Informations- und Cybersicherheit E-Book

Inhalt

Impressum

Kapitel 1: Einführung: Digitale Resilienz als Führungsaufgabe – Warum dieses Buch geschrieben wurde

1.1 Ziel und Struktur dieses Buches

1.2 Das fiktive Beispielunternehmen – Tecronix AG

1.2.1 Geschäftstreiber & IT-Abhängigkeiten

1.2.2 Kritische Assets und Geschäftsprozesse

Kapitel 2: Rolle und Verantwortung eines modernen CISOs

Kapitel 3: Security als Business Enabler – vom Kostenfaktor zur Wertschöpfung

3.1 Der Paradigmenwechsel: Vom Schutz zur Befähigung

3.2 Vier strategische Wirkdimensionen von Security

3.3 Methoden zur Positionierung von Security als Enabler

3.4 Handlungsempfehlungen

3.5 Referenzen

Kapitel 4: Security-Organisation und Stakeholder-Management

4.1 Aufbau einer modernen Security-Organisation

4.1.1 Leitprinzipien moderner Security-Organisationen

4.1.2 Zielbild: Das »Security Office« als Steuerzentrale der Unternehmenssicherheit

4.2 Organisatorische Verankerung der CISO-Funktion

4.3 Organisatorische Skalierung und Personalstruktur

4.4 Stakeholder Management

4.4.1 Stakeholder-Karte definieren: Wer ist entscheidend für Security-Erfolg?

4.4.2 Kommunikationsmodelle für unterschiedliche Zielgruppen

4.4.3 Erwartungsmanagement: Proaktiv statt reaktiv führen

4.4.4 Transparenz durch KPIs, Dashboards und Storytelling

4.5 Umsetzung bei der Tecronix AG

4.6 Referenzen

Kapitel 5: Security-Governance-Modelle

5.1 Begriffsabgrenzung und Zielsetzung

5.2 Zentrales Governance-Modell

5.3 Föderiertes Governance-Modell

5.4 Vergleich zentraler und föderierter Governance-Modelle

5.5 Hybride Governance-Modelle

5.6 Handlungsempfehlungen für CISOs bei der Etablierung effektiver Governance-Modelle

5.7 Fazit: Governance als strategischer Enabler

5.8 Umsetzung bei Tecronix AG

5.9 Referenzen

Kapitel 6: Security-Strategieentwicklung und Maturity Roadmapping

6.1 Elemente einer integrierten Security-Strategie

6.2 Der Weg zur Strategie: Vorgehensmodell für CISOs

6.2.1 Analysephase – Ausgangslage bewerten

6.2.2 Zielbilddefinition – Wohin soll die Sicherheitsfunktion sich entwickeln?

6.2.3 Gapanalyse & Initiativenbildung – Was fehlt, um das Ziel zu erreichen?

6.2.4 Roadmap-Entwicklung – Wie sieht der Umsetzungsplan aus?

6.2.5 Verankerung und Kommunikation – Wie wird die Strategie gelebt?

6.3 Maturity Roadmapping: Vom IST zum SOLL

6.3.1 Maturity Model Design: Steuerbarkeit durch Capabilities und Reifegrade

6.3.2 Roadmap-Strukturierung: Von Quick Wins zu struktureller Resilienz

6.3.3 Verankerung in der Unternehmenssteuerung

6.4 Umsetzung bei der Tecronix AG

6.5 Referenzen

Kapitel 7: Vergleich moderner Cybersecurity-Frameworks – NIST CSF 2.0, ISO/IEC 27001:2022, CIS Controls v8

7.1 Framework-Profile im Überblick

7.2 Vergleich nach Schwerpunkten

7.3 Auswahlkriterien für die Framework-Nutzung

7.4 Best Practices für den Framework-Einsatz

7.5 Umsetzung bei der Tecronix AG

7.6 Referenzen

Kapitel 8: Risikomanagement mit dem FAIR-Modell – Quantifizierung digitaler Risiken

8.1 Grundlagen des FAIR-Modells

8.2 Der FAIR-Analyseprozess in der Praxis

8.3 FAIR im Kontext der Unternehmenssteuerung

8.4 Grenzen und Herausforderungen des FAIR-Modells

8.5 Anwendung bei der Tecronix AG

8.6 Referenzen

Kapitel 9: Interne Kontrollsysteme (IKS) & Audit-Readiness

9.1 Was ist ein Internes Kontrollsystem (IKS)?

9.2 Die fünf Kernelemente eines CISO-orientierten IKS

9.3 IKS-Typen in der Praxis

9.4 Audit-Readiness als Dauerzustand

9.5 Integration von IKS und DevSecOps – »Controls as Code«

9.6 Kontrollkataloge – Strategische Auswahl für ein CISO-orientiertes IKS

9.7 CISO-Metriken für IKS und Audit-Readiness

9.8 Umsetzung bei der Tecronix AG

9.9 Referenzen

Kapitel 10: DSGVO, TISAX, NIS2, KRITIS-VO, DORA – Anforderungen und Umsetzung in modernen Sicherheitsprogrammen

