2021 / ISMS / Offensive Services / Risiko Management

vCISO – Definition, Vor- und Nachteile des externen CISO

Der virtuelle Chief Information Security Officer (vCISO) unterscheidet sich nicht vom Chief Information Security Officer, außer dass er ein externer Sicherheitsberater ist. Er ist nicht in Vollzeit vor Ort. In kleineren deutschen Unternehmen wird auch vom Informationssicherheitsbeauftragten (ISB) gesprochen. Die Position ist in der Organisation verantwortlich für die Informationssicherheit.

Was macht ein vCISO?

Ein vCISO ist verantwortlich dafür, die Vision, Strategie und das Programm der Informationssicherheit eines Unternehmens festzulegen und aufrechtzuerhalten. Dadurch soll sichergestellt werden, dass Informationswerte und -technologien langfristig und nachhaltig geschützt sind. Ergänzend können folgende Aufgaben ebenfalls in die Zuständigkeit des vCISO fallen:

  • Vermittlung von Sicherheitszielen an den Vorstand der Organisation
  • Bestimmen des/der richtigen Sicherheits-Frameworks, die das Unternehmen einhalten muss
  • Unterstützung bei der Festlegung von Sicherheitsbudgets und der geeignetsten und kosteneffektivsten Sicherheitslösungen
  • Definieren, Planen, Schreiben, Überprüfen und Genehmigen von Richtlinien, Verfahren, Standards und Prozessen
  • Kontinuierliche Analyse und Optimierung der Informationssicherheit im Unternehmen

Meist ist der CISO nicht dem Chief Information Officer (CIO) untergeordnet sondern berichtet direkt an den Chief Executive Officer (CEO). Dies liegt vorallem daran, dass IT-Sicherheit nur eine Teilmenge des Aufgabengebiets darstellt. Es geht um die Absicherung und das Risikomanagement aller Informationswerte, dazu gehören auch Zugänge zur Informationssicherheit, Informationen auf Papier oder in Aktenordnern.

Vorzüge eines vCISOs

Ein vCISO bietet Unternehmen einige Vor- aber auch Nachteile. Die folgende Tabelle stellt die Vor- und Nachteile gegenüber:

RangCWE-IDBeschreibung
1CWE-787
Unerlaubtes Schreiben
2CWE-79Unsachgemäße Neutralisierung von Eingaben bei der Generierung von Webseiten ('Cross-Site Scripting')
3CWE-125Unerlaubtes Lesen
4CWE-20Unsachgemäße Eingabevalidierung
5CWE-78Unsachgemäße Neutralisierung von speziellen Elementen, die in einem Betriebssystem-Befehl verwendet werden ("OS Command Injection")
6CWE-89Unsachgemäße Neutralisierung von speziellen Elementen, die in einem SQL-Befehl verwendet werden ('SQL Injection')
7CWE-416Use After Free
8CWE-22Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis ('Path Traversal')
9CWE-352Cross-Site Request Forgery (CSRF)
10CWE-434Uneingeschränkter Upload von Dateien eines gefährlcichen Typs

Ein externer Informationssicherheitsbeauftragter kann ein Wettbewerbsvorteil sein, denn Informationssicherheit stärkt das Kundenvertrauen und muss gemanaged werden, um Kosten unter Kontrolle zu halten und gleichzeitig individuelle Risiken effizient zu vermeiden. Sie könnten bei der Erstellung von Sicherheitsrichtlinien, Richtlinien und Standards helfen. Das kann von der Einhaltung der ISO27001- oder BSI-Grundschutz bis hin zur Risikobewertung von Anbietern alles umfassen. Sie können auch bei der Rekrutierung, der Festlegung von Sicherheitsstrategien, der Beschaffung von Lösungen und der Behebung von Vorfällen helfen. Sie könnten auch bei Bring-your-own-device (BYOD)-Richtlinien und deren Durchsetzung behilflich sein oder Penetrationstests planen und durchführen. Insbesondere kann der externe ISB dabei helfen, Informationssicherheit als Prozess zu verstehen und zu implementieren. Damit ein solcher Prozess effizient ist, muss das ganze gesteuert werden. Dies ist ein essentieller Bestandteil des externen ISB.

Wer sollte über einen virtuellen CISO nachdenken?

Matteo Große-Kampmann stimmt zu, dass KMUs in der Regel die größten Profiteure von virtuellen CISO-Services sind. „Startups und wachsende Unternehmen sind großartige Kandidaten für das virtuelle ISB-Modell“, sagt Große-Kampmann, der die AWARE7 gegründet hat. „Viele dieser Unternehmen haben sehr fähige Mitarbeiter, was ihr Kerngeschäft angeht. Sie benötigen jedoch Unterstützung, um ihre Bedrohungslandschaft und ihre regulatorischen Anforderungen zu verstehen und eine angemessene Strategie und Roadmap zu definieren“. Dabei kann ein virtueller CISO helfen, wenn es in den Bereich Informationssicherheit geht. Insbesondere StartUps aus dem Bereich „Gesundheitswesen“ die zukünftigt mit Krankenkassen abrechnen wollen, müssen Anforderungen der Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) erfüllen und benötigen frühzeitig einen externen ISB, da Sie ISO27001 zertifiziert sein müssen.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.