logo ntadmins

Reifeprüfung für CISOs – Die fünf Stufen zur Cyber-Resilienz

23. Juni 2025
cyber security concept, Login, User, identification information security and encryption, secure Internet access, cybersecurity, secure access to user's personal information
Quelle: phimprapha, Adobe Stockphoto

Der Chief Information Security Officer (CISO) von heute steht vor grundlegenden und kontinuierlich wachsenden Herausforderungen, die maßgeblich für die Sicherheit und Stabilität des Unternehmens sind. Cyber-Angriffe mit erpresserischem Hintergrund erschweren seinen Arbeitsalltag – da Cyber-Sicherheit trotz aller Maßnahmen keinen vollständigen Schutz gewährleisten kann. Zwangsläufige Lücken in der Defensive erfordern vor allem eines: Eine ausgereifte und belastbare Cyber-Resilienz und eine Evolution von Datensicherheit: weg von Einzelmaßnahmen hin zu Sicherheit als Design-Grundsatz für die IT.

CISOs tragen laut Check Point immer mehr Verantwortung, da Cyber-Angriffe Rekordzahlen erreichen. Die Studie ergab, dass die Zahl der globalen Cyber-Angriffe im dritten Quartal 2024 im Vergleich zum Vorjahr um 75 Prozent gestiegen ist. Es braut sich also immer mehr zusammen, und so scheint es nur eine Frage der Zeit zu sein, bis die Krise in der eigenen Infrastruktur ankommt.

Dennoch fühlen sich viele Unternehmen nicht ausreichend für diese sich zuspitzende Situation gerüstet. In einer aktuellen Commvault-Umfrage gaben nur 13 Prozent der befragten Unternehmen an, die nötige Cyber-Sicherheitsreife zu haben, um einen Angriff effektiv abzuwehren und sich davon zu erholen.

Aber wieso sind manche Unternehmen in der Lage, die Wiederherstellung ihrer Systeme und Daten viel schneller umzusetzen als andere? Sie akzeptieren das Scheitern ihrer Sicherheitsarchitektur als reale Option und etablieren entsprechende Maßnahmen. Ihre Sicherheits-Tools erkennen aktuelle Risiken frühzeitig und ermöglichen es den IT-Teams, gemeldete Vorfälle strukturiert anhand definierter Runbooks, klarer Rollenverteilungen und etablierter Prozesse zu bearbeiten.

Genauso unerlässlich ist eine zuverlässige saubere Dark Site oder ein sekundäres Backup-System in einer isolierten Umgebung, in der Immutable-Kopien kritischer Daten abgelegt sind, sowie fortlaufende Tests der Cyber-Recovery-Praktiken, um die Prozesse funktionstüchtig zu halten. Manche Unternehmen haben sich also auf den Ernstfall vorbereitet und proben ihn regelmäßig.
Reifegrad bestimmen

CISOs sind dafür zuständig, solche Maßnahmen umzusetzen und routinemäßig zu prüfen, wie effizient sie greifen. Deren Autorität und Kompetenz variiert jedoch erheblich.
Auf einer niedrigen Reifeebene liegt die Sicherheit möglicherweise in den Händen von Mitarbeitenden, die lediglich Anweisungen entgegennehmen, während CISOs in hochentwickelten Strukturen eng mit dem Vorstand kooperieren und sicherstellen, dass Cyber-Sicherheit strategisch im gesamten Unternehmen verankert ist. Der Reifegrad der Cyber-Resilienz lässt sich typischerweise anhand von fünf Stufen ermitteln:

Sicherheit nach dem Häkchenprinzip

In Unternehmen, die in punkto Cyber-Sicherheit eher unreif sind, sind die Sicherheitsverantwortlichen selten Entscheidungsträger. Die meisten dieser Unternehmen haben keinen eigenen CISO. Stattdessen wird die Cyber-Sicherheit von einem Teil des IT-Teams betreut.

Diese Teams sind aber oft mit den täglichen Routineaufgaben ausgelastet, wie beispielsweise die Konfiguration von Servern, die Installation von Software-Updates und die Einrichtung von Laptops.

Der richtige Zeitpunkt für einen CISO

Mit dem Wachstum eines Unternehmens vergrößert sich auch seine Angriffsfläche. Mehr Beschäftigte, Kunden, Partner und Lieferanten bedeuten zusätzliche Prozesse und Anwendungen, die wiederum mehr Schwachstellen für Angreifer schaffen.

An diesem Punkt stellen viele Unternehmen einen Cyber-Sicherheitsexperten (CISO) ein. Die Position wird mit der Erwartung verknüpft, dass der Stelleninhaber einen Teil seiner Zeit gemeinsam mit den Entwicklungsmitarbeitern in die Programmierung investiert. Für den CISO bleibt oft wenig Spielraum für die Planung und Umsetzung einer übergreifenden Cyber-Strategie.

