Home » Fachbeiträge » Security Management » CISO as a Service

Risikoanalysten und Sicherheitsstrategen im Abo-Modell: CISO as a Service

In Zeiten steigender Cybersecurity-Anforderungen kann die Einstellung eines eigenen Chief Information Security Officers (CISO) teuer sein, insbesondere für kleine und mittlere Unternehmen. Aus diesem Grund gewinnen CISO-as-a-Service-Angebote zunehmend an Beliebtheit.

6 Min. Lesezeit
Foto: ©AdobeStock/Gorodenkoff

Doch für welche Unternehmen ist diese Lösung sinnvoll, und welche Aspekte sollten dabei berücksichtigt werden? In diesem Artikel erfahren Sie mehr darüber.

Wenn Hacker wie professionelle Unternehmen agieren und sich ihnen durch die Digitalisierung eine immer größere potenzielle Angriffsfläche bietet, brauchen Unternehmen einen Strategen und Profi für die Informationssicherheit im Unternehmen, der die aktuellen Cyberrisiken ermittelt und das Schutzniveau des Unternehmens bewertet und verbessert. IT-Abteilungen, die insbesondere bei kleinen und mittleren Unternehmen vor allem aus Generalisten bestehen, stoßen hier in Sachen Know-how und Erfahrung schnell an ihre Grenzen. Für Unternehmen, die keinen eigenen CISO haben, ist das Outsourcing an einen externen CISO-as-a-Service-Anbieter eine Option.

Aufgaben des CISO

Um das Konzept von „CISO as a Service“ zu verstehen, ist es zunächst wichtig zu klären, welche Aufgaben ein Chief Information Security Officer (CISO) genau hat. Der Name gibt bereits einen Hinweis: Der CISO trägt die Verantwortung für die Sicherheit von Informationen und Daten im gesamten Unternehmen. Zu seinen Aufgaben gehören unter anderem die Überwachung der Sicherheitsoperationen, die Bewertung und Bewältigung von Cyber-Risiken und die Sammlung von Sicherheitsinformationen. Darüber hinaus ist er zuständig für die Gestaltung der Sicherheitsarchitektur, das Management von Identitäten und Zugriffsberechtigungen (Identity- und Access-Management, IAM), den Schutz vor Datenverlust und Betrug, forensische Untersuchungen sowie die Einhaltung von Vorschriften und Compliance-Richtlinien.

CISOs verfolgen dabei einen ganzheitlichen Sicherheitsansatz, der Technologie, Organisation, Lieferkette und Sicherheitskultur umfasst. Damit ist sein Aufgabenfeld größer gesteckt als beispielweise das des Chief Security Officer (CSO). Idealerweise sind CISO gut in ihrem Unternehmen vernetzt und haben tiefe Einblicke in die geschäftskritischen Unternehmensprozesse. Denn nur so sind sie in der Lage, informationstechnische Risiken zu identifizieren und einzuschätzen. Dabei muss sowohl die Wahrscheinlichkeit für den Eintritt eines Schadens als auch dessen mögliches Ausmaß berücksichtigt werden.

Die Hauptaufgabe von CISOs besteht jedoch nicht darin, die Risiken eigenhändig zu beheben. Stattdessen fungieren sie als wertvolle Vermittler und Brückenbauer zwischen IT, Sicherheit und der Unternehmensführung. Ihr Ziel ist es, ein Bewusstsein für die bestehenden Risiken zu schaffen und diese in einen unternehmerischen Kontext zu setzen. Sie betrachten Sicherheitsrisiken nicht nur auf technischer Ebene, sondern immer im Gesamtkontext des Geschäftsbetriebs. Das Management kann dann entscheiden, ob es das Risiko ignorieren, akzeptieren oder im besten Fall mindern möchte, indem Maßnahmen zur Behebung und Eindämmung ergriffen werden.

