Yaroslav Astakhov - stock.adobe.

Tipp

Vor- und Nachteile der Zuordnung des CISO

An wen sollte ein CISO im Sinne der Cybersicherheit idealerweise berichten? Empfehlungen anhand von Erkenntnissen und Kennzahlen hinsichtlich der Strukturen in Unternehmen.

von
Zuletzt aktualisiert: 11 Mai 2026

Wem sollte der Chief Information Security Officer (CISO) unterstellt sein und an wen sollte die Position berichten? Das hängt davon ab, wen man fragt und was das Unternehmen mit der Einrichtung einer CISO-Position überhaupt erreichen will.

Für die meisten Unternehmen ist es jedoch von entscheidender Bedeutung, dass der CISO einem Geschäftsführer und nicht einem Technologievorstand unterstellt ist und dass zwischen dem CISO und dem CEO möglichst wenige Hierarchieebenen liegen. Untersuchungen zeigen, dass die Sicherheitsergebnisse – basierend auf objektiven und konkreten Kennzahlen – in Unternehmen tendenziell schlechter sind, in denen der CISO jemandem unterstellt ist, der weder der CEO ist noch direkt dem CEO unterstellt ist.

Gängige Berichtsstrukturen für CISO

CISOs unterstehen in der Regel entweder einer Führungskraft, wie dem CEO, COO (Chief Operating Officer) oder Chief Risk Officer (CRO), oder einer Führungskraft aus dem Technologiebereich – typischerweise dem CIO.

Die Entscheidung hängt davon ab, wie das Unternehmen Cybersicherheit betrachtet: als transformativen Geschäftsfaktor, als Geschäftsfaktor, der sich auf die Gewährleistung der Kontinuität und Integrität des Betriebs konzentriert, als weiteren Aspekt des Risikomanagements, als Compliance-Kriterium oder als Sicherheitsvorkehrung, die der Bereitstellung von IT-Dienstleistungen untergeordnet ist.

CISO berichtet CEO: Cybersicherheit als strategischer Faktor

Untersuchungen zeigen, dass Unternehmen, in denen CISOs direkt an den CEO berichten, in der Regel die besten Sicherheitsergebnisse erzielen.

Vorteile einer Berichtsstruktur vom CISO zum CEO

  • Positioniert Cybersicherheit als strategisch und operativ wichtige Unternehmenspriorität mit Unterstützung auf höchster Ebene.
  • Ermöglicht es dem CISO, Cyberrisiken direkt an die obersten Entscheidungsträger zu kommunizieren und Cybersicherheitsinitiativen an den Unternehmenszielen auszurichten.
  • Stellt sicher, dass Cybersicherheit nicht standardmäßig der IT-Zweckmäßigkeit untergeordnet wird.

Nachteile einer Berichtsstruktur vom CISO zum CEO

  • Ohne die richtigen Fähigkeiten – ausgeprägte unternehmerische Kompetenz, ausgefeilte Kommunikationsfähigkeiten und ein sicheres Verständnis der Unternehmensziele – wird ein CISO, der direkt dem CEO unterstellt ist, wahrscheinlich Schwierigkeiten haben.

CISO berichtet COO: Cybersicherheit als betriebliche Notwendigkeit

Ein CISO, der dem COO (Chief Operating Officer) unterstellt ist, verfügt in der Regel über erhebliche Autorität und Einfluss innerhalb des gesamten Unternehmens und trägt so zu starken Cybersicherheitsergebnissen bei.

Vorteile einer Berichtsstruktur vom CISO zum COO

Erkennt Cybersicherheit und Cyberresilienz als grundlegend für die Geschäftskontinuität und das Risikomanagement an.

  • Ermöglicht es dem CISO, die täglichen Geschäftsfunktionen direkt zu unterstützen und Cybersicherheitsinitiativen mit den Unternehmenszielen in Einklang zu bringen.
  • Stellt den CISO auf eine Stufe mit dem CIO und CTO, die in der Regel ebenfalls dem COO unterstellt sind, und minimiert so Interessenkonflikte, die entstehen, wenn die Sicherheitsabteilung der IT-Abteilung unterstellt ist.
  • Da zwischen dem CISO und dem CEO nur eine Position liegt, wird sichergestellt, dass Cyberrisikothemen die obersten Entscheidungsträger ohne Umwege erreichen.