10.1 DSGVO – Datenschutz-Grundverordnung

10.2 TISAX – Trusted Information Security Assessment Exchange

10.3 NIS2 – EU-Richtlinie zur Netz- und Informationssicherheit

10.4 KRITIS-VO – Verordnung zur Bestimmung Kritischer Infrastrukturen

10.5 DORA – Digital Operational Resilience Act

10.6 Fazit

10.7 Referenzen

Kapitel 11: Drittparteien- und Lieferantenrisikomanagement

11.1 Ziele und Prinzipien

11.2 TPRM-Lifecycle-Modell

11.3 Werkzeuge und Metriken

11.4 Umsetzung bei der Tecronix AG

Kapitel 12: Zero-Trust-Architektur für hybride Infrastrukturen

12.1 Einleitung

12.1.1 Herausforderungen traditioneller Sicherheitsmodelle

12.1.2 Ziele und Nutzen von Zero Trust

12.2 Grundprinzipien von Zero Trust

12.3 Architekturübersicht

12.3.1 Zielarchitektur und Designprinzipien

12.3.2 Rollenmodell: PDP, PEP, Policy Engine

12.3.3 Interaktionsmodell: Benutzer, Geräte, Anwendungen, Daten

12.3.4 High-Level Referenzarchitektur

12.3.5 Integration in bestehende Infrastruktur

12.4 Technologische Komponenten

12.4.1 Identitäts- und Zugriffsmanagement (Identity & Access Management)

12.4.2 Gerätezustand und Endpoint Security

12.4.3 Netzwerk- und Anwendungskontrollen

12.4.4 Datenzugriffs- und Klassifizierungsmechanismen

12.4.5 Protokollierung, Monitoring und Detection

12.5 Implementierungsstrategie

12.5.1 Reifegradmodell und Initialbewertung

12.5.2 Phasenmodell der Einführung

12.5.3 Governance, Rollen und Verantwortlichkeiten

12.5.4 Erfolgsfaktoren und typische Stolpersteine

12.5.5 Messung des Fortschritts

12.5.6 Use Cases und Szenarien

12.5.7 Risiken und Herausforderungen

12.5.8 KPIs und Erfolgsmetriken

12.5.9 Fazit und Handlungsempfehlungen

12.6 Referenzen

Kapitel 13: Identitäts- und Zugriffs­management im Zeitalter von Zero Trust – IAM, PAM und CIEM in modernen Unternehmen

13.1 Strategische Bedeutung von IAM

13.2 Komponenten eines modernen IAM-Ökosystems

13.3 Zugriffskontrollmodelle

13.4 Privileged Access Management (PAM)

13.5 Cloud Infrastructure Entitlement Management (CIEM)

13.6 CIEM in der Praxis

Kapitel 14: Cloud Security (AWS, Azure, SaaS-Modelle)

14.1 Strategischer Kontext moderner Cloud-Sicherheit

14.2 Cloud Security Governance und Architektur

14.3 AWS-spezifische Sicherheitsaspekte

14.4 Azure-spezifische Sicherheitsaspekte

14.5 SaaS Security Governance – Strategien und Kontrollen für Microsoft 365, Salesforce & Co.

14.6 Metriken und KPIs für Cloud Security

14.7 Cloud Security Governance und Architektur – Praxisbeispiel Tecronix AG

Kapitel 15: Secrets Management & Credential Hygiene

15.1 Einleitung

15.2 Strategische Bedeutung: Secrets als Hochrisiko-Angriffsvektor

15.3 Grundlagen: Was zählt als »Secret« – und wie entstehen daraus Sicherheitsrisiken?

15.4 Technische und organisatorische Kontrollmaßnahmen

15.4.1 Architektur eines Secrets Management Stack

15.5 Operative Best Practices für Security Teams

15.5.1 Für CISOs und Architekten

15.5.2 Für DevOps- und Engineering-Teams

15.5.3 Best Practices je Secret-Typ

15.6 Credential Hygiene – Beyond Secrets

15.7 Governance & Audit

15.7.1 Kontrollfragen für interne Audits

15.7.2 Maturity-Modell für Secrets Management

15.8 Fazit: Geheimnisse brauchen System – nicht Gewohnheit

15.9 Umsetzung bei der Tecronix AG: Enterprise-Ready Secrets Management in der Praxis

15.10 Referenzen

Kapitel 16: Moderne Application Security – Strategien für den CISO

16.1 Strategische Rolle der Application Security

16.2 Kernbausteine der Application Security

16.2.1 Static Application Security Testing (SAST)

16.2.2 Dynamic Application Security Testing (DAST)

16.2.3 Runtime Application Self-Protection (RASP)

16.2.4 Software Composition Analysis (SCA)

16.2.5 Software Bill of Materials (SBOM)

16.3 Governance & KPIs im Application Security Programm

16.4 Integration in DevSecOps

16.5 Reifegradmodell für Application Security

16.6 Fazit: Application Security als strategische Disziplin

16.7 Umsetzung bei der Tecronix AG

16.8 Referenzen

Kapitel 17: Aufbau und Betrieb eines Security Operations Centers (SOC)

