Chief Information Security Officer (CISO) in einem Pharma-/Healthcare-Unternehmen

Die IT stellt zwar gute Mittel und Wege, sichere Kommunikationskanäle und moderne Lösungen bereit, sie werden jedoch nur sporadisch durch das Business, die Einkaufsorganisation und den Vertrieb genutzt. Fehlt darüber hinaus die Erkenntnis, dass es sich bei Informationen um schützenswerte Assets handelt, läuft man Gefahr, dass die Kommunikation mit Dritten unorganisiert und lediglich „nach bestem Wissen und Gewissen“ erfolgt.

Jedes moderne Unternehmen hat mittlerweile erkannt, dass sich das permanente Hochschrauben der Sicherheits- und Schutzmaßnahmen nachteilig auf die Effizienz der Geschäftsabläufe auswirkt. So hemmt es die Einfachheit der Kommunikation mit Kunden, Lieferanten und anderen externen Geschäftspartnern und erhöht die Komplexität der Zusammenarbeit unnötig. Hat man aber eine innovative IT mit einem gut dimensionierten IT-Budget im Haus, kann diese durch das Bereitstellen von modernen technischen Lösungen den Effizienzverlust im ersten Schritt abfedern – bis man feststellt, dass es im Unternehmen zu viele unterschiedliche Mittel, Wege, Tools und Kommunikationskanäle für ein und dasselbe gibt, was oft zu einer wenig effizienten Budget-Nutzung führt. Der Königsweg liegt bekanntlich in der Mitte: Durch eine fundierte Organisation bestehender Schutzmaßnahmen lässt sich eine effizientere und sichere Kommunikation mit Dritten etablieren. Hier muss der CISO sein Organisationstalent unter Beweis stellen.

CISO – ein Mediator zwischen Technik und Business

Stellt man eine Beschreibung für die Rolle eines CISO zusammen, muss man an viele Eigenschaften und Soft Skills denken: IT-Affinität, technisches Verständnis, Durchsetzungskraft, analytisches Denkvermögen usw. Doch einen wesentlichen Aspekt lässt man oft außer Acht: die Fähigkeit zum Verstehen von Geschäftsanforderungen und das Vermitteln dieser an die IT-Techniker*innen. Ohne diese wichtige Schnittstelle kann die IT sich rasch verselbstständigen und von einem Supportprozess zu einem Geschäftsprozess anwachsen. Bei Unternehmen, die das Hauptgeschäft auf anderen Gebieten (z. B. Healthcare oder Pharma) betreiben wollen, ist das nicht immer wünschenswert.

Kernaufgaben und organisatorische Einordnung des CISO

Der Chief Information Security Officer (CISO) wird oft mit dem Experten für IT-Sicherheit verwechselt und daher organisatorisch unter dem IT-Leiter (Chief Information Officer – CIO) eingeordnet. Dies führt manchmal sogar zu einem Interessenskonflikt mit dem Vorgesetzten des CISO: Ein möglichst reibungsloser Betrieb der IT – die höchste Priorität des CIO – kann durch das Absenken des Sicherheitsniveaus leichter erreicht werden, was den Prioritäten des CISO entgegensteht. Daher ist man in der Regel gut beraten, wenn der CISO neben dem CIO und mit einem direkten Berichtsweg an die Geschäftsführung oder innerhalb der Legal-and-Compliance-Abteilung eingeordnet wird. Die Kernaufgaben eines CISO liegen zudem nicht im Bereich des sicheren IT-Betriebs, sondern umfassen ein viel breiteres Spektrum an Tätigkeiten auf einer organisatorisch darüberliegenden Ebene. Wesentliche Themenkomplexe, derer sich ein guter CISO annehmen sollte, sind unter anderem:

• Governance: Erstellung von Regelungen, Vorgaben, Anweisungen und Konzepten
• Pflege der Inventur von IT-Werten, vor allem von Informationswerten (Datenkonzept)
• Pflege der Inventur von IT-Risiken, vor allem von Risiken der Informationssicherheit
• Organisation und Durchführung von internen Audits, Messung der ISMS-Effektivität mit KPIs
• Pflege des Konzepts zur Verwaltung von IT-Nutzern, Rollen und Zugriffsberechtigungen
• Pflege der Übersicht von Sicherheitsvorfällen mit und ohne Bezug zur IT und zum Datenschutz
• ggf. Agieren als Kommunikationsschnittstelle zwischen der IT und dem Betriebsrat
• Pflege des Konzepts zur Kommunikation mit Dritten (Kunden, Dienstleistern, Partnern) 
• Sicherstellen und Aufrechterhalten des Bewusstseins für Internet-Security-Themen bei den Mitarbeiter* innen
• Überwachen des Werkschutzes zur physischen Sicherheit, Clear-Desk- und Clear-Screen-Policies
• Überwachen der IT-Netzwerksicherheit für sichere Kommunikationskanäle zu Dritten
• Etablieren von Vorgaben zur sicheren ITEntwicklung (z. B. Software und Coding)
• Überwachen der Arbeit des Security Information und Event Managements (SIEM/SOC)
• Sicherstellen der IT-Service-Continuity i. R. d. Business-Continuity-Managements (BCM)

