einen virtuellen Chief Information Security Manager eine Chance, die Qualität der eigenen IT-Sicherheit auf ein höheres Niveau zu heben. Der externe Berater übernimmt Aufgaben, für die dem CTO oder CIO meist die Zeit fehlt und für die andere IT-Mitarbeiter oft nicht ausreichend qualifiziert sind. Einige Richtlinien fordern auch eine personelle Trennung von CTO und CISO.

So bringt ein vCISO externe Expertise und Kompetenz in das Sicherheitsmanagement des Unternehmens ein und bietet gleichzeitig personelle Flexibilität und volle Kostenkontrolle.

Cloud Platform Security
Microsoft Entra: Porträt einer vielseitigen Produktfamilie
Mehr erfahren
Identity & Access Management
Identität trifft Resilience
Mehr erfahren
NIS2
NIS2 & Penetrationstests: Technik NIS2-konform in Griff kriegen
Mehr erfahren
Identity & Access Management
Resilienz durch Identität
Mehr erfahren
Identity & Access Management
Verschlüsselung in den Griff bekommen
Mehr erfahren
Cyber Defense
Microsoft Sentinel als Azure SIEM – Vorteile & Kosten
Mehr erfahren
AI
KI-Attacken abwehren: So lassen sich Daten und Systeme schützen
Mehr erfahren
Assessment & Advisory
ISO-27001-Zertifizierung ohne Umwege
Mehr erfahren
Assessment & Advisory
Mit Managed Services gegen den Fachkräftemangel
Mehr erfahren
Security & IT Solutions
Workload Security mit SASE, so funktioniert’s
Mehr erfahren
Cloud Platform Security
DevOps-Sicherheit: Belastungstest für Kultur und Technologie
Mehr erfahren
Identity & Access Management
Biometrie – mehr Sicherheit ohne Passwort?
Mehr erfahren
Cyber Defense
Threat Intelligence – Wissen ist Macht & Sicherheit
Mehr erfahren
NIS2
NIS2 & ISO/IEC 27001:2022: Neue Controls zur Erfüllung beider Anforderungen
Mehr erfahren
Identity & Access Management
So schafft Privileged Access Management mehr Sicherheit
Mehr erfahren
Assessment & Advisory
vCISO - mehr IT-Sicherheit durch flexible Unterstützung
Mehr erfahren
Wir sind für Sie da
Einfach Formular ausfüllen und unsere Experten melden sich.

You are currently viewing a placeholder content from HubSpot. To access the actual content, click the button below. Please note that doing so will share data with third-party providers.

More Information