Weltweit fehlen rund 3 Millionen Cyber-Security-Fachkräfte. Und das Magazin IT-Sicherheit Online ernannteden Fachkräftemangel in der Informationssicherheit sogar zu einem der top vier Trends, auf den Unternehmen sich einstellen müssen. CISO und ISB sind also gefragte Leute mit großartigen Chancen auf dem Arbeitsmarkt.
Überraschend ist das nicht – vereinen Berufe in der Informationssicherheit gleich mehrere Anforderungen, die rar sind auf dem Arbeitsmarkt: Neben fundierten IT-Kenntnissen müssen Bewerber sich mit gängigen Normen und Gesetzen der Informationssicherheit auskennen. Darüber hinaus erfordern die meisten Rollen Kommunikations- und Verhandlungsgeschick. Denn die Umsetzung von Informationssicherheitsprozessen klappt nur, wenn alle Abteilungen kooperieren.
In diesem Beitrag
- Was bedeuten die Begriffe CISO und ISB?
- Gibt es Unterschiede zwischen CISO und ISB?
- Welche Aufgaben hat ein CISO / ISB?
- Welche Ausbildung muss ein CISO oder ISB mitbringen?
- Gehalt und Bedeutung von Informationssicherheits-Experten
- Die Rolle des CISO und ISB outsourcen – so helfen externe Dienstleister
Das Wichtigste in Kürze
- CISO steht für Chief Information Security Officer und ISB bedeutet Informationssicherheitsbeauftragter.
- Beide sind Experten im Bereich der Informationssicherheit und setzen Maßnahmen im Unternehmen um.
- Informationssicherheitsexperten sind auf dem Arbeitsmarkt heiß begehrt.
- Für einen Job in der Informationssicherheit ist kein bestimmtes Studium erforderlich: Informatiker und BWLer sind gleichermaßen geeignet.
- Entscheidend ist vielmehr die bisherige Arbeitserfahrung und Kenntnisse zur ISO 27001 und Informationssicherheits-Managementsystemen.
- Mit Jahresgehältern nördlich der 70.000-100.000 EUR sind beide Jobs gut bezahlt, was mit der hohen Verantwortung gegenüber dem Unternehmen zusammenhängt.
- Viele Unternehmen entscheiden sich dafür, die Rolle des ISB oder CISO auszulagern und beauftragen externe Dienstleister.
Was bedeuten die Begriffe CISO und ISB?
Der Chief Information Security Officer (CISO) und der Informationssicherheitsbeauftragte (ISB) kümmert sich im Unternehmen um den Schutz von Informationen. Dabei stehen sie regelmäßig vor einer Herausforderung: Sie müssen das bestmögliche Maß an Informationssicherheit (InfoSec) gewährleisten, dürfen dabei aber einen reibungslosen Geschäftsablauf nicht negativ beeinflussen.
Beispielweise wäre es aus Sicht der Informationssicherheit definitiv sinnvoll, nur Arbeitsplätze innerhalb eines Bürogebäudes einzurichten und die Verwendung von eigenen Mobilgeräten (also privaten Smartphones) für die Arbeit zu verbieten. Allerdings sind Homeoffice und „Bring your own device“ (BYOD) längst in der Arbeitsrealität angekommen. Also müssen CISO und ISB Kompromisse finden und InfoSec-Maßnahmen ergreifen, die sich nach dem individuellen Risikoappetit des Unternehmens ausrichten.
Sie haben Fragen zur Umsetzung der Informationssicherheit in Ihrem Unternehmen? Treten Sie mit uns in Kontakt und vereinbaren Sie eine kostenlose Erstberatung.
Gibt es Unterschiede zwischen einem CISO und Informationssicherheitsbeauftragtem?
CISO und Informationssicherheitsbeauftragte (ISB) sind normalerweise direkt dem Topmanagement unterstellt, arbeiten aber besonders eng mit der IT