17.1 Strategische Zielsetzung eines SOC

17.2 Typologie von SOC-Modellen

17.3 Aufbauphasen eines SOC

17.4 Betrieb und kontinuierliche Verbesserung

17.5 Governance und Steuerung

17.5.1 Strategisches Operating Model

17.5.2 Steuerungs- und Kommunikationsstrukturen

17.5.3 Compliance und Audit Readiness

17.5.4 Risiko- und Performance-Monitoring

17.5.5 Integration in das Unternehmens-ISMS

17.6 Wirtschaftlichkeit und Return on Security Investment (ROSI)

17.6.1 Kostenstrukturen eines SOC

17.6.2 Nutzenkategorien

17.6.3 Return on Security Investment (ROSI) Modellierung

17.6.4 Wirtschaftliche Optimierungsstrategien

17.6.5 Kommunikation mit Management und Controlling

17.7 Ausblick: SOC der Zukunft

17.7.1 AI- und ML-gestützte Anomalie-Erkennung

17.7.2 Automatisierung auf allen Ebenen

17.7.3 Threat-led SOC

17.7.4 Integration von OT-/ICS-Umgebungen

17.7.5 Relevante Modelle zur Reifegradmessung

17.7.6 Fazit

Kapitel 18: SIEM, UEBA, SOAR – Einsatz und Optimierung

18.1 Einleitung

18.2 SIEM – Fundament der Security Monitoring Architektur

18.3 UEBA – Frühwarnsystem für untypisches Verhalten

18.4 SOAR – Automatisierung & Orchestrierung der Reaktion

18.5 Referenzen

Kapitel 19: Detection Engineering und Threat Hunting im modernen Security Operations Framework

19.1 Detection Engineering: Prinzipien & Praxis

19.2 Threat Hunting: Proaktive Erkennung jenseits der Alarme

19.3 Detection Engineering & Threat Hunting bei Tecronix AG

19.4 Referenzen

Kapitel 20: Incident Response

20.1 Governance & Organisatorischer Rahmen

20.2 Incident Response Lifecycle: NIST, ENISA und BSI im Vergleich

20.3 Regulatorische Anforderungen an Incident Response

20.3.1 Europäische und nationale Rechtsgrundlagen

20.3.2 Branchenspezifische Regulierungen

20.4 Kommunikation, Reporting & Reputationsmanagement

20.5 Kontinuierliche Verbesserung & Resilienzaufbau

20.5.1 KPIs & Metriken

20.5.2 Red Teaming & Purple Teaming

20.5.3 Tabletop Exercises

20.6 Incident Response bei Tecronix AG

20.7 Referenzen

Kapitel 21: Cyber Threat Intelligence (CTI)

21.1 Einleitung

21.2 Begriff und Zielsetzung von Cyber Threat Intelligence

21.3 CTI-Arten

21.4 CTI-Prozessmodell

21.5 Datenquellen und Analyseverfahren

21.5.1 Datenquellenkategorien

21.5.2 Analyseverfahren

21.6 Integration in Sicherheitsprozesse

21.7 CTI-Plattformen, Standards und Austauschformate

21.7.1 STIX (Structured Threat Information Expression)

21.7.2 TAXII (Trusted Automated Exchange of Indicator Information)

21.7.3 MISP (Malware Information Sharing Platform & Threat Sharing)

21.7.4 Threat Intelligence Platforms (TIP)

21.8 Regulatorische Anforderungen an CTI

21.8.1 ISO/IEC 27001 (2022-Revision) – A.5.7 Threat Intelligence

21.8.2 NIS2-Richtlinie (EU 2022/2555) – Anforderungen an Threat Intelligence

21.8.3 TISAX (Trusted Information Security Assessment Exchange)

21.8.4 KRITIS-VO (DE) und IT-Sicherheitsgesetz 2.0

21.8.5 DORA (Digital Operational Resilience Act)

21.9 Einführung eines CTI-Programms

21.10 Fazit und Ausblick

21.11 Referenzen

Kapitel 22: Business Continuity & Disaster Recovery (BC/DR)

22.1 Strategische Bedeutung von BC/DR im Unternehmenskontext

22.2 Frameworks & Standards für Business Continuity & Disaster Recovery

22.3 Komponenten eines modernen BC/DR-Programms

22.3.1 Business Impact Analyse (BIA)

22.3.2 Risikoanalyse im Kontext von BC/DR

22.3.3 Wiederherstellungsstrategien

22.3.4 Notfallpläne (Contingency & Response Plans)

22.3.5 Governance & Dokumentation im BC/DR-Programm

22.4 Die Rolle des CISO

22.5 KPIs & Metriken

22.6 Umsetzung bei der Tecronix AG

22.7 Referenzen

Kapitel 23: Schulungen und Qualifizierungsstrategien im modernen Sicherheitsprogramm

