Investitionen in IT-Sicherheit sind vielen Vorständen lästig, weil sie keinen messbaren Return on Invest bringen. Das bringt CISOs in eine besondere Position.

Von Heinrich Vaske

Horst Moll ist Chief Information Security Officer (CISO) beim Biotech-Unternehmen Miltenyi Biotec. Um seine Aufgabe zu erfüllen, braucht er die uneingeschränkte Unterstützung von IT- und Top-Management – weshalb er die Fähigkeit, klar zu kommunizieren, für absolut erfolgskritisch hält. Das gelinge, indem man Betroffenheit erzeuge und nachvollziehbar mache, welche Folgen es haben könnte, an IT-Sicherheit zu sparen.

Ein weiterer Erfolgsfaktor ist für Moll die gute Zusammenarbeit mit der IT-Abteilung. Sie sei schon deshalb unerlässlich, weil es die Automatisierung erfordere: Wenn etwa automatisch Tickets ausgestellt werden, um bestimmte Probleme abzustellen, dann müsse gewährleistet sein, dass die IT mit im Boot sei.

„Ich habe mich in meiner Kommunikation von Anfang an bei all meinen Tätigkeiten bemüht, Risiken zu adressieren“, sagt Moll. Die Verantwortung für die Risiken liege bei der Geschäftsführung. Die Pflicht von IT-Leitung und CISO sei es, auf diese Risiken hinzuweisen und Lösungen zu präsentieren. Dafür hätten bei Miltenyi Biotec CIO und CISO eine gemeinsame Grundlage geschaffen.

CISO nicht Teil der IT-Abteilung

Dennoch operieren beide Bereiche unabhängig voneinander: Der CISO ist im Biotech-Unternehmen organisatorisch nicht in der IT-Abteilung, sondern bei einem Vorstand angesiedelt. „Wir treten aber als Tandem auf, weil der IT-Leiter mir vertraut. Er weiß, dass ich nicht gegen ihn arbeite, sondern dass es meine Pflicht ist, Risiken aufzuzeigen. Diese Risiken kann er nicht allein adressieren. Er braucht dafür Ressourcen und Budget. Beides bekommt er von der Geschäftsführung.“

Miltenyi Biotec ist als innovatives Unternehmen ein interessantes Ziel für Angreifer, täglich werden Incidents im eigenen Security Operation Center (SOC) abgearbeitet. „Wir sind hier gut unter Last und meine KPIs zeigen, es wird ständig mehr“, sagt Moll. Ihm ist es wichtig, ein eigenes SOC zu unterhalten. Man könne auch einen Managed Service Provider beauftragen, aber der müsse Rücksicht auf viele Kunden nehmen und man könne ihm nicht abverlangen, immer für die individuellen Anforderungen einzelner Kunden da zu sein. „Wenn es zum Beispiel darum geht, ein System abzuschalten, dann kann das kein Managed Service Provider entscheiden“, ist sich Moll sicher.