Nachteile einer Berichtsstruktur vom CISO zum COO

  • Ohne die richtigen Fähigkeiten wird ein CISO, der direkt an den COO berichtet, wahrscheinlich Schwierigkeiten haben.
  • Da er keinen direkten Zugang zum CEO hat, muss sich der CISO auf den COO verlassen, um Cyberrisiken richtig zu vermitteln.

CISO berichtet an CRO: Cyberrisiken als Teil des Unternehmensrisikos

Einige Organisationen, die Cyberrisiken als eine Art von Unternehmensrisiko betrachten – ähnlich wie geopolitische Risiken, Innovationsrisiken und so weiter – lassen den CISO dem CRO (Chief Risk Officer) Bericht erstatten. Diese Berichtsstruktur ist nur dann effektiv, wenn die Organisation über ein gut strukturiertes und ausgereiftes Risikoprogramm verfügt und einen CRO hat, der direkt dem CEO unterstellt ist.

Vorteile einer Berichtsstruktur vom CISO zum CRO

  • Stellt die Herausforderungen, Bedenken und Probleme des CISO in den größeren Zusammenhang des Unternehmensrisikos, wo sie zumindest theoretisch hingehören.
  • Betrachtet Cyberrisiken als ein primäres Geschäftsthema und nicht als ein technisches Nischenthema.
  • Da nur eine Person zwischen dem CISO und dem CEO steht, wird sichergestellt, dass Cyberrisiken direkt an die obersten Entscheidungsträger weitergeleitet werden können – vorausgesetzt, der CRO berichtet direkt an den CEO.

Nachteile einer Berichtsstruktur vom CISO zum CRO

  • In einem noch unausgereiften Unternehmensrisikoprogramm kann es sein, dass der CRO unerfahren ist, über zu wenig Ressourcen verfügt, zu weit von der Unternehmensleitung entfernt ist oder sogar alle drei Punkte zutreffen.
  • In einigen Fällen kann eine unzureichende Nähe zum täglichen Geschäftsbetrieb die Wirksamkeit und den Einfluss des Cybersicherheitsprogramms untergraben.
  • Da der CISO keinen direkten Zugang zum CEO hat, muss er sich auf den CRO verlassen, um Cyberrisikothemen zu vermitteln.

CISO berichtet an CFO: Cybersicherheit, wie sie von den Wirtschaftsprüfern gefordert wird

Unternehmen, die Cybersicherheit als eine Anforderung betrachten, die von Wirtschaftsprüfern abgehakt werden muss, um eine Genehmigung zu erhalten, ordnen ihre CISOs – und oft auch ihre CIOs – dem CFO unter. In der Regel betrachten solche Unternehmen Cybersicherheit ebenso wie IT als Kostenfaktor, der wenig oder gar keinen strategischen Wert hat.

Vorteile einer Berichtsstruktur vom CISO zum CFO

  • Stellt sicher, dass das Unternehmen extern auferlegte Anforderungen, wie beispielsweise Compliance-Vorschriften, erfüllt und gleichzeitig die Kosten kontrolliert und begrenzt.

Nachteile einer Berichtsstruktur vom CISO zum CFO

  • Marginalisiert Cybersicherheit, indem sie als Kostenfaktor und Cyberrisikomanagement als reine Pflichtübung positioniert wird.
  • Orientiert sich eher an Compliance-basierter Cybersicherheit als an ausgefeilteren risikobasierten Strategien.
  • Der CISO hat keinen Zugang und keine Möglichkeit, dem CEO und dem Vorstand Cyberrisiken zu kommunizieren.
  • Ein CISO, der dem CFO unterstellt ist, hat oft einen äußerst begrenzten Zuständigkeitsbereich, möglicherweise ohne Personal oder sogar ohne eigenes Budget.

