Security-Allrounder CISO: Ausgelagern oder Insourcing?
Blog

Security-Allrounder CISO: Auslagern oder selbst anheuern?

Egal ob Fachkräftemangel, Kostendruck oder mangelnde Expertise: Es gibt viele Gründe, die für ein Outsourcing der Aufgaben eines Chief Information Security Officers sprechen. Ransomware, DDoS-Bedrohungen, Malware, Social Engineering, manipulierte Daten und BGP-Hijacks: Das sind laut Europäischem Rat die derzeit schlimmsten Cyberbedrohungen. Bei vielen stellen sich schon bei Nennung der Begriffe die Nackenhaare hoch. Nicht so bei Chief Information Security Officers, kurz CISOs, denn die Abwehr von Trojanern und anderen Attacken gehört zu ihrem Alltag. Angesichts fortschreitendem Fachkräftemangels, hohem Kosten- und Wettbewerbsdrucks und immer neuer Sicherheitsbedrohungen fragen sich Firmen vermehrt: Sollten wir diese Aufgabe an Experten auslagern? Hierauf ist in Sachen CISO-as-a-Service zu achten.
4 Minuten
28. März 2024

30 Jahre ist es her, dass der Finanzdienstleistungsriese Citigroup (ehemals Citicorp) nach einer Reihe von Cyberangriffen durch russische Hacker ein spezielles Büro für Cybersicherheit einrichtete. 1994 gilt demnach als Geburtsjahr des Berufs Chief Information Security Officers. Heute, drei Jahrzehnte nach Auftauchen des ersten CISO, hat nahezu jedes größere Unternehmen eine Fachkraft für Cybersicherheit. Cybersecurity Ventures erklärt, dass es derzeit weltweit rund 32.000 CISOs gibt. Bei schätzungsweise 334 Millionen Unternehmen fällt aber schnell auf: Viele andere Firmen und Organisationen besetzen eine solche Stelle – auch wenn sie noch so wichtig ist – bisher nicht. Sei es aufgrund der Größe, fehlender Expertise oder Budgetbeschränkungen, oder auch weil sofort einsatzbereiter CISO-Support benötigt wird: Ein Vollzeit-CISO ist für viele Unternehmen zwar wünschenswert, aber nicht immer realisier- oder finanzierbar. Manchmal werden CISO-Aufgaben auch auf mehrere IT-Mitarbeitende verteilt, was bei unzureichendem Wissen Risiken birgt. In solchen Fällen ist ein virtueller CISO oder ein ausgelagerter CISO, Stichwort CISO-as-a-Service, eine gute Alternative.

Was macht ein CISO?

Ein Chief Information Security Officer spielt eine zentrale Rolle bei der Gewährleistung von Sicherheit und Integrität der Informationsbestände eines Unternehmens, logisch. Trotzdem lohnt es sich aufgrund der Vielzahl an Aufgaben, die Haupteinsatzfelder einmal aufzuführen.

CISOs sind:

