Beratung

vCISO – Definition, Vor- und Nachteile des externen CISO

Aktualisiert am

Der virtuelle Chief Information Security Officer (vCISO) unterscheidet sich nicht vom Chief Information Security Officer, außer dass er ein externer Sicherheitsberater ist. Er ist nicht in Vollzeit vor Ort. In kleineren deutschen Unternehmen wird auch vom Informationssicherheitsbeauftragten (ISB) gesprochen. Die Position ist in der Organisation verantwortlich für die Informationssicherheit.

Was macht ein vCISO?

Ein vCISO ist verantwortlich dafür, die Vision, Strategie und das Programm der Informationssicherheit eines Unternehmens festzulegen und aufrechtzuerhalten. Dadurch soll sichergestellt werden, dass Informationswerte und -technologien langfristig und nachhaltig geschützt sind. Ergänzend können folgende Aufgaben ebenfalls in die Zuständigkeit des vCISO fallen:

  • Vermittlung von Sicherheitszielen an den Vorstand der Organisation
  • Bestimmen des/der richtigen Sicherheits-Frameworks, die das Unternehmen einhalten muss
  • Unterstützung bei der Festlegung von Sicherheitsbudgets und der geeignetsten und kosteneffektivsten Sicherheitslösungen
  • Definieren, Planen, Schreiben, Überprüfen und Genehmigen von Richtlinien, Verfahren, Standards und Prozessen
  • Kontinuierliche Analyse und Optimierung der Informationssicherheit im Unternehmen

Meist ist der CISO nicht dem Chief Information Officer (CIO) untergeordnet sondern berichtet direkt an den Chief Executive Officer (CEO). Dies liegt vorallem daran, dass IT-Sicherheit nur eine Teilmenge des Aufgabengebiets darstellt. Es geht um die Absicherung und das Risikomanagement aller Informationswerte, dazu gehören auch Zugänge zur Informationssicherheit, Informationen auf Papier oder in Aktenordnern.

Vorzüge eines vCISOs

Ein vCISO bietet Unternehmen einige Vor- aber auch Nachteile. Die folgende Tabelle stellt die Vor- und Nachteile gegenüber:

VorteileNachteile
Kosteneffektiv: Einen qualifizierten CISO für Ihr Unternehmen zu finden, kann teuer sein, lange dauern und die Gehälter sind in der Regel im hohen fünf- bis sechsstelligen Bereich. Die Einstellung eines virtuellen CISO kann auch steuerlich sinnvoll sein, da Sie nur für die Zeit bezahlen, in der er mit Ihrem Unternehmen zusammenarbeitet.
Reaktionszeit: Ein virtueller CISO unterstützt nicht nur Sie, sondern viele Organisationen. Daher sind kann es manchmal schwierig sein, drängende Fragen zeitnah beantwortet zu bekommen. Um dies zu überwinden, empfiehlt es sich, mit dem Kandidaten ein SLA zu besprechen oder zu dokumentieren, bevor er an Bord geholt wird. Wenn im Voraus bekannt ist, dass Sie eine Antwort auf ein als "kritisch" markiertes Ticket innerhalb von zwei Stunden benötigen, dann ist es einfacher, die Erwartungen zu steuern.
Anpassungsfähig: Wenn Organisationen wachsen, sind Veränderungen so gut wie garantiert. Einige Leute sind großartig in Startups und andere sind großartig in etablierten Organisationen, oft ist eine Person nicht in beiden gut. Ziehen Sie in Erwägung, einen virtuellen CISO hinzuzuziehen, der sich mit Ihren Tools, Ihrem Markt und Ihrem Organisationsstil auskennt, und wenn sich das Unternehmen ändert, kann sich auch der CISO ändern.
Loyalität: Externe Mitarbeitende sind meist nicht stark in Ihrem Unternehmen "investiert" auch wenn sie technisch für Sie arbeiten. Insbesondere die tägliche Interaktion mit den Mitarbeiter:innen fehlt neben der fehlenden Teilnahme an der Unternehmenskultur.
Fachwissen: Virtuelle CISOs bringen eine Fülle von Wissen mit. Mit der vorhandenen Expertise, dem geschulten Umgang mit dem Tool-Set und der Erfahrung am Markt kann der virtuelle CISO sofort loslegen, sobald er engagiert wird.
Fehlende Risikoverantwortung: Schauen Sie sich den Vertrag sehr genau an und diskutieren Sie offen und ehrlich über die Risikoverantwortung, bevor Sie eine Firma oder eine Person beauftragen. Stellen Sie sicher, dass sie einen Teil des organisatorischen Risikos übernehmen, da sie es in vielen Fällen verwalten werden.
Etablierte Beziehungen und Verbindungen: Viele virtuelle CISOs verfügen über ein eingebautes Netzwerk und haben viele Verbindungen zu Anbietern und Branchenexperten. Die Möglichkeit, dieses Netzwerk zu nutzen, kann das Wachstum effizienter und kostengünstiger gestalten.Teuer in der Zeit, in der Sie ihn brauchen: Ein virtueller CISO kann sehr kosteneffektiv sein, vor allem, wenn Sie ihn nur periodisch im Laufe des Jahres oder während Audits benötigen. Wenn das Unternehmen jedoch schnell wächst oder eine größere Sicherheitsverletzung auftritt, können die Stunden, die der virtuelle CISO investiert, sehr zahlreich sein.