Vorteile einer Auslagerung

Kostenkontrolle

Das Gehalt von CISOs kann je nach Unternehmen stark variieren. Mit mindestens 100.000 Euro im Jahr ist jedoch auf jeden Fall zu rechnen. Das sind Kosten, die vor allem kleine und mittlere Unternehmen oder Start-ups nicht immer aufbringen können. Hinzu kommt der allgemeine Fachkräftemangel, der die Suche nach geeigneten Kandidaten erschwert. Weil jedoch jedes Unternehmen sich in Sachen IT-Sicherheit strategisch aufstellen sollte, um die Business Continuity und den langfristigen Erfolg zu gewährleisten, kann in solchen Fällen das Outsourcing an einen CISO-as-a-Service-Anbieter eine gute Wahl sein, um Sicherheitsprogramme professionell umzusetzen und Kosten zu sparen.

Hohe Flexibilität

Unternehmen, die auf das Modell CISO as a Service setzen, können außerdem von flexiblen Abo-Modellen profitieren und sind nicht an langfristige und gegebenenfalls schwer kündbare Arbeitsverträge gebunden. Das Modell bietet Flexibilität und ermöglicht es Unternehmen mit einem ausgeprägten Saisongeschäft, bedarfsgerecht zu steuern und bei Auslastungsspitzen hochzuschrauben. Auch kann ein CISO-as-a-Service-Modell eine gute Interimslösung sein, bis eine offene Stelle besetzt wurde.

Umfassende Erfahrung und Know-how

Was gelegentlich als potenzieller Nachteil des CISO-as-a-Service-Modells angesehen wird, erweist sich tatsächlich als eine seiner größten Stärken: Die Experten, die solche Dienste anbieten, arbeiten für eine breite Palette von Unternehmen. Dies bedeutet, dass sie Einblicke in verschiedene Branchen, IT-Infrastrukturen und Unternehmensgrößen haben und mit einer Vielzahl von Sicherheitsvorfällen sowie aktuellen Angriffstaktiken vertraut sind. Aufgrund dieses umfangreichen Erfahrungsschatzes sind sie in der Lage, fundierte Risikobewertungen durchzuführen und Sicherheitsstrategien abzuleiten.

Die Sorge mancher Unternehmen, nicht oberste Priorität zu haben, kann durch entsprechende Service Level Agreements (SLAs) abgemildert werden. Einige Anbieter, die ihre Beratungsdienste in Kombination mit SOC as a Service (Security Operations Center) anbieten, stellen sogar jedem Kunden einen eigenen Berater aus einem sogenannten Concierge-Security-Team zur Verfügung. Dieser Berater dient als ständiger Ansprechpartner für Fragen und fungiert als Sparringspartner und Berater für die Planung, Umsetzung und Verbesserung der IT-Sicherheitsstrategie.

Was Unternehmen beachten sollten

Auf langfristige Partnerschaft setzen

Wie zu Beginn erwähnt, ist ein guter CISO einer, der das Unternehmen mit seinen Abteilungen, Akteuren und Prozessen genau kennt und versteht. Dazu braucht er das Vertrauen aller Beteiligten. Denn nur so erhält er oder sie tiefe Einblicke und die Informationen, die es wirklich braucht: Wo hakt es aktuell? Welche Sicherheitslücken sind inoffiziell bekannt, wurden intern aber noch nicht kommuniziert? An welchen Stellen werden Sicherheitsmaßnahmen ausgehebelt, weil sie Arbeitsprozesse erheblich behindern, – um nur einige Beispiele zu nennen.

Wer auf einen CISO as a Service setzt, sollte sich daher vorher überlegen, wie lange der externe Support eingesetzt werden soll. Die Sicherheitsexperten müssen sich mit dem Unternehmen, dessen IT-Infrastruktur und Business-Prozessen vertraut machen, um maßgeschneiderte und belastbare strategische Empfehlungen geben zu können. Geht es beispielsweise lediglich um die Risikobewertung bei der Implementierung  einer neuen Technologie, kann eine externe Beratungsfirma, die themenzentrisch arbeitet, die bessere Lösung sein.

Wer beste Ergebnisse mit dem CISO-as-a-Service-Modell erreichen möchte, sollte an einer langfristigen Partnerschaft und nicht an einer On-Off-Beziehung interessiert sein. Es kann sinnvoll sein, auf einen Partner zu setzen, der bereits mit weiteren IT-Projekten im Unternehmen betraut ist. Doch Achtung: Insbesondere bei bestimmten Service-Kombinationen kann es zu Zielkonflikten kommen. Wenn beispielsweise die eingesetzten Netzwerkdienste vom gleichen Anbieter bereitgestellt werden wie der CISO-as-a-Service-Dienst, kann es passieren, dass die Anbieter ihre Kunden weniger auf eigene Unzulänglichkeiten hinweisen. Das kann absichtlich passieren oder aus eigener Betriebsblindheit. Daher sollten Service-Kombinationen im Voraus und im Hinblick auf die Segregation of Duty, sprich die Funktionstrennung, überprüft werden.

Keine Strategie ohne Operations

Mit einem CISO holt man sich einen strategischen Experten ins Haus. Ein CISO allein löst jedoch nicht die Sicherheitsprobleme. Denn nachdem Risiken erkannt und eine Sicherheitsstrategie aufgestellt ist, geht es an die Umsetzung sowie die kontinuierliche Überwachung der Sicherheitsinfrastruktur. Dazu braucht es ein ausreichend großes und qualifiziertes Team.

Ist dieses intern nicht verfügbar, können auch hier externe Sicherheitspartner helfen. SOC-as-a-Service-Anbieter bieten Security-Operations-Dienste und fungieren als verlängerte Werkbank der internen Teams. Einige Anbieter kombinieren reaktive SOC-Dienste, wie 24/7 Monitoring und Threat Detection & Response mit proaktiven Beratungsdiensten zur langfristigen Verbesserung der Security Posture und bieten Unternehmen so eine Rundum-Unterstützung.

Die Verantwortung bleibt beim Unternehmen

Die Nutzung eines externen CISO-Dienstes bedeutet nicht, dass Unternehmen die gesamte Verantwortung für die IT-Sicherheit abgeben. Das müssen sich Entscheider und das Management bewusst machen. Im besten Fall holen sie sich mit einem solchen Dienst einen starken Partner an Bord, der mit unverstelltem und unvoreingenommenem Blick die IT-Infrastruktur analysiert, Risiken identifiziert und Empfehlungen gibt, mit welchen Maßnahmen man diese Baustellen möglichst schnell beheben kann. Die Verantwortung liegt jedoch beim Unternehmen. Es muss entscheiden, welche Risiken akzeptiert und welche mitigiert werden sollen. Umso wichtiger ist es, einen kompetenten Partner zu wählen, auf dessen Einschätzung man vertrauen kann.

Logistik und Scope klären

Wenn ein externer Partner wichtige Sicherheitsaufgaben übernimmt, müssen gleich zu Beginn die Rahmenbedingungen der Kooperation geklärt werden. Dazu gehört zum einen eine genaue Definition der Aufgaben, die der externe CISO-Service übernehmen soll. Dies kann im Laufe der Zeit jedoch auch immer wieder angepasst werden. Außerdem muss genau definiert werden, wie häufig und an wen externe Sicherheitsberater berichten, beziehungsweise in welcher Frequenz Status-Updates und Strategiepläne besprochen und erarbeitet werden.

Werden die genannten Aspekte berücksichtigt, sind CISO-as-a-Service-Modelle eine wirtschaftlich und sicherheitstechnisch attraktive Lösung, von der insbesondere kleine und mittlere Unternehmen häufig stärker profitieren als von einem eigenen CISO und von einem kompletten internen IT-Sicherheitsteam.

Dr. Sebastian Schmerl ist Vice President Security Services EMEA bei Arctic Wolf.

Andere interessante Fachbeiträge

Datensammler

HbbTV und die Datensammelwut

HbbTV hat sich zu einer beliebten Möglichkeit entwickelt, traditionelles Fernsehen mit internetbasierten Inhalten zu kombinieren. Die Technologie wirft jedoch auch Bedenken hinsich...

Hand präsentiert Zertifizierungs-Symbol

Warum Zertifizierungen allein nicht ausreichen

Die Cyberangriffe der letzten Monate haben gezeigt, dass auch Schwachstellen in Prozessen und Anwendungen von Dienstleistern ein Risiko für die Sicherheit von Organisationen darste...

ISMS

Warum Unternehmen ein ISMS brauchen

Die Implementierung eines Informationssicherheits-Managementsystems (ISMS) ist für viele Unternehmen heute unerlässlich, um die zahlreichen neuen Gesetze im Bereich der Cybersicher...