CISO berichtet an CIO: Cybersicherheit als Teil der IT

Historisch gesehen war es am häufigsten – aber in der Regel am wenigsten effektiv –, dass der CISO dem CIO unterstellt war, basierend auf der gefährlichen Fehlannahme, dass Cybersicherheit weitgehend eine technologische Funktion ist.

Diese Annahme ist unzutreffend, da der CISO nicht nur für die Verteidigung der technologischen Infrastruktur, sondern für den Schutz des gesamten Unternehmens verantwortlich ist. Ein erfolgreicher Angriff kann beispielsweise nicht nur die Netzwerke und Systeme eines Unternehmens beschädigen, sondern auch Milliarden von Euro an Marktkapitalisierung kosten und den Ruf der Organisation schädigen. Dies ist auch deshalb gefährlich, weil CIOs und CISOs oft konkurrierende Prioritäten haben. Wenn der CISO dem CIO unterstellt ist, hat der CIO letztlich ein Vetorecht über die Maßnahmen des CISO und kann dessen Agenda und Schwerpunkte kontrollieren.

Vorteile einer Berichtsstruktur vom CISO zum CIO

  • IT-Abteilungen verfügen in der Regel über beträchtliche und festgelegte Budgets, die der Cybersicherheit zugutekommen könnten.

Nachteile einer Berichtsstruktur vom CISO zum CIO

  • Stellt Cybersicherheit als Nischenproblem der IT und nicht als unternehmerisches Anliegen dar und schränkt den Einfluss des CISO ein.
  • Dies deutet oft darauf hin, dass das Unternehmen die Bereitstellung von Diensten mit unzureichender Sicherheit als akzeptabel ansieht – wenn auch oft nur vorübergehend –, wenn dadurch wichtige Fristen eingehalten werden können. Mit anderen Worten: Schnelles Handeln hat Vorrang vor verantwortungsvollem Handeln.
  • Dies führt zu einem Interessenkonflikt, wenn die Prioritäten der IT und der Cybersicherheit im Widerspruch zueinander stehen.
  • Der CISO hat keinen Zugang und keine Möglichkeit, Cyberrisiken direkt an den CEO und den Vorstand zu kommunizieren.
Abbildung 1: Wenn der CISO direkt an den CEO berichtet, steht dies für Unterstützung auf höchster Ebene für eine starke Cybersicherheit.
Abbildung 1: Wenn der CISO direkt an den CEO berichtet, steht dies für Unterstützung auf höchster Ebene für eine starke Cybersicherheit.

Wie man die richtige Position für den CISO wählt

Im Rahmen unserer Arbeit bei Nemertes Research wurden mehrere hundert Führungskräfte aus den Bereichen Sicherheit und Wirtschaft befragt, um herauszufinden, wem ihre CISOs unterstellt sind, und objektive Kennzahlen zum Erfolg der Cybersicherheit zu erheben. Bestimmte Berichtsstrukturen für CISOs stehen eindeutig und durchgängig in Zusammenhang mit besseren Ergebnissen.

Die Daten zeigen, dass Unternehmen mit den größten Erfolgen im Bereich Cybersicherheit in der Regel über CISOs verfügen, die direkt an die oberste Führungsebene berichten und nicht an CIOs oder Führungskräfte auf darunter liegenden Ebenen.

In vielen Fällen ist die Berichterstattung an den CEO beziehungsweise dem Geschäftsführer optimal. Cybersicherheit ist ein existenzielles Thema für jedes Unternehmen, das für seine Geschäftstätigkeit auf IT angewiesen ist – also für fast alle Unternehmen, unabhängig von ihrer Größe und Branche. Wenn der Leiter der Cybersicherheit dem Unternehmensleiter unterstellt ist, wird die Bedeutung dieses Themas unmissverständlich deutlich. Wenn ein Unternehmen groß genug ist, um einen CISO zu haben, sollte dieser CISO an die Unternehmensleitung berichten.

Dieser Artikel ist im Original in englischer Sprache auf Search Security erschienen.

Erfahren Sie mehr über Datenschutz und Compliance