Verlust der Cyberdominanz, Rolle des CISO, NIS2-Regulatorik – wir haben BSI-Präsidentin Claudia Plattner zu drei wichtigen Themen befragt.

Von Heinrich Vaske

Mit ihrem Vortrag bei CIOmatch @ it-sa sorgte BSI-Präsidentin Claudia Plattner für Diskussionen. Die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI) appellierte, dass Deutschland seine „Cyberdominanz“ nicht vollständig einbüßen dürfe.

„Bei uns werden viele Produkte eingesetzt oder verbaut, die eine direkte Verbindung zu ihren internationalen Herstellern haben“, führte Plattner aus. Diese Lieferanten könnten in Europa, den USA oder woanders auf der Welt sitzen. Sie hätten Einfluss auf die Produkte selbst und die Art und Weise, wie wir sie verwendeten. „Wir müssen uns darum kümmern und selbst starke Player im Bereich digitaler Produkte werden“, sagte Plattner. Wichtig sei auch, diese neuartigen Produkte besonders gut abzusichern – eine Aufgabe auch für das BSI, wie die Präsidentin konzedierte.

Ein CISO sollte unabhängig vom CIO agieren – meistens

Bevor Plattner die BSI-Führung übernahm, war sie zuerst CIO von DB Systel, dann Director General Information Systems bei der Europäischen Zentralbank (EZB). In beiden Positionen hatte sie es mit starken CISOs zu tun, weshalb wir die oft gestellte Frage klären wollten: Sollten CISO und CIO unabhängig voneinander und gleichberechtigt an einen Vorstand berichten oder ist es sinnvoll, den Sicherheits- an den IT-Chef berichten zu lassen? Letzteres ist eine in Deutschland übliche Praxis.

Plattner unterstützt die „Lehrbuchmeinung“, wonach es einen unabhängigen CISO mit einem starken Mandat brauche. Viele Unternehmen hätten noch immer großen Nachholbedarf in Sachen IT-Sicherheit, längst nicht alle Hausaufgaben seien erledigt. Vor diesem Hintergrund sei sogar eine direkte Berichtslinie zum CEO sinnvoll.

Es gebe aber auch Betriebe, die in Sachen Cybersicherheit schon überaus professionell agierten. In diesen „seltenen Fällen“ könne man sich durchaus überlegen, den CISO wieder in den IT-Bereich einzuordnen, um dort möglichst viele Automatisierungsmechanismen in die Wertschöpfungskette zu integrieren.

NIS2 – eine volkswirtschaftliche Aufgabe

Last, but not least stand uns die BSI-Präsidentin zum Thema NIS2-Verordnung Rede und Antwort. Im Zuge dieser Regulierung stehen vielen Unternehmen und Behörden u.a. erweiterte Meldepflichten bevor. „Nicht jeder ist davon nur begeistert“, sagt Plattner, der BSI werde die Betriebe unterstützen, damit die Einführung einfach und reibungslos vonstattengehe. NIS2 werde unter allen Umständen gebraucht, so Plattner, das sei „nicht nur eine betriebswirtschaftliche, sondern auch eine volkswirtschaftliche Frage“.