23.1 Zielgruppen und Rollen

23.2 Aufbau eines rollenbasierten Schulungsprogramms

23.3 Integration in das Sicherheitsprogramm

23.4 Framework-Referenzen

23.5 Fazit

23.6 Referenzen

Kapitel 24: Künstliche Intelligenz im Kontext der Cybersecurity

24.1 Bedrohungen durch KI – Offensive Nutzung durch Angreifer

24.1.1 Deepfake- & Voice-Spoofing – KI-gestützte Täuschungsangriffe

24.1.2 KI-generiertes Phishing

24.1.3 AI-gestützte Malware-Evasion

24.1.4 Data Poisoning

24.1.5 Model Inversion & Membership Inference

24.2 Defensive AI – Einsatz im Security Stack

24.2.1 SIEM/XDR – KI-gestützte Alert-Priorisierung und Rauschentlastung

24.2.2 UEBA – User and Entity Behavior Analytics

24.2.3 SOAR – Automatisierung mit LLMs für kontextbasierte Reaktion

24.2.4 Threat Intelligence – Automatisierte Auswertung von Reports & Feeds

24.3 Governance, Risk & Compliance für AI

24.3.1 Relevante Rahmenwerke und Standards

24.3.2 CISO-Aufgaben in AI Governance

24.4 Operationalisierung: AI Security Engineering

24.4.1 Training – Schutz vor manipulierten oder unzuverlässigen Daten

24.4.2 Deployment – Schutz vor Missbrauch im Betrieb

24.4.3 Monitoring – Kontinuierliche Überwachung und Anomalieerkennung

24.4.4 Testing & Red Teaming – Offensive Tests gegen ML-Systeme

24.4.5 Fazit

24.5 Metriken & KPIs für AI-Security

24.6 Fazit und Ausblick

24.7 Referenzen

Kapitel 25: Post-Quantum Kryptographie

25.1 Stand der Technik 2026 – Algorithmen, Standards, Protokolle

25.1.1 NIST-Standards

25.1.2 Protokollintegration (IETF/Industrie)

25.1.3 Leitlinien & Roadmaps

25.2 Technik-Essenzen für CISOs

25.3 Häufige Fallstricke

25.4 Migrationsplan (CISO-Roadmap 36 Monate)

25.4.1 Programmaufbau, Governance und Arbeitsstränge

25.4.2 Phasenmodell: 0–6 / 6–18 / 18–36 Monate

25.4.3 Phase 6–18 Monate – Hybride Einführung & Härtung

25.4.4 Phase 18–36 Monate – Skalierung & PQC-only-Domänen

25.5 Metriken & KPIs – CISO-/Board-taugliche Erfolgskennzahlen für PQC-Programme

25.6 Fazit

25.7 Referenzen

Glossar

Marcel Küppers

Informations- und Cybersicherheit

Ein strategischer Praxis-Leitfaden für moderne CISOs und Security-Entscheider

Impressum

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen National­bibliografie; detaillierte bibliografische Daten sind im Internet über https://portal.dnb.de/opac.htm abrufbar.

ISBN 978-3-7475-0681-31. Auflage 2026

www.mitp.de

E-Mail: [email protected]: +49 7953 / 7189 - 079Telefax: +49 7953 / 7189 - 082

© 2026 mitp Verlags GmbH & Co. KG, Augustinusstr. 9a, DE 50226 Frechen

Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften.

Dieses E-Book verwendet das EPUB-Format und ist optimiert für die Nutzung mit Apple Books auf dem iPad von Apple. Bei der Verwendung von anderen Readern kann es zu Darstellungsproblemen kommen.

Der Verlag räumt Ihnen mit dem Kauf des E-Books das Recht ein, die Inhalte im Rahmen des geltenden Urheberrechts zu nutzen. Dieses Werk, einschließlich aller seiner Teile, ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Dies gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Der Verlag schützt seine E-Books vor Missbrauch des Urheberrechts durch ein digitales Rechtemanagement. Bei Kauf im Webshop des Verlages werden die E-Books mit einem nicht sichtbaren digitalen Wasserzeichen individuell pro Nutzer signiert. Bei Kauf in anderen E-Book-Webshops erfolgt die Signatur durch die Shopbetreiber. Angaben zu diesem DRM finden Sie auf den Seiten der jeweiligen Anbieter.

Lektorat und Sprachkorrektorat: Katja VölpelCovergestaltung: Christian KalkertBildnachweis: © Gagal / stock.adobe.com electronic publication: Petra Kleinwegen

Kapitel 1: Einführung: Digitale Resilienz als Führungsaufgabe – Warum dieses Buch geschrieben wurde

Die Rolle der Informationssicherheit hat sich in den letzten Jahren fundamental gewandelt. In einer Ära, in der digitale Geschäftsmodelle zur Norm werden, Cyberbedrohungen zunehmend geopolitische Ausmaße annehmen und regulatorische Anforderungen exponentiell wachsen, ist die klassische Vorstellung von »IT-Sicherheit« als rein technischer Schutzmechanismus obsolet geworden. Sicherheit ist heute ein strategisches Steuerungselement – ein differenzierender Wettbewerbsfaktor, Risikopuffer und Innovationsmotor zugleich.

Dieses Kompendium richtet sich in erster Linie an Chief Information Security ­Officers (CISOs) und alle Entscheidungsträger, die moderne Sicherheitsprogramme gestalten, verantworten oder operationalisieren. Es vereint strategische Per­spektiven, operative Best Practices und regulatorische Orientierungshilfen, um den komplexen Herausforderungen eines integrierten Cybersecurity-Managements gerecht zu werden.

Der moderne CISO ist nicht länger nur technischer Sicherheitsverantwortlicher, sondern ein Business Leader mit tiefem Verständnis für Geschäftsprozesse, Risikoportfolios und Unternehmensgovernance. Die Fähigkeit, Cybersicherheitsmaßnahmen in unternehmerischen Mehrwert zu übersetzen, ist zum zentralen Erfolgsfaktor avanciert. Sicherheit darf nicht mehr als Kostenfaktor wahrgenommen werden, sondern als Enabler für Wachstum, Innovation und Resilienz.

1.1 Ziel und Struktur dieses Buches

Digitale Resilienz beschreibt die Fähigkeit eines Unternehmens, auf digitale Bedrohungen nicht nur zu reagieren, sondern ihnen proaktiv zu begegnen, daraus zu lernen und gestärkt hervorzugehen. Diese Fähigkeit ist heute ein entscheidender Wettbewerbsfaktor

Doch wie operationalisiert man diesen abstrakten Begriff? Welche organisatorischen Modelle, technischen Architekturen, Rollenprofile und Metriken braucht es, um echte Resilienz zu gestalten? Hier kommt der CISO ins Spiel.

Dieses Buch liefert praxisnahe Antworten auf Fragen wie:

Die Kapitel sind modular aufgebaut und folgen dem Lebenszyklus einer modernen Sicherheitsorganisation – von Strategie über Architektur und Betrieb bis zu Kultur und Kommunikation. Sie enthalten Frameworks, Metriken, Architekturansätze, Playbooks und Praxisbeispiele, die direkt anwendbar sind. Dieses Buch ist kein theoretisches Kompendium. Es ist ein Arbeitsmittel, ein Kompass und ein Sparrings­­partner für die anspruchsvollste Führungsrolle der digitalen Gegenwart: die des modernen CISO.

Hinweis

Aus verlagstechnischen Gründen konnten nicht alle Themen bzw nicht in voller Tiefe berücksichtigt werden – dazu zählen unter anderem Security Awareness Programme, Sicherheitskultur und Security Champions Programme, OT-Security oder IoT-Security. In einigen Kapiteln wird explizit auf die Webseite des Buches (www.cycademy.de/ciso-buch) hingewiesen, auf der sich ergänzende Kapitel, vertiefende Analysen und unterstützende Materialien befinden.

Um die im Buch behandelten Konzepte greifbar und praxisnah zu veranschaulichen, begleitet uns durch viele Kapitel ein fiktives Unternehmen: die Tecronix AG. Sie steht exemplarisch für die Realität vieler Industrieunternehmen, die sich mit ähnlichen Herausforderungen konfrontiert sehen: steigende regulatorische Anforderungen, zunehmende IT-/OT-Konvergenz, wachsende Angriffskomplexität und zugleich hoher Innovationsdruck durch Digitalisierung und Globalisierung.

Die Tecronix AG ist keine theoretische Konstruktion, sondern bewusst so modelliert, dass sie typische Konfliktlinien, technologische Abhängigkeiten und sicherheitsstrategische Entscheidungen sichtbar macht. Ihre Geschäftsprozesse, Systemlandschaften und Risikoprofile dienen als roter Faden für die Umsetzung der in diesem Buch vorgestellten Methoden, Architekturen und Steuerungsmodelle.

1.2 Das fiktive Beispielunternehmen – Tecronix AG

Die Tecronix AG – ein Unternehmen mit 6.000 Mitarbeitenden, einer hybriden IT-Landschaft, Cloud-first-Strategie, produktionsnaher OT und weltweiter Marktpräsenz – ist ein exemplarisches Abbild der Herausforderungen, vor denen viele deutsche Mittelständler heute stehen. Das Unternehmen muss seine Sicherheitsarchitekturen transformieren, regulatorische Anforderungen (DSGVO, NIS2, ­TISAX) erfüllen, eine fragmentierte Tool-Landschaft konsolidieren und gleichzeitig seine Innovationsfähigkeit durch IIoT- und Cloud-Initiativen erhalten.

1.2.1 Geschäftstreiber & IT-Abhängigkeiten

Die Sicherheitsstrategie der Tecronix AG ist unmittelbar mit den Geschäftszielen und Wertschöpfungsketten des Unternehmens verknüpft. Folgende übergeordnete Business Driver wirken direkt auf Sicherheitsbedarfe und IT-Abhängigkeiten:

1.2.2 Kritische Assets und Geschäftsprozesse

Die geschäftskritische Infrastruktur der Tecronix AG ist hochgradig digitalisiert und global vernetzt. Folgende Asset-Klassen und Prozesse stellen besonders hohe Schutzbedarfe:

Vertiefung in der Praxis: Die CISO-Masterclass

Dieses Buch bildet die Grundlage für eine umfassende CISO Masterclass. In dieser Weiterbildung werden alle Themenfelder des Kompendiums – von Governance über Zero Trust bis Detection Engineering – in intensiven Praxis-Sessions, Fallstudien und interaktiven Übungen vertieft und in 1:1 Coaching Sessions am eigenen Unternehmen angewendet.

Die Masterclass richtet sich an CISOs, Sicherheitsarchitekten und Programmverantwortliche, die ihre Organisation strategisch und operativ auf das nächste Level heben wollen.

Mehr Informationen und Anmeldemöglichkeiten unter:

www.cycademy.de/ciso-masterclass

Kapitel 2: Rolle und Verantwortung eines modernen CISOs

Die Rolle des Chief Information Security Officer (CISO) entstand in vielen Unternehmen ursprünglich als Reaktion auf technologische Gefahren – Viren, Netzwerkwürmer, interne Regelverletzungen. Der erste bekannte CISO der Welt wurde 1994 bei Citigroup nach einem massiven Hack eingesetzt – seine Aufgabe: digitale Katastrophen vermeiden. In der Anfangsphase war die Rolle:

CISOs agierten oft als reaktive Problemlöser mit starkem Technikfokus – ohne Einfluss auf strategische Entscheidungsprozesse oder Geschäftsinnovationen.

In Zeiten digitaler Transformation, vernetzter Wertschöpfung und permanent verfügbarer Cloud-Infrastrukturen ist die Informationssicherheit nicht nur ein IT-Thema, sondern ein unternehmenskritischer Erfolgsfaktor.

Moderne CISOs sind keine reinen Technologieverwalter mehr. Sie sind Führungskräfte mit einem breiten Verantwortungsprofil, das von Governance über Security Engineering bis zur Krisenkommunikation reicht. Sie agieren an der Schnittstelle zwischen Geschäftsstrategie, technischer Komplexität und regulatorischen Anforderungen – und müssen dabei sowohl die technische als auch wirtschaftliche Sprache fließend beherrschen.

Mehrere Entwicklungen haben die CISO-Rolle grundlegend transformiert:

IT ist heute kein Hilfsmittel – sie ist das Geschäft. Ob Plattformökonomie, Cloud-ERP oder vernetzte Produktionsanlagen – jede Schwäche in der Cyber-Resilienz gefährdet das Geschäftsmodell selbst.

Vom Script-Kiddie zum APT: Bedrohungen sind heute hochprofessionell, geopolitisch und finanziell motiviert. Ransomware-Angriffe auf mittelständische Produzenten können innerhalb von Stunden Millionenverluste verursachen.

Datenschutz-Grundverordnung (DSGVO), NIS2, DORA, KRITIS-VO, TISAX – die Anforderungen steigen, und Sicherheitsverantwortung ist nun rechtlich delegiert und haftbar.

Kunden, Partner und Investoren erwarten digitale Vertrauenswürdigkeit – Security-by-Design, Zertifizierungen und Transparenz.

Diese Entwicklungen machen aus dem CISO einen aktiven Gestalter von Geschäftssicherheit, Innovationsfähigkeit und digitalem Vertrauen – nicht mehr nur einen technischen Wächter.

Zu den klassischen Verantwortungsbereichen eines modernen CISOs gehören:

Moderne CISOs berichten heute nicht mehr zwingend an den CIO, sondern an:

Dies signalisiert: Cybersecurity ist kein IT-Problem, sondern ein betriebswirtschaftliches und strategisches Risiko, vergleichbar mit Rechtsrisiken, Reputationsschäden oder Complianceverstößen.

Obwohl Bedrohungslage, Cloud-Technologie und Regulierung global sind, wird die Rolle des CISO nicht einheitlich verstanden. Sie ist stark von kulturellen Faktoren, Regulierungsumfeld, Corporate Governance-Traditionen und Branchenstandards geprägt.

Drei exemplarische Einflussfaktoren:

1. Rechtlicher Rahmen:

In den USA kann der CISO bei einem Sicherheitsvorfall persönlich haftbar gemacht werden (siehe SEC-Regelung 2023). In der EU hingegen steht die kollektive Verantwortung stärker im Fokus (z. B. NIS2-Direktive: Verantwortung der Geschäftsleitung).

2. Kulturelle Führungstraditionen:

In angelsächsischen Ländern ist es üblich, den CISO auf CxO-Ebene mit Budgethoheit anzusiedeln. In vielen mitteleuropäischen Unternehmen agiert der CISO dagegen noch oft unterhalb der CIO-Ebene, mit eingeschränktem Einfluss.

3. Organisationsreife und Marktdruck:

In regulierten Branchen wie Finanzwesen oder Pharma ist die CISO-Rolle global meist hoch entwickelt. In industriellen Mittelstandsbranchen (z. B. Maschinenbau) variieren Rollenbild und Ressourcen deutlich – insbesondere außerhalb der Headquarter-Zone.

Tabelle 2.1 stellt die typische CISO-Verortung und einige Besonderheiten des Rollenverständnisses in den Schlüsselregionen dar.

Region

Typische CISO-Verortung

Besonderheiten

DACH

Oft unterhalb CIO, steigender Trend zu CEO-Nähe

Traditionell technikorientiert, starke DSGVO-Fixierung

USA

CISO auf C-Level oder direkt unter CEO

Hoher Druck durch Regulierer (SEC, FTC), starke Business-Fokussierung

Frankreich

CISO oft dem Chief Risk Officer (CRO) unterstellt

Fokus auf Risikointegration, Datenschutzbehörden sehr aktiv

UK

CISO direkt an Board oder über Group Risk

Sehr starke Ausrichtung auf GRC-Inte­gration und Business Enablement

Asien

CISO selten formell etabliert; starke Hierarchie

Entscheidungsträger sind CIOs, Security »integriert« in IT

Tab. 2.1: Wahrnehmung des CISOs in Schlüsselregionen

Die Bedeutung und strategische Positionierung des CISOs sind auch entscheidende Faktoren, die das Vergütungspaket stark beeinflussen. Auch hier gibt es international gesehen große Diskrepanzen. Einen guten Überblick bietet der Global Chief Information Security Officer Organization and Compensation Survey1.

