Ralf Kleinfeld über das Berufsbild des CISOs

Ohne Sicherheit wird Digitalisierung nicht funktionieren.

Millionen von Stellen in der IT-Security sind unbesetzt, in vielen Unternehmen auch die Position des Chief Information Security Officers. Dabei sind die Anforderungen an diese Rolle weitaus weniger technisch, als man annehmen könnte. Ralf Kleinfeld erklärt in dieser Folge ausführlich, was man für den zukunftssicheren Beruf des CISOs mitbringen sollte. Weitere spannende Themen sind unter anderem: der Umgang mit sensiblen Kundendaten im E-Commerce, Applikationssicherheit, Supply-Chain-Risiken und NIS-2 als sinnvoller Maßnahmenkatalog für jedes Unternehmen.

Human
Firewall
Podcast

Jetzt hören

Episode 11: Erfahren Sie mehr über die Rolle des CISOs und erhalten Sie Insights zu Supply-Chain-Angriffen, NIS-2 und mehr.

Episode 11 im Überblick

Möchten Sie direkt zu den Abschnitten springen, die Sie am meisten interessieren? Hier finden Sie eine Übersicht der besprochenen Themen mit genauen Zeitmarken.

Minute	Description
00:00:00 – 00:01:47	Vorstellung von Ralf Kleinfeld, CISO bei OTTO
00:01:48 – 00:07:13	Informationssicherheit im E-Commerce und die Besonderheiten bei einem traditionellen Versandhändler
00:07:14 – 00:16:39	Applikationssicherheit: die Supply Chain als Teil des eigenen Ökosystems
00:16:40 – 00:19:57	Warum der NIS-2-Maßnahmenkatalog jetzt für jedes Unternehmen Relevanz hat
00:19:58 – 00:38:04	Berufsbild des CISOs – Aufgaben, Anforderungen, Ausbildung
00:38:05 – 00:52:27	Wie entsteht eine nachhaltige Sicherheitskultur? Entscheidende Faktoren und psychologische Aspekte
00:52:28 – 00:55:02	Ausblick: Sicherheit als selbstverständlicher Bestandteil von Digitalisierung

Highlights & Key Learnings: Das Wichtigste auf einen Blick

Die Rolle des CISOs muss viel stärker auch persönliche Kompetenzen aufgreifen, also auch psychologische Resilienz.

• Informationssicherheit im digitalen Handel: E-Commerce-Unternehmen verwalten eine große Menge an personenbezogenen Daten und Zahlungsdaten, die für Angreifer interessant sind und deshalb gut geschützt werden müssen. Bei allen Sicherheitsvorkehrungen muss allerdings der Faktor Mensch – und dessen Wunsch nach Bequemlichkeit – bedacht werden.
• Applikationen als Angriffsfläche: Aus dem Internet erreichbare Anwendungen, sowohl intern entwickelte als auch hinzugekaufte, müssen in sich sicher sein. Wie wichtig die Berücksichtigung von Supply-Chain-Risiken ist, zeigte eindrucksvoll die XZ-Sicherheitslücke, die für das Internet beinahe zum Super-GAU geworden wäre.
• NIS-2: Die Richtlinie enthält einen Maßnahmenkatalog, der für alle Unternehmen lohnenswert ist – nicht nur für die, die gesetzlich zur Einhaltung verpflichtet sind, und auch nicht erst dann, wenn das deutsche Gesetz in Kraft tritt. Durch die Einbeziehung von Supply-Chain-Risiken werden ohnehin die meisten Unternehmen betroffen sein.
• Berufsbild CISO: Neben technischem Security-Fachwissen und Sicherheitskompetenz brauchen CISOs auch persönliche Kompetenzen wie psychologische Resilienz, um in Stresssituationen Ruhe bewahren zu können. Außerdem müssen sie in der Lage sein, das Kerngeschäft zu verstehen, sich mit dem restlichen Management austauschen können und vor allem Innovationsfähigkeit besitzen.
• Netzwerk für CISOs: Der Berufsverband CISO Alliance e.V. bietet neben allgemeinen Möglichkeiten zur Weiterentwicklung eine kollegiale Fallberatung an, die in konkreten Problemsituationen hilft.
• Schaffung einer wirksamen Sicherheitskultur: Damit diese entstehen kann, sind drei Bereiche abzudecken: Fähigkeiten und Wissen müssen vermittelt werden, das Gelernte sollte geübt und angewendet werden, und die persönliche Haltung zum Thema muss stimmen.
• Fehlerkultur: Es ist wichtig, auf Verstöße und Meldungen positiv zu reagieren, damit die Mitarbeitenden nie aus Angst vor Konsequenzen Fehlverhalten vertuschen und damit Schlimmeres verursachen. Es geht nicht darum, Schuldige zu suchen, sondern die Auswirkungen einzudämmen.
• Sicherheit als unerlässlicher Teil von Digitalisierung: Genau wie Automobilersteller nie auf die Idee kämen, Autos ohne Sicherheitsfunktionen zu entwickeln, muss auch bei der Digitalisierung die Sicherheit von Anfang an mitgedacht und eingebaut werden.

Man muss die Supply Chain als Teil des eigenen Ökosystems betrachten. Zu sagen „Ich kaufe mir was ein und das wird schon sicher sein“, das reicht nicht.

Vertiefen Sie Ihr Wissen: Weiterführende Informationen

• xz-Hintertür: Ablauf und Hintergründe eines Großangriffs auf das Internet
• MOVEit-Sicherheitslücke: Wie Cyberkriminelle an 630.000 E-Mail-Adressen gelangten und selbst das Pentagon betroffen war
• Log4Shell: 2021 die bis dato „größte Schwachstelle in der Geschichte des modernen Computing“
• NIS-2-Richtlinie: Was Unternehmen jetzt schon tun können
• Berufsbild CISO: Übersicht der CISO Alliance unter anderem zu Qualifikation, Kompetenzen und Verantwortlichkeiten von CISOs
• Job-Futuromat: Abfrage der Automatisierbarkeit bestimmter Berufe
• Millionen offener Jobs im Security-Bereich: ISC2-Report liefert genaue Zahlen

Erfahren Sie über die aktuelle Cyber-Bedrohungslage

Wie vielfältig die Rolle des CISOs ist, sieht man bei Ralf Kleinfeld am lebenden Beispiel. Der CISO schützt Kundendaten, überwacht Supply-Chain-Risiken, etabliert eine nachhaltige Sicherheitskultur in Unternehmen und erfüllt gesetzliche Vorschriften – und das sind nur einige seiner greifbaren Aufgaben. Ebenso wichtig sind aber auch persönliche Eigenschaften wie Resilienz, Kommunikationsgabe und Innovationsfähigkeit. Das macht den Beruf zukunftssicher, denn diese Kernkompetenzen lassen sich nicht automatisieren.

Eine zentrale Aufgabe des CISOs ist in jedem Fall, die aktuelle Bedrohungslage im Blick zu behalten, um die Risiken für das eigene Unternehmen abzuschätzen. Welche Strategien dabei helfen und was die größten Herausforderungen sind, erfahren Sie im Human Risk Review 2024.

Human Risk Review 2024

Report lesen

Exklusive Phishing-Daten, Expertenmeinungen und Strategien, mit denen Sie sicher durch die Cyber-Bedrohungslage kommen.