  • Experten in Sachen Risk Management: Hierzu gehören die Identifizierung, Bewertung und Priorisierung von Cybersicherheitsrisiken und -Schwachstellen. Zudem geht es um die Entwicklung von Strategien zur Risikominderung und die Empfehlung geeigneter Sicherheitskontrollen und Gegenmaßnahmen.
  • Hüter der Informationssicherheitsrichtlinien und -verfahren: Das beinhaltet die Entwicklung, Implementierung und Durchsetzung von Informationssicherheitsrichtlinien, -standards und -verfahren im gesamten Firmengefüge. Schließlich müssen alle wichtigen Gesetze, Vorschriften und Industriestandards eingehalten werden.
  • Incident Response-Chefs: CISOs entwickeln und pflegen Pläne, wie auf Datenschutzfälle reagiert werden soll, um Sicherheitsverletzungen einzudämmen und zu entschärfen. Zudem leiten sie Incident-Response-Teams bei der Untersuchung von Sicherheitsverstößen, der Ermittlung der Ursachen und der Umsetzung von Abwehrmaßnahmen.
  • Sicherheitsarchitekten: Auch der Entwurf, die Implementierung und Pflege einer robusten Sicherheitsarchitektur und -infrastruktur zum Schutz der Systeme, Netzwerke und Daten innerhalb eines Unternehmens gehören zum CISO-Aufgabenkatalog. Er oder sie bewertet Sicherheitstechnologien und wählen Tools zur Unterstützung der Sicherheitsziele aus. So ist es in einigen Fällen ratsam, ein Information Security Management System nach ISO-Norm 27001 aufzubauen.
  • Security-Trainer: CISOs fördern Sicherheitsbewusstsein und Best Practices innerhalb der Belegschaft, bei Auftragnehmern und anderen Stakeholdern. Dazu gehört die Entwicklung von Cybersicherheitstrainings, um das Bewusstsein für Sicherheitsrisiken zu schärfen.
  • Compliance-Kontrolleure: Sie entwickeln Rahmenrichtlinien und Mechanismen für das Security Management, um wirksame Überwachung sicherzustellen. Sie führen regelmäßige Sicherheitsbewertungen, Audits und Überprüfungen durch, um die Einhaltung interner Richtlinien und externer Vorschriften zu überprüfen.
  • Third-Party-Risikomanager: CISOs bewertet die Sicherheitslage von Anbietern, Lieferanten und Drittdienstleistern, um zu gewährleisten, dass sie die Sicherheitsstandards und -anforderungen des Unternehmens erfüllen. Sie legen vertragliche Vereinbarungen und Überwachungsmechanismen fest, um Third-Party-Sicherheitsrisiken effektiv zu managen.
  • Kommunikationsspezialisten: Wwichtig ist auch die rechtzeitige und transparente Kommunikation von Sicherheitsvorfällen, Bedrohungen und Schwachstellen an Geschäftsleitung, Management und Stakeholder sowie regelmäßige Berichte über die Sicherheitslage im Unternehmen.
  • Trend-Checker und Wegbereiter: CISOs müssen immer über neue Bedrohungen, Trends und Technologien im Bereich der Cybersicherheit Bescheid wissen, um die Sicherheitsmaßnahmen anzupassen und zu verbessern. Außerdem sollten sie innovative Projekte vorantreiben, um künftigen Sicherheitsherausforderungen den Schrecken zu nehmen.

Klar, dass sich jedes Unternehmen einen derartigen Security-Allrounder in seinen Reihen wünscht. Da dies aus den genannten Gründen aber oft nicht möglich ist, lohnt es sich, externen Support anzufordern: CISO-as-a-Service.

Sechs Gründe für CISO-as-a-Service

CISO-as-a-Service punktet mit:

  1. Flexibilität: Externe CISO-Dienste sind beim Umfang und der Dauer der Dienstleistungen flexibler. Der CISO-Support lässt sich je nach Bedarf skalieren und zusätzliche Ressourcen hinzufügen oder reduzieren. Das ist besonders praktisch in Zeiten erhöhter Sicherheitsanforderungen oder bei der Durchführung spezifischer Projekte.
  2. Knowhow: Externe CISO-Dienste bieten Zugang zu einem Pool von erfahrenen Experten. Unternehmen können von fundierten Erfahrungen profitieren und haben Zugang zu spezialisierten Fähigkeiten, die ein interner CISO nicht besitzt.
  3. Kontinuität: Externe CISOs halten sich ständig über aktuelle Bedrohungen, Trends und Best Practices auf dem Laufenden. Sie können sicherstellen, dass Sicherheitsrichtlinien und entsprechende Praktiken kontinuierlich verbessert und den sich ändernden Bedrohungslandschaften angepasst werden, ohne dass interne Ressourcen abgelenkt werden müssen.
  4. Objektivität: Externe Mitarbeitende bieten idealerweise eine objektive und unabhängige Sicht auf die Sicherheitspraktiken eines Unternehmens. Sie sind nicht in interne politische Dynamiken verwickelt und können daher Entscheidungen auf Basis von Best Practices und objektiven Analysen treffen.
  5. Kosteneffizienz: Externe CISO-Dienste können kosteneffizienter sein, da Unternehmen nur für die tatsächlich erbrachten Leistungen bezahlen. Festangestellte CISOs erhalten ein festes Gehalt, Zusatzleistungen und möglicherweise Boni, unabhängig davon, ob ihre Leistung vollständig ausgeschöpft wird oder nicht.
  6. Ressourcenoptimierung: Mithilfe externer CISO-Dienste können Unternehmen interne Ressourcen für andere strategische Aufgaben und Geschäftsziele freisetzen.