Die heutige CISO-Rolle ist kein monolithischer Titel, sondern ein multifunktionales Rollenbündel. Je nach Unternehmensstruktur, Bedrohungslage, Reifegrad und regulatorischem Umfeld muss der CISO sich kontinuierlich zwischen vier Rollen bewegen – mit hoher Kontextsensitivität und Führungsstärke.

1. Technologe – Architekt der Resilienz

In seiner Rolle als Technologe begreift der CISO Sicherheitsarchitektur nicht als eine lose Sammlung von Tools oder punktuellen Maßnahmen, sondern als ein kohärentes, steuerbares Gesamtsystem. Dieses wirkt über sämtliche Technologie-Schichten hinweg – von Netzwerken und Multi-Cloud-Umgebungen über Identitäts- und Datenmanagement bis hin zu modernen Applikationslandschaften. Ziel ist es, eine widerstandsfähige Architektur zu schaffen, die Sicherheitsziele messbar unterstützt und dynamisch auf neue Bedrohungsszenarien reagiert.

Die Rolle des CISO verlangt in diesem Kontext kontinuierliche, technologiegestützte Selbstreflexion:

Die technologische Realität heutiger Unternehmen ist geprägt von rasant wachsender Komplexität: Kubernetes-basierte Workloads, hybride und Multi-Cloud-Infrastrukturen, stark vernetzte SaaS-Landschaften und der Betriebstechnologie-Sektor (OT) erzeugen ein hochdynamisches, verteiltes Systemgefüge. In diesem Spannungsfeld muss der CISO nicht nur über tiefes technisches Verständnis verfügen, sondern auch in der Lage sein, diese Komplexität auf strategische Steuerungspunkte zu abstrahieren.

Die Kunst liegt darin, operative Resilienz mit architektonischer Klarheit zu verbinden – durch Prinzipien wie deklarative Sicherheit, Policy-as-Code, Identitätszen­trierung und verteidigungsfähige Netzwerke. Nur wer Technik und Strategie integriert denkt, kann Sicherheitsarchitekturen schaffen, die nicht nur heutigen, sondern auch zukünftigen Bedrohungen standhalten.

2. Risikomanager – Lotse im Entscheidungsozean

Als Risikomanager agiert der CISO als Übersetzer zwischen technischer Komplexität und geschäftlicher Entscheidungsfähigkeit. Seine Kernaufgabe besteht darin, Sicherheitsrisiken nicht isoliert zu betrachten, sondern diese in den Kontext strategischer und operativer Unternehmensziele zu stellen. Hierzu setzt er auf strukturierte, standardbasierte Risikoanalyse-Methoden – etwa FAIR (Factor Analysis of Information Risk) für quantitative Modelle, ISO/IEC 27005 für risikobasierte Steuerung oder das NIST Risk Management Framework (RMF) zur Integration in unternehmensweite Governance-Strukturen.

Im Zentrum steht nicht nur die Identifikation und Bewertung von Bedrohungen, sondern die Fähigkeit, Entscheidungsträgern belastbare, nachvollziehbare und wirtschaftlich sinnvolle Handlungsempfehlungen bereitzustellen. Dabei zählen nicht nur CVSS-Scores, sondern insbesondere:

Die zentrale Herausforderung liegt darin, technische Fachexpertise in konsistente, wiederholbare und entscheidungsfähige Risikobilder zu überführen – in einem Umfeld, das geprägt ist von Unsicherheit, schnellen Bedrohungszyklen und komplexen Abhängigkeiten. Der CISO muss Risikomanagement als Business-Funk­tion etablieren, die genauso robust und verlässlich agiert wie Finanzen oder Supply Chain – mit klar definierten Schwellenwerten, Eskalationspfaden und Governance-Prozessen.

Beispiel

Ein kritisches SAP-System zur Steuerung der globalen Lieferkette weist eine ungepatchte Schwachstelle mit CVSS 10 auf. Der CISO isoliert die technische Lücke nicht, sondern analysiert das Geschäftsrisiko im Zusammenhang: Welche Umsatzströme hängen von diesem Modul ab? Welche Sicherheitskontrollen (z. B. Netzsegmentierung, Monitoring) wirken kompensierend? Welche Angriffsvektoren sind realistisch? Er modelliert das Risiko auf Basis eines FAIR-Modells, quantifiziert potenzielle Verlustszenarien in Euro und legt dem CFO eine klar strukturierte Entscheidungsunterlage mit drei Alternativszenarien vor – jeweils mit zugehörigen Kosten, Restrisiken und Umsetzungshorizonten.