IT und Sicherheit sollten effektive Kommunikationskanäle etablieren, um sicherzustellen, dass die Sicherheitsziele gemeinsam vereinbart und eine Kluft zwischen den beiden Funktionen vermieden wird. Eine regelmäßige Interaktion zwischen CISO und CIO fördert eine produktive Zusammenarbeit ihrer Teams.

Mehr als ein technischer CISO

Auf dieser Reifestufe wird klar, dass der CISO mehr Autonomie benötigt, um Sicherheitskontrollen und -verfahren unternehmensweit zu bewerten und einzusetzen. CISOs brauchen die Befugnis, umfassendere Maßnahmen zum Schutz von Bereichen wie der Cloud-Sicherheit zu implementieren und den Zugriff auf alle Unternehmenssysteme mithilfe von Zugriffsmanagementlösungen zu kontrollieren. Auch wenn andere Führungskräfte Bedenken hinsichtlich der Sicherheitsinitiativen äußern, die möglicherweise die Markteinführungszeit verlangsamen, müssen Führungskräfte den CISO unterstützen und wichtige neue Cyber-Sicherheitsinitiativen fördern.

Obwohl IT und Sicherheit nun getrennte Teams sind, sollten CIO und CISO weiterhin eng zusammenarbeiten, um IT-Ziele mit Sicherheitsanforderungen in Einklang zu bringen. Diese kontinuierliche Abstimmung ist für die Sicherheit und einen reibungslosen Geschäftsbetrieb unerlässlich.

Der bevollmächtigte CISO

Bei Unternehmen mit hohem Resilienzgrad nimmt der CISO an strategischen Meetings mit dem Vorstand teil und berät zu Cyber-Sicherheitsrisiken, Resilienz und Wiederherstellungsfähigkeiten. In Zusammenarbeit mit dem Führungsteam ermittelt der CISO proaktiv die Risikotoleranz des Unternehmens und erstellt Analysen, um Veränderungen im Risikoprofil des Unternehmens aufzuzeigen. Darüber hinaus entwickelt er die passende Strategie und Sicherheitsrichtlinien, um die vereinbarten Toleranzen einzuhalten.

Auf dieser Stufe beraten CISOs den Vorstand auch über die Vorteile bzw. Risiken neuer Technologien wie KI. Cyber-Sicherheit ist ein fester Bestandteil der strategischen und operativen Planung.

Sicher durch Design

In Unternehmen, die die höchste Stufe erreichen, ist Sicherheit fest in der Organisation verankert. Nach den Grundsätzen von „Secure by Design“ halten sich die Beschäftigten unternehmensweit an Sicherheitsprozesse und -richtlinien.

Cyber-Sicherheit ist damit die Grundlage aller Unternehmensaktivitäten. Kontinuierliche Tests der Unternehmenssysteme werden erwartet, und die Teams sind gut in der Vorfalls- und Datenwiederherstellung geübt.

Den Reifezyklus beschleunigen

In Sachen Cyber-Sicherheit gleicht kein Unternehmen dem anderen. Jedes hat seine eigene technische Infrastruktur, Arbeitsweise und strategischen Ziele. Daher ist es nicht einfach, die Geschwindigkeit des Fortschritts im Cyber-Sicherheits-Reifezyklus zu berechnen. Durch das Verständnis der Merkmale der einzelnen Stufen können CIOs und Führungskräfte jedoch die Entwicklung interner Kandidaten oder die Rekrutierung eines CISO mit den richtigen Fähigkeiten und Qualitäten für ihre spezifischen Bedürfnisse besser aufeinander abstimmen.

Dies trägt dazu bei, einen Reifegrad zu erreichen, der der Risikotoleranz der eigenen Organisation entspricht. Die Analyse des Reifegrads hilft auch, Lücken bei Kompetenzen und dem Rollenverständnis zu finden. Wer diese Lücken findet, kann sie schließen und somit eine höhere Cyber-Resilienz erreichen.

Javier Dominguez ist CISO von Commvault.

Commvault

Lesen Sie auch

Login Information Attached To Large Hook Under Water With Sunlight Phishing Concept

Betrugsfälle auf mobilen Endgeräten auf dem Vormarsch

A glowing red "Fake Website" warning appearing over a browser window, distorted login fields and glitch effects, symbolizing phishing and online fraud

Phishing hat viele Gesichter: Schutz gegen Smishing und Vishing

ai generated NT CliffHang

Agenten-KI und die Zukunft der Cyber-Sicherheit