Yaroslav Astakhov - stock.adobe.

Tipp

Wie sich die Rolle des CISO im Unternehmen geändert hat

Angesichts der sich beschleunigenden digitalen Transformation und des wachsenden regulatorischen Drucks ist die Bedeutung der Position CISO für Unternehmen deutlich gestiegen.

Jerald Murphy
von
Zuletzt aktualisiert:16 Okt. 2025

Der Chief Information Security Officer (CISO) war einst der Wächter über Netzwerke, Firewalls und Endgeräte – eine rein technische Autorität, deren Aufgabe es war, Cyberbedrohungen abzuwehren und die Einhaltung von Vorschriften sicherzustellen. Der traditionelle CISO arbeitete hauptsächlich hinter den Kulissen, oft isoliert innerhalb der IT-Abteilung, und konzentrierte sich in erster Linie auf die Reaktion auf Vorfälle und die operative Sicherheit.

Heute ist dieses Paradigma überholt. Mit der Beschleunigung der digitalen Transformation, dem zunehmenden regulatorischen Druck und der Umgestaltung von Geschäftsmodellen durch Technologien wie KI stehen Sicherheitsfragen in praktisch jedem Unternehmen an oberster Stelle. Der moderne CISO ist nicht mehr nur ein Verteidiger der Betriebsabläufe, sondern muss auch ein strategischer Partner der Geschäftsführung sein. Eine Führungskraft, die Cybersicherheitsanforderungen mit Unternehmensinnovation, Wachstum und Governance in Einklang bringt.

Wie sich die Rolle des CISO entwickelt hat

Die Veränderung der Rolle des CISO in den letzten Jahren war geradezu fundamental. Die folgenden grundlegenden Veränderungen zeigen, wie sich die Aufgaben des obersten Security-Verantwortlichen gewandelt haben.

Von reaktiver Verteidigung zu proaktivem Risikomanagement

Während frühe CISOs eine defensive Denkweise hatten und reaktiv auf Bedrohungen reagierten, entwickeln die CISOs von heute ihre Sicherheitsprogramme auf der Grundlage eines proaktiven Risikomanagementansatzes.

Herkömmliche Sicherheitsprogramme waren weitgehend ereignisgesteuert und reagierten auf aktive Bedrohungen, sobald diese auftraten. Heute müssen CISOs Bedrohungen vorhersehen und Security-Maßnahmen an den Risikomanagementstrategien des Unternehmens ausrichten. Das bedeutet nicht, dass für Sicherheit immer die erforderlichen finanziellen Mittel oder die erforderliche Aufmerksamkeit bereitgestellt werden. Es bedeutet jedoch, dass moderne CISOs sich der geschäftlichen Auswirkungen und Risiken jeder einzelnen Sicherheitsbedrohung genau bewusst sein müssen.

Vom technischen Experten zum Berater der Geschäftsleitung

Am wichtigsten ist vielleicht, dass sich der CISO von einem technischen Experten zu einem Berater auf Vorstandsebene wandeln musste. Von CISOs wird nun erwartet, dass sie mit der Geschäftsleitung und dem Vorstand zusammenarbeiten und komplexe Cyberrisiken in eine für das Unternehmen relevante Sprache übersetzen.

Dies erfordert nicht nur fundierte Kenntnisse im Bereich Sicherheit, sondern auch in den Zielen, Finanzen und Strategien des Unternehmens. Der CISO erhält nun Aufmerksamkeit auf Geschäftsführungsebene. Damit ändern sich auch die Anforderungen an die Kommunikation.

Vom IT-Betrieb bis zur Unternehmensentwicklung

Die Entwicklung eines CISO ist vollständig, wenn er die Rolle des IT-Betreibers hinter sich lässt und zum Wegbereiter für das Unternehmen wird. Anstatt als Kostenfaktor oder Innovationsbremse zu fungieren, muss der moderne CISO die sichere und risikobewusste Einführung neuer Technologien wie Cloud und KI sowie agiler Entwicklungsframeworks wie DevSecOps fördern.

Was treibt die Entwicklung des CISO voran?

Die CISOs von heute stehen an der Schnittstelle zwischen digitaler Innovation und Unternehmensrisiken, da Trends wie die digitale Transformation und der regulatorische Druck zusammenlaufen. Dies verändert die Cybersicherheit von einer technischen Funktion zu einer zentralen geschäftlichen Notwendigkeit.

In dieser neuen Landschaft müssen die Verantwortlichen für Cybersicherheit als strategische Ansprechpartner des Unternehmens agieren und nicht nur technische Bedrohungen, sondern auch rechtliche, ethische und Reputationsrisiken im Griff behalten.