3. Führungskraft und Teambuilder

In seiner Rolle als Führungskraft steht der CISO vor einer doppelten Herausforderung: Er muss einerseits technologisch hochqualifizierte Spezialistenteams wie Detection Engineers, Cloud Security Architects oder IAM-Strategen führen – andererseits ist er verantwortlich für die Gestaltung und Steuerung tiefgreifender organisationaler Veränderungen in Richtung eines resilienten, sicherheitsbewussten Unternehmens.

Der moderne CISO agiert dabei nicht als operativer Dirigent im Tagesgeschäft, sondern als architektonischer Impulsgeber für Struktur, Kultur und Kompetenzaufbau. Er versteht, dass nachhaltige Sicherheit nicht allein durch Technologie entsteht, sondern durch menschenzentrierte Führungsmodelle und eine wirksame Veränderungsarchitektur.

Konkret bedeutet das:

Die besondere Schwierigkeit liegt in der Führung durch Einfluss statt durch Hierarchie. Der CISO agiert oft ohne disziplinarische Weisungsbefugnis, muss aber dennoch kulturellen Wandel vorantreiben – in Umgebungen, die durch Silodenken, Veränderungsresistenz oder Misstrauen gegenüber zentraler Governance geprägt sind.

Hier sind ausgeprägte Fähigkeiten in transversaler Führung, interner Allianzbildung und strategischer Kommunikation gefragt. Der CISO muss narrative Kohärenz schaffen – das »Warum« der Security greifbar machen – und gleichzeitig Räume schaffen, in denen Sicherheit nicht als Blockade, sondern als Enabler verstanden wird.

4. Kommunikator – Übersetzer, Vermittler, Trusted Advisor

Der CISO bewegt sich täglich zwischen zwei Welten: technologischer Tiefenschärfe auf der einen und strategischer Kommunikation auf C-Level auf der anderen. In dieser Vermittlerrolle agiert er nicht nur als Experte, sondern als vertrauenswürdiger Berater für Vorstand, Kunden, Behörden und regulatorische Gremien. Sein Kommunikationsstil prägt die Glaubwürdigkeit der Sicherheitsfunktion – insbesondere in Krisenzeiten, bei Prüfungen oder bei strategischen Investitionsentscheidungen.

Ob in Vorstandsausschüssen, mit Aufsichtsräten oder gegenüber externen Stakeholdern: Der CISO muss ruhig, faktenbasiert und verständlich kommunizieren können – ohne in technische Detailverirrungen abzudriften, aber stets vorbereitet auf fundierte Rückfragen.

Gerade in stressbeladenen Kontexten – bei Incidents, Audit Findings oder medial begleiteten Angriffen – ist die kommunikative Fähigkeit des CISO entscheidend. Gefordert sind:

Der CISO muss in der Lage sein, hochkomplexe Sachverhalte auf die relevante Entscheidungsebene herunterzubrechen, ohne Substanz zu verlieren – und dabei sowohl Transparenz als auch Lösungskompetenz auszustrahlen.

Die beschriebenen vier Rollen – Technologe, Risikomanager, Führungskraft und Kommunikator – sind keine voneinander getrennten Silos. Vielmehr bilden sie ein integriertes Kompetenz- und Rollenmodell, das der moderne CISO situationsabhängig, aber konsistent bespielen muss. Die Herausforderung liegt nicht nur im Beherrschen jeder einzelnen Disziplin, sondern im schnellen, kontextsensiblen Wechsel zwischen ihnen – oft innerhalb eines einzigen Meetings.

Ein typischer Arbeitstag verlangt vom CISO, in wenigen Stunden von einem technischen Incident-Review in ein Audit-Briefing zu wechseln, anschließend eine Budgetverhandlung mit dem CFO zu führen und danach ein Security Awareness-Format mit Product Leads zu moderieren. Jeder dieser Kontexte stellt andere Anforderungen an Sprache, Argumentationsstil, Prioritäten – doch alle erfordern eine einheitliche strategische Linie.

Der CISO der Gegenwart bewegt sich sicher und souverän in einem dynamischen Spannungsfeld, das sich durch fundamentale Zielkonflikte auszeichnet:

Diese multidimensionale Führungsrolle erfordert nicht nur Fachkompetenz, sondern strategische Reife, kommunikative Exzellenz und kulturelle Wirksamkeit. Der CISO ist heute nicht mehr nur Sicherheitsmanager – er ist ein Business-Leader mit Sicherheitsverantwortung.

Um diese immer herausfordernde Rolle erfolgreich ausführen zu können, sollte ein moderner CISO folgende Schlüsselkompetenzen mitbringen:

In der heutigen Wirtschaftswelt ist nahezu jedes Unternehmen ein digitales Unternehmen – insbesondere im industriellen Mittelstand, wo Produktionsprozesse, F&E und Logistik stark IT-gestützt ablaufen. Cybersecurity darf daher nicht isoliert als technische Disziplin betrachtet werden, sondern muss tief in das Geschäftsmodell und die Wertschöpfung integriert sein.

Der moderne CISO ist Gestalter und Risikomanager zugleich. Er muss Bedrohungen antizipieren, geschäftliche Risiken priorisieren, Ressourcen effektiv steuern und das Vertrauen aller Stakeholder sichern. Nur so wird aus Sicherheit ein echter Wettbewerbsfaktor.