Fazit CISO-as-a-Service

Externe CISO-Dienste sind eine kosteneffiziente, flexible und effektive Option, wachsende Informationssicherheitsanforderungen zu erfüllen. Das gilt vor allem dann, wenn keine Mittel oder Erfahrungen für einen festangestellten CISO zur Verfügung stehen. Sie eignen sich bei akutem Bedarf – das Onboarding neuer Mitarbeitender dauert länger als die Beauftragung eines externen Services – und als Interimslösung. Egal ob KMU oder Start-up: Kleinere Unternehmen und Firmen, die sich im Aufbau befinden, profitieren von der Expertise erfahrener CISO-Anbieter – und schützen ihre wertvollen Daten, Systeme und verlässlich.

Wenn Sie erfahren möchten, wie CISO-as-a-Service im Unternehmensalltag aussehen kann, lesen Sie unsere Success Story „CISO-as-a-Service für Steeltec Group“. Der Schweizer Stahlhersteller setzt auf CISO-as-a-Service der Swiss IT Security AG. Hierzu gehören beispielsweise die Erstellung einer Sicherheits-Roadmap, die Koordination verschiedener Abteilungen sowie die Konzeption einer Remote Access-Lösung der Geräte im Werk.

Der Cyber Chronicle Newsroom
Wir versorgen Sie mit aktuellen News, Daten und Trendthemen
Cloud Platform Security
Microsoft Entra: Porträt einer vielseitigen Produktfamilie
Mehr erfahren
Identity & Access Management
Identität trifft Resilience
Mehr erfahren
NIS2
NIS2 & Penetrationstests: Technik NIS2-konform in Griff kriegen
Mehr erfahren
Identity & Access Management
Resilienz durch Identität
Mehr erfahren
Identity & Access Management
Verschlüsselung in den Griff bekommen
Mehr erfahren
Cyber Defense
Microsoft Sentinel als Azure SIEM – Vorteile & Kosten
Mehr erfahren
AI
KI-Attacken abwehren: So lassen sich Daten und Systeme schützen
Mehr erfahren
Assessment & Advisory
ISO-27001-Zertifizierung ohne Umwege
Mehr erfahren
Assessment & Advisory
Mit Managed Services gegen den Fachkräftemangel
Mehr erfahren
Security & IT Solutions
Workload Security mit SASE, so funktioniert’s
Mehr erfahren
Cloud Platform Security
DevOps-Sicherheit: Belastungstest für Kultur und Technologie
Mehr erfahren
Identity & Access Management
Biometrie – mehr Sicherheit ohne Passwort?
Mehr erfahren
Cyber Defense
Threat Intelligence – Wissen ist Macht & Sicherheit
Mehr erfahren
NIS2
NIS2 & ISO/IEC 27001:2022: Neue Controls zur Erfüllung beider Anforderungen
Mehr erfahren
Identity & Access Management
So schafft Privileged Access Management mehr Sicherheit
Mehr erfahren
Assessment & Advisory
vCISO - mehr IT-Sicherheit durch flexible Unterstützung
Mehr erfahren
Wir sind für Sie da
Einfach Formular ausfüllen und unsere Experten melden sich.

Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen