CISO-Reifeprüfung – in fünf Stufen zur Cyberresilienz

Angesichts zunehmender Bedrohung stehen CISOs unter stärkerem Druck, die Sicherheit ihres Unternehmens ganzheitlich neu zu denken

[datensicherheit.de, 27.06.2025] Angesichts zunehmender Bedrohungen stehen CISOs (Chief Information Security Officers) immer mehr unter Druck, die Sicherheit ihres Unternehmens ganzheitlich neu zu denken: Wo nämlich technische Schutzmaßnahmen an ihre Grenzen stoßen, wird die generelle Cyberresilienz zum entscheidenden Erfolgsfaktor. Wie nun Unternehmen in fünf Stufen ihre eigene Cyberesilienz stärken können, erläutert Javier Dominguez, CISO von Commvault, in seiner aktuellen Stellungnahme:

Foto: Commvault

Javier Dominguez: In Sachen Cybersicherheit gleicht kein Unternehmen dem anderen

Zwangsläufige Lücken in der Defensive erfordern vor allem ausgereifte und belastbare Cyberresilienz

Der CISO von heute steht demnach vor grundlegenden und kontinuierlich wachsenden Herausforderungen, welche maßgeblich für die Sicherheit und Stabilität des Unternehmens sind.

• „Cyberangriffe mit erpresserischem Hintergrund erschweren seinen Arbeitsalltag – da Cybersicherheit trotz aller Maßnahmen keinen vollständigen Schutz gewährleisten kann.“

Zwangsläufige Lücken in der Defensive erforderten vor allem eines: „Eine ausgereifte und belastbare Cyberresilienz und eine Evolution von Datensicherheit: weg von Einzelmaßnahmen hin zu Sicherheit als Design-Grundsatz für die IT!“

Viele Unternehmen fühlen sich nicht ausreichend für eine sich zuspitzende Situation gerüstet

CISOs tragen laut Check Point immer mehr Verantwortung, da Cyberangriffe Rekordzahlen erreichen: „Die Studie ergab, dass die Zahl der globalen Cyberangriffe im dritten Quartal 2024 im Vergleich zum Vorjahr um beeindruckende 75 Prozent gestiegen ist.“

• Es braue sich also immer mehr zusammen, und so scheine es nur eine Frage der Zeit zu sein, bis die Krise in der eigenen Infrastruktur ankomme.

„Dennoch fühlen sich viele Unternehmen nicht ausreichend für diese sich zuspitzende Situation gerüstet“, so Dominguez. In einer aktuellen Commvault-Umfrage hätten nur 13 Prozent der befragten Unternehmen angegeben, die nötige Cybersicherheitsreife zu haben, um einen Angriff effektiv abzuwehren und sich davon erholen zu können.

Einige Unternehmen haben sich bereits auf den Ernstfall vorbereitet und proben ihn regelmäßig

Dominguez reflektiert: „Aber wieso sind manche Unternehmen in der Lage, die Wiederherstellung ihrer Systeme und Daten viel schneller umzusetzen als andere? Sie akzeptieren das Scheitern ihrer Sicherheitsarchitektur als reale Option und etablieren entsprechende Maßnahmen!“

• Ihre Sicherheitstools würden aktuelle Risiken frühzeitig erkennen und ermöglichten es den IT-Teams, gemeldete Vorfälle strukturiert anhand definierter Runbooks, klarer Rollenverteilungen und etablierter Prozesse zu bearbeiten.

Genauso unerlässlich sei eine zuverlässige saubere „Dark Site“ oder ein sekundäres Backup-System in einer isolierten Umgebung, „in der Immutable-Kopien kritischer Daten abgelegt sind“, sowie fortlaufende Tests der Cyber-Recovery-Praktiken, um die Prozesse funktionstüchtig zu halten. Manche Unternehmen hätten sich also auf den Ernstfall vorbereitet und probten ihn regelmäßig.

Reifegrad der Cyberresilienz lässt sich typischerweise anhand von fünf Stufen ermitteln

Dominguez unterstreicht: „CISOs sind dafür zuständig, solche Maßnahmen umzusetzen und routinemäßig zu prüfen, wie effizient sie greifen.“ Deren Autorität und Kompetenz variiere jedoch erheblich. Auf einer niedrigen Reife-Ebene liege die Sicherheit möglicherweise in den Händen von Mitarbeitern, welche lediglich Anweisungen entgegennähmen, während CISOs in hochentwickelten Strukturen eng mit dem Vorstand kooperierten und sicherstellten, „dass Cybersicherheit strategisch im gesamten Unternehmen verankert ist“. Der Reifegrad der Cyberresilienz lasse sich typischerweise anhand von fünf Stufen ermitteln:

1. Stufe: Sicherheit nach dem Häkchenprinzip
   „In Unternehmen, die in punkto Cybersicherheit eher unreif sind, sind die Sicherheitsverantwortlichen selten Entscheidungsträger.“ Die meisten dieser Unternehmen hätten keinen eigenen CISO. Stattdessen werde die Cybersicherheit von einem Teil des IT-Teams betreut.
   Diese Teams seien aber oft mit den täglichen Routineaufgaben ausgelastet, wie beispielsweise die Konfiguration von Servern, die Installation von Software-Updates und die Einrichtung von Laptops.
2. Stufe: Der richtige Zeitpunkt für einen CISO
   Mit dem Wachstum eines Unternehmens vergrößere sich auch seine Angriffsfläche. Mehr Beschäftigte, Kunden, Partner und Lieferanten bedeuteten zusätzliche Prozesse und Anwendungen, welche wiederum mehr Schwachstellen für Angreifer schafften. An diesem Punkt stellten viele Unternehmen einen expliziten Cybersicherheitsexperten (CISO) ein.
   Diese Position werde mit der Erwartung verknüpft, dass der Stelleninhaber einen Teil seiner Zeit gemeinsam mit den Entwicklungsmitarbeitern in die Programmierung investiere. Für den CISO bleibe oft wenig Spielraum für die Planung und Umsetzung einer übergreifenden Cyberstrategie. „IT und Sicherheit sollten effektive Kommunikationskanäle etablieren, um sicherzustellen, dass die Sicherheitsziele gemeinsam vereinbart und eine Kluft zwischen den beiden Funktionen vermieden wird.“ Eine regelmäßige Interaktion zwischen CISO und CIO fördere eine produktive Zusammenarbeit ihrer Teams.
3. Stufe: Mehr als ein technischer CISO
   Auf dieser Reifestufe werde klar, dass der CISO mehr Autonomie benötige, um Sicherheitskontrollen und -verfahren unternehmensweit zu bewerten und einzusetzen. CISOs brauchten die Befugnis, umfassendere Maßnahmen zum Schutz von Bereichen wie der „Cloud“-Sicherheit zu implementieren und den Zugriff auf alle Unternehmenssysteme mithilfe von Zugriffsmanagementlösungen zu kontrollieren.
   Auch wenn andere Führungskräfte Bedenken hinsichtlich der Sicherheitsinitiativen äußern würden, welche möglicherweise die Markteinführungszeit verlangsamten, müssten Führungskräfte den CISO unterstützen und wichtige neue Cybersicherheitsinitiativen fördern. „Obwohl IT und Sicherheit nun getrennte Teams sind, sollten CIO und CISO weiterhin eng zusammenarbeiten, um IT-Ziele mit Sicherheitsanforderungen in Einklang zu bringen.“ Diese kontinuierliche Abstimmung sei für die Sicherheit und einen reibungslosen Geschäftsbetrieb unerlässlich.
4. Stufe: Der bevollmächtigte CISO
   Bei Unternehmen mit hohem Resilienzgrad nehme der CISO an strategischen Meetings mit dem Vorstand teil und berate zu Cybersicherheitsrisiken, Resilienz und Wiederherstellungsfähigkeiten. „In Zusammenarbeit mit dem Führungsteam ermittelt der CISO proaktiv die Risikotoleranz des Unternehmens und erstellt Analysen, um Veränderungen im Risikoprofil des Unternehmens aufzuzeigen.“
   Darüber hinaus habe er die passende Strategie und Sicherheitsrichtlinien zu entwickeln, um die vereinbarten Toleranzen einzuhalten. Auf dieser Stufe berieten CISOs den Vorstand auch über die Vorteile bzw. Risiken neuer Technologien wie KI. „Cybersicherheit ist ein fester Bestandteil der strategischen und operativen Planung!“
5. Stufe: Sicherheit durch Design
   In Unternehmen, welche die höchste Stufe erreichen, sei Sicherheit fest in der Organisation verankert. Nach den Grundsätzen von „Secure by Design“ hielten sich die Beschäftigten unternehmensweit an Sicherheitsprozesse und -richtlinien.
   Cybersicherheit sei damit die Grundlage aller Unternehmensaktivitäten. „Kontinuierliche Tests der Unternehmenssysteme werden erwartet, und die Teams sind gut in der Vorfalls- und Datenwiederherstellung geübt.“

Analyse des Reifegrads hilft auch, Lücken bei Kompetenzen und Rollenverständnis aufzudecken

„In Sachen Cybersicherheit gleicht kein Unternehmen dem anderen“, betont Dominguez. Jedes habe seine eigene technische Infrastruktur, Arbeitsweise und strategischen Ziele. Daher sei es nicht einfach, die Geschwindigkeit des Fortschritts im Cybersicherheits-Reifezyklus zu berechnen.

• Durch das Verständnis der Merkmale der einzelnen Stufen könnten CIOs und Führungskräfte jedoch die Entwicklung interner Kandidaten oder die Rekrutierung eines CISO mit den richtigen Fähigkeiten und Qualitäten für ihre spezifischen Bedürfnisse besser aufeinander abstimmen.

„Dies trägt dazu bei, einen Reifegrad zu erreichen, der der Risikotoleranz der eigenen Organisation entspricht.“ Die Analyse des Reifegrads helfe auch, Lücken bei Kompetenzen und dem Rollenverständnis zu finden. Dominguez abschließend: „Wer diese Lücken findet, kann sie schließen und somit eine höhere Cyberresilienz erreichen!“

Weitere Informationen zum Thema:

CHECK POINT, Check Point Team, 18.10.2024
A Closer Look at Q3 2024: 75% Surge in Cyber Attacks Worldwide

Commvault, 24.06.2024
New Commvault Survey Uncovers Five Capabilities that Helped Companies Recover Faster from Cyberattacks / Conducted in conjunction with GigaOm, global survey finds resiliency markers impact confidence, preparedness, and recoverability

datensicherheit.de, 08.06.2025
Jährlich droht die Ransomware: eco fordert konsequente Cyberresilienz-Strategien / Laut „Bundeslagebild Cybercrime 2024“ des BKA bleibt Ransomware die größte Bedrohung für Unternehmen und KRITIS

datensicherheit.de, 09.04.2025
Cyber-Resilienz statt bloße Cyber-Resistenz: 5 Tipps für mehr Widerstandsfähigkeit gegenüber -angriffen / Cyber-Angriffe sind für Unternehmen und Organisationen zur alltäglichen Bedrohung geworden

datensicherheit.de, 31.03.2025
Cyberresilienz: Empfehlungen für die Entscheiderebene / Die Führungsebene muss sowohl Compliance-Anforderungen als auch die Sicherheit des eigenen Unternehmen im Auge haben

datensicherheit.de, 19.02.2025
2025 als Jahr gute IT-Security-Vorsätze: Vier CISO-Prioritäten auf der Agenda / 44 Prozent der CISOs machtlos – zwischen 2023 und 2024 waren sie nicht in der Lage, Sicherheitsvorfälle rechtzeitig zu erkennen

datensicherheit.de, 25.09.2023
Handbuch für CISOs: Check Point gibt 8 Tipps zur Stärkung der Cyber-Resilienz / Die Tipps reichen von KI-gesteuerter Bedrohungsabwehr in Echtzeit bis hin zu verständlicher Kommunikation mit der Vorstandsebene