Von Heinrich Vaske

Nicht immer pflegen CIOs und CISOs ein harmonisches Miteinander. Gerade im Krisenfall kann das zum Risiko werden. Werfen wir einen Blick auf Konfliktquellen und Erfolgsfaktoren in der Zusammenarbeit.

Große Unternehmen trennen die Rollen Chief Information Officer (CIO) und Chief Information Security Officer (CISO) in der Regel voneinander. Das liegt zum einen an der Komplexität beider Aufgaben, die jede Menge Detailwissen erfordern. Zum anderen möchten die Betriebe Interessenkonflikte vermeiden.

CIOs sind im Idealfall die Architekten der Unternehmens-IT. Sie verantworten die Digitalstrategie, setzen sich für eine leistungsfähige IT-Umgebung mit moderner Technologie ein und treiben digitale Innovationen voran. Oft sind sie im Vorstand präsent oder haben einen engen Draht dorthin, damit sie Themen wie Effizienz und Transformation mit Unterstützung von höchster Ebene vorantreiben können.

Der CISO tickt anders. Sein Job ist es, einen sicheren Betrieb zu gewährleisten, Risiken zu minimieren und dafür zu sorgen, dass das Unternehmen die gesetzlichen Vorgaben einhält. Also definiert und überwacht der CISO die Sicherheitsrichtlinien, steuert das Risikomanagement, hat die Compliance im Auge und verteidigt letztendlich die digitalen Kronjuwelen des Unternehmens gegen Eindringlinge. Sein Profil hat sich in den vergangenen Jahren vom klassischen IT-Sicherheitschef zu einem politisch versierten Risikomanager ausgeweitet. Damit ist sein Einfluss erheblich gewachsen.

Die Beschreibung der beiden Rollen zeigt, dass ein gedeihliches Miteinander von CIO und CISO nicht selbstverständlich ist. Da gibt es zum Beispiel Ressourcenkonflikte: Wer sitzt am längeren Budget-Hebel? Und dann die Frage der Prioritäten: Was ist wichtiger, „Speed to Market“ oder „Secure by Design“? Nicht selten drängt der CIO auf den geplanten Go-Live, doch der CISO bremst, indem er das Sicherheitsrisiko als zu hoch bewertet. Schnell stellt sich die Frage: Wer macht wem die Ansagen? Gerade, wenn der CISO dem CIO unterstellt ist, was in Deutschland oft der Fall ist, kann das Gleichgewicht ins Wanken kommen und der Sicherheitschef muss seine Bedenken hintanstellen, weil er am kürzeren Hebel sitzt.

Wer berichtet an wen?

• Die erste Konstellation wurde bereits angesprochen: Der CISO berichtet an den CIO. Die Vorteile liegen in kurzen Wegen und Effizienz, wenn es um Abstimmungen im Detail geht. Allerdings kann es zu Konflikten kommen, wenn keine Einigkeit über den nötigen Schutz der IT-Landschaft besteht und der CIO seinen Daumen auf dem Budget hat, also nicht die aus Sicht des CISO erforderlichen Mittel für IT- und Cybersicherheit freigibt.
• Im zweiten Modell berichtet berichtet der CISO an das Top-Management: In großen Konzernen ist diese Konstellation inzwischen häufig anzufinden. Der CISO kann Sicherheitsrisiken und Schwächen offen adressieren, auch wenn der CIO dabei schlecht aussieht. Er hat mehr Durchschlagskraft bei kritischen Entscheidungen und leidet nicht unter Budgetabhängigkeiten.In der Praxis zeigen sich aber oft Nachteile, wenn die Distanz zu operativen IT-Prozessen zu groß ist und die Nähe zur IT-Abteilung fehlt. Die Abstimmungsprozesse mit der IT sind komplexer, auch weil disziplinarische Weisungsbefugnisse fehlen. Zudem klagen CISOs, die kein gutes Verhältnis zum CIO haben, dass ihnen Details nicht zur Kenntnis gebracht werden und zudem ein Sparringspartner mit ähnlich tiefem technischen Know-how fehlt. Ein CEO wird mit dem CISO kaum so über komplexe, fachspezifische Themen diskutieren können, wie es ein CIO vermag.

• CISO und CIO sind gleichrangig, beide berichten ans Board. Diese Konstellation wird zunehmend als Best Practice anerkannt – vorausgesetzt, die Rollen sind klar definiert und werden von beiden Seiten akzeptiert.