Diese Aufgaben aus der IT-Abteilung heraus zu realisieren, ohne sich und andere Akteure in einen Interessenskonflikt zu versetzen, ist zugegebenermaßen recht schwer. Daher wird die Stelle des CISO oft in Form einer Stabstelle direkt an der Geschäftsführung des Unternehmens realisiert. Der Vorteil einer solchen Platzierung liegt im „punktierten“ Berichtsweg zur GF; disziplinarisch (Kostenstelle) kann der CISO dabei einer völlig anderen Stelle zugeordnet bleiben.

Der CISO muss des Weiteren enge Kontakte und regelmäßig bediente Kommunikationsschnittstellen zu folgenden Funktionen des Unternehmens pflegen:

• Beauftragter für den Datenschutz
• Betriebsräte oder Mitarbeitervertretungen
• Werk- und/oder Objektschutz, Real Estate
• Legal & Compliance, insbes. IT-Compliance
• Personalverwaltung (HR) 
• Interne Revision, Audit-Abteilung

Eine alternative Positionierung des CISO wäre direkt an der Geschäftsführung und neben dem CIO, was aber mit einem gewissen Mehraufwand an administrativen Tätigkeiten für die GF verbunden ist, oder in der juristischen Abteilung, wo sich aber viele CISOs aufgrund der fachlichen Nähe zur IT nicht immer gut aufgehoben fühlen.

Verteilung der CISO-Rolle auf andere Funktionen

Sicherlich kann man sich vorstellen, einige der Aufgaben eines CISO an andere, bereits bestehende Funktionen im Unternehmen zu verteilen: die Erstellung von Regelungen an die Qualitätssicherung; Pflege der Werte und Risiken an die IT; das Prüfen und Überwachen an die Interne Revision; Training und Awareness-Aktivitäten an die HR und alles rund um physische Sicherheit – an den Werkschutz. Doch verbleiben dabei gewisse wichtige Aspekte leider ohne jegliche Steuerung und Kontrolle, z. B. alle Themen rund um Informationswerte des Unternehmens, welche nicht in digitaler Form verarbeitet werden, oder auch Themen des allgemeinen, nicht IT-bezogenen Incident-Managements. Das Unternehmen läuft dabei potenziell Gefahr, die Kommunikation mit externen Geschäftspartnern (Dienstleistern, Lieferanten, Kunden etc.) ad hoc und nach „best effort“ zu betreiben. Dabei können kritische Unternehmensdaten leicht verloren gehen, was gerade in der Healthcare- und Pharmabranche nahezu unverzeihlich sein könnte. Ein anderer Nachteil der Aufgabenverteilung resultiert daraus, dass sich mehrere Akteure mit Security-relevanten Themen beschäftigen müssen, welche meistens außerhalb ihrer Kernkompetenzen liegen und konsequenterweise weniger professionell und effizient erledigt werden. Schlussendlich würde eine steuernde Klammer über den Themen der Informationssicherheit fehlen und die Geschäftsführung müsse potenziell mehrere uneinheitliche und bedingt vergleichbare Sicherheitsberichte von unterschiedlichen Stellen verarbeiten.

Schnittstellen der CISO-Rolle

Die Rolle des CISO bildet damit eine wichtige Klammer-Funktion im Unternehmen ab, die Security- Aspekte aller Art, unabhängig von Medium und Herkunft, umfasst. Damit muss die mit dieser Rolle beauftragte Person eine enorme Anzahl von Kommunikationsschnittstellen zu anderen administrativen Geschäfts- und Unterstützungsfunktionen des Unternehmens pflegen und bedienen:

• Schnittstelle zur Geschäftsführung, über die das Management-Reporting zum Stand der Informationssicherheit im Unternehmen erfolgt
• Schnittstellen zu den Einkaufs- und Vertriebsorganisationen, welche wohl am meisten Informationen mit externen Dritten austauschen
• Schnittstelle zur IT-Abteilung stellt wohl den am häufigsten bespielten Kommunikationsweg mit zahlreichen Aspekten der IT-Sicherheit dar. Hier kann es daher sinnvoll sein, innerhalb der IT-Abteilung eine Art Koordinationsstelle zu haben, bei der technische Sicherheitsthemen (IT-Security) gebündelt werden 
• Über die Schnittstelle zur Produktions- und Sonder-IT (sofern solche etabliert ist), die oft nicht durch die klassische IT betreut wird, muss die Geschäftsfortführung im Falle eines Notfalls, einer Krise oder Katastrophe sichergestellt werden
• Schnittstelle zur Personalabteilung bei Themen wie neue Mitarbeiter*innen, deren Unterweisung, Schulung und Awareness, Abgänge und Sicherstellung der Rückgabe von IT- und Informationswerten
• Schnittstelle zu Legal & Compliance, insbesondere aber bezüglich der IT-Compliance, sofern es entsprechend ausgesondert ist. Evtl. kann eine ausgesonderte IT-Compliance auch hier analog zur IT-Abteilung eine Koordinationsstelle über alle juristischen Themen bilden 
• Die Schnittstelle zum Datenschutzbeauftragten bei allen Themen hinsichtlich der Verarbeitung personenbezogener Daten ist insbesondere bei Healthcare-Unternehmen von wesentlicher Bedeutung. Andererseits benötigt der DSB für seine Dokumentation die Liste der technischen und organisatorischen Maßnahmen vom CISO
• Schnittstelle zum Werkschutz bezüglich aller Themen der Standort- und Gebäude-Sicherheit, Zutrittskontrollen, Sicherheit der Versorgungsund IT-Räume, aber auch bei Themen der für jedes Unternehmen wichtigen Clear-Desk- und Clear- Screen-Policies 
• Schnittstelle zur Internen Revision, als „Dritte Linie der Verteidigung“, um neue Risiken zu erkennen oder auch zu kommunizieren

Die Rolle des CISO kann insbesondere durch die IT, HR oder die Revision recht effektiv in der Rolle einer unabhängigen Stabsstelle der Geschäftsführung zur Kommunikation mit den lokalen Arbeitnehmervertretungen genutzt werden. Hier könnten Entscheidungen des Betriebsrats zur Einführung von Software oder Personalprozessen beschleunigt werden.

Fazit

Zusammenfassend lässt sich schlussfolgern, dass die Rolle des CISO in einem modernen Unternehmen sicherheitsrelevante Aufgaben vieler anderer Funktionen professionalisiert und dadurch eine effizientere Gestaltung dieser erlaubt. Der CISO bildet eine Klammer um viele sicherheitsrelevante Themen, die nicht nur auf IT und Technik beschränkt sind. Er gestaltet dabei Regelungen und macht Vorgaben zur Bewertung von Risiken, Vorfällen und Unternehmenswerten, ist für Themen der Unterweisung, Training und Awareness bei den Mitarbeiter*innen und dem Management zuständig und verschafft der Geschäftsführung eine ganzheitliche und konsolidierte Sicht auf alle sicherheitsrelevanten Themen.

Mazars ist ein Beratungshaus, das für Ihr Unternehmen die Rolle des CISO in Form einer Dienstleistung („CISO as a Service“) übernehmen kann. Wir verfügen über das erforderliche Know-how, um State-of-the-Art- Sicherheitsregelungen zu erstellen, Prozesse zu definieren und einzuführen. Unsere praxiserfahrenen Berater*innen pflegen dabei vertrauenswürdig die erforderlichen Schnittstellen und bilden eine zentrale Anlaufstelle für die Geschäftsführung, die dank unserer Unabhängigkeit stets eine unvoreingenommene und kritische Sicht auf alle sicherheitsrelevanten Aspekte im Unternehmen erhält.

Haben Sie Fragen oder weiteren Informationsbedarf?

Sprechen Sie uns an

Autoren

Dr. Roman Krepki
Tel: +49 711 666 31 814

Sebastian Retter
Tel: +49 30 208 88 1043

Marco Ehlert
Tel: +49 172 286 56 73

Dies ist ein Beitrag aus unserem Healthcare-Newsletter 2-2023. Die gesamte Ausgabe finden Sie hier. Sie können diesen Newsletter auch abonnieren und erhalten die aktuelle Ausgabe direkt zum Erscheinungstermin.