Beachten Sie, wie die folgenden konvergierenden Trends den Umfang und die Erwartungen der Rolle des CISO neu definieren:

  • Digitale Transformation. Unternehmen digitalisieren ihre Abläufe und setzen auf Cloud, Edge und KI, wodurch neue Risiken entstehen, die eine frühzeitige Einbindung der Sicherheit erfordern.
  • Regulatorische Verantwortung. Vorschriften wie die DSGVO, NIS2, die KI-Verordnung (AI Act) oder auch DORA haben das regulatorische Umfeld verändert. Die Nichteinhaltung dieser Vorschriften birgt die Gefahr rechtlicher Konsequenzen, hoher Geldstrafen und Reputationsverluste. CISOs sind zu wichtigen Akteuren im Management regulatorischer Risiken geworden.
  • Cloud-Komplexität. Multi-Cloud- und Hybrid-Umgebungen erfordern neue Sicherheitsstrategien, die über herkömmliche perimeterbasierte Abwehrmaßnahmen hinausgehen.
  • KI und Automatisierung. Da KI zunehmend in fast alle Geschäftsprozesse integriert wird, müssen CISOs neue Angriffsflächen, Datenschutzbedenken und ethische Risiken bewerten.
  • Ökosysteme von Drittanbietern. Da Unternehmen zunehmend auf SaaS und andere externe Lieferanten und Partner angewiesen sind, wird das Risikomanagement von Drittanbietern zu einer wichtigen Aufgabe für CISOs.
  • Cyberrisiken verstehen. Cyberrisiken sind Geschäftsrisiken. Ransomware, Datenverstöße und Diebstahl geistigen Eigentums haben finanzielle und rufschädigende Folgen, sodass Cybersicherheit zu einem wichtigen Thema für Unternehmen geworden ist.

Bei CISOs gefragte Fähigkeiten

Um in dieser neuen Rolle erfolgreich zu sein, muss der moderne CISO umfassende Kompetenzen entwickeln, die technisches Fachwissen mit Geschäftssinn und Kommunikationsfähigkeiten verbinden.

Wie bisher benötigen CISOs fundierte Kenntnisse der grundlegenden Cybersicherheitskonzepte und ein Bewusstsein für neue Technologien. Da ihre Aufgaben zunehmend geschäftsorientiert werden, müssen sie außerdem die folgenden Kompetenzen entwickeln:

  • Strategische Planung.
  • Budgetierung.
  • Storytelling für Führungskräfte.
  • Regulatorische und rechtliche Kompetenz.
  • Unternehmensrisikomanagement und Governance.
  • Personalentwicklung.
  • Teambildung.
  • Krisenkommunikation.
  • Führung in Krisensituationen.

CISOs können sich nicht mehr hinter Security-Teams verstecken. Sie müssen vielmehr funktionsübergreifende Führungsqualitäten und Einflussnahme entwickeln und aktiv Beziehungen zu allen Unternehmensbereichen aufbauen, von den Geschäftsbereichen über die Personalabteilung bis hin zur Rechtsabteilung.

Fragen, die sich CISOs stellen sollten

CISOs, die ihre Entwicklung zu richtigen Unternehmenspartnern einschätzen möchten, sollten über Folgendes nachdenken:

  • Bin ich von Anfang an in die digitale Transformation und Produktplanung eingebunden?
  • Halte ich regelmäßig Präsentationen vor dem Vorstand oder der Geschäftsleitung?
  • Wie messe ich die Leistungsfähigkeit der Sicherheit in geschäftlicher Hinsicht (zum Beispiel Reduzierung von Cyberrisiken und ROI der Cybersicherheit)?
  • Habe ich starke Beziehungen zu Führungskräften aus den Bereichen Recht, Compliance, Risiko und Betrieb aufgebaut?
  • Sehen mich meine Kollegen als Innovationstreiber oder als Hindernis für Veränderungen?
  • Kenne ich die strategischen Geschäftsziele des Unternehmens? Ist meine Sicherheitsstrategie darauf abgestimmt?
  • Verstehe ich die Risikobereitschaft und -toleranz des Unternehmens und kann ich diese beeinflussen?
  • Ist Cybersicherheit in Fusionen und Übernahmen, Lieferantenauswahl und Produktentwicklung einbezogen?

Durch ehrliche Antworten auf diese Fragen können CISOs ihre strategische Reife einschätzen und proaktive Schritte unternehmen, um sich von technischen Sicherheitsbeauftragten zu einflussreichen Führungskräften zu entwickeln.

Erfahren Sie mehr über IT-Sicherheits-Management