Ein externer Informationssicherheitsbeauftragter kann ein Wettbewerbsvorteil sein, denn Informationssicherheit stärkt das Kundenvertrauen und muss gemanaged werden, um Kosten unter Kontrolle zu halten und gleichzeitig individuelle Risiken effizient zu vermeiden. Sie könnten bei der Erstellung von Sicherheitsrichtlinien, Richtlinien und Standards helfen. Das kann von der Einhaltung der ISO27001- oder BSI-Grundschutz bis hin zur Risikobewertung von Anbietern alles umfassen. Sie können auch bei der Rekrutierung, der Festlegung von Sicherheitsstrategien, der Beschaffung von Lösungen und der Behebung von Vorfällen helfen. Sie könnten auch bei Bring-your-own-device (BYOD)-Richtlinien und deren Durchsetzung behilflich sein oder Penetrationstests planen und durchführen. Insbesondere kann der externe ISB dabei helfen, Informationssicherheit als Prozess zu verstehen und zu implementieren. Damit ein solcher Prozess effizient ist, muss das ganze gesteuert werden. Dies ist ein essentieller Bestandteil des externen ISB.

Wer sollte über einen virtuellen CISO nachdenken?

Matteo Große-Kampmann stimmt zu, dass KMUs in der Regel die größten Profiteure von virtuellen CISO-Services sind. “Startups und wachsende Unternehmen sind großartige Kandidaten für das virtuelle ISB-Modell”, sagt Große-Kampmann, der die AWARE7 gegründet hat. “Viele dieser Unternehmen haben sehr fähige Mitarbeiter, was ihr Kerngeschäft angeht. Sie benötigen jedoch Unterstützung, um ihre Bedrohungslandschaft und ihre regulatorischen Anforderungen zu verstehen und eine angemessene Strategie und Roadmap zu definieren”. Dabei kann ein virtueller CISO helfen, wenn es in den Bereich Informationssicherheit geht. Insbesondere StartUps aus dem Bereich “Gesundheitswesen” die zukünftigt mit Krankenkassen abrechnen wollen, müssen Anforderungen der Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) erfüllen und benötigen frühzeitig einen externen ISB, da Sie ISO27001 zertifiziert sein müssen.

Foto des Autors

Maik Hagelüken

Ich bin Maik Hagelüken und arbeite in der Informationssicherheitsberatung. Dank meiner umfassenden Erfahrung im Bereich TISAX und meiner Tätigkeit als Auditor verfüge ich über ein breites Spektrum an Fähigkeiten und Fachwissen. Zudem habe ich ein Bachelorstudium in IT-Sicherheit und Informationstechnik absolviert. Mein Ziel ist es, unsere Leser stets über die neuesten Entwicklungen und bewährten Praktiken in der Branche auf dem Laufenden zu halten. Besonders wichtig ist mir dabei der menschliche Faktor, da ein effektives ISMS ohne die aktive Einbeziehung der Mitarbeiterinnen und Mitarbeiter nicht funktionieren kann.