Erfolgsfaktoren für optimale Zusammenarbeit

Gelebte Partnerschaft ist keine Selbstverständlichkeit, sondern Ergebnis bewusster Organisation und konsequenter Kulturarbeit. Forschung und Praxis nennen folgende Faktoren als entscheidend:

1. Klare Rollendefinition

Fein säuberlich muss beschrieben werden, wer wofür verantwortlich ist: Der CIO verantwortet das „Wie“ der IT, der CISO das „Ob das sicher ist“. Beide sollten Schnittstellen definieren – etwa beim Thema Cloud, wo Sicherheit und Geschwindigkeit gemeinsam orchestriert werden müssen.

2. Reporting-Linie auf Augenhöhe

Experten empfehlen eine unabhängige Berichtsstruktur. Idealerweise sollte der CISO direkt zum CEO, CFO oder Board berichten. Parallel sollten feste Regeltermine mit dem CIO eingeführt werden, damit Sicherheitsüberlegungen stets in IT-Entscheidungen einfließen, ohne in Konkurrenz zum Budget zu geraten.

3. Gemeinsame Ziele – keine Inseldenke

„Priority One“ des einen darf nicht „Priority Three“ des anderen sein – das sagt Mike Anderson, Global CIO bei NetSkope: Gemeinsame Planung, abgestimmte Ziele und einheitliche KPIs sorgen dafür, dass IT-Transformationsprojekte und Sicherheitsinitiativen nicht gegeneinander ausgespielt werden.

4. Regelmäßige Kommunikation und Krisenspiele

Kultur ist Kommunikation: Nur, wenn CIO und CISO regelmäßige Abstimmungsrunden pflegen, Risiken gemeinsam bewerten und in Planspielen Ernstfälle üben, wird aus Parallelflug echte Kooperation. Moderne Tools helfen, aber ohne die Bereitschaft zur Offenheit bringt das wenig.

5. Personelle Trennung – aber keine Mauern

Die Aufgabentrennung zwischen CIO und CISO ist zwingend: Nur so lassen sich Interessenskonflikte wirklich vermeiden und gegenseitige Kontrolle sicherstellen. Gleichzeitig braucht es gegenseitige Wertschätzung und eine Kultur, in der Meinungsverschiedenheiten als Beitrag zur bestmöglichen Lösung gewertet werden, nicht als Störung.

Studien und Best Practices

Untersuchungen von Gartner, McKinsey und anderen Beratungen untersuchen seit Jahren das Spiel zwischen CIO und CISO. Die wichtigsten Learnings:

Unternehmen, in denen CISOs direkt an das Topmanagement berichten, sind laut Gartner erfolgreicher bei der Risikominderung, reaktionsfähiger bei Angriffen und stellen schneller die zur Stärkung der Sicherheit nötigen Budgets bereit.

Mustergültig: Unternehmen führen jedes Quartal gemeinsame Strategie-Reviews durch, bei denen CIO, CISO und Vorstand gemeinsame Risikovermeidungs- und Innovationsinitiativen priorisieren, Budgets abgleichen und Eskalationsprozesse vereinbaren.

Compliance-getriebene Unternehmen verankern die Verantwortung für Datenschutz, Sicherheit und Innovation gleichermaßen im Führungskreis – mit klaren Eskalationswegen und regelmäßigen Updates an alle relevanten Stakeholder.

Fazit: Wer harmoniert, gewinnt

Die beste Aufstellung ist eine der Gleichwertigkeit, der Rollenklarheit und der Kommunikation. Wenn CIO und CISO sich als Tandem verstehen – mal der CIO auf Innovationskurs, mal der CISO als Steuermann durch raue See – ist das Unternehmen am besten gegen die Stürme der Digitalisierung gewappnet.

Das erfordert nicht nur, Organisationslogik und Berichtswege zu justieren, sondern vor allem einen Geist zu schaffen, in dem beide den Wert des jeweils anderen anerkennen und gemeinsam den Erfolg der Organisation sichern. Wo CIO und CISO sich nicht als Rivalen, sondern als gemeinsame Lotsen sehen, werden Innovation und Sicherheit zum echten Wettbewerbsvorteil.

Der beste CISO ist der, den der CIO respektiert – und umgekehrt. Wo gegenseitiges Misstrauen herrscht, entstehen Schlupflöcher für Hacker. Wo Zusammenarbeit gedeiht, werden aus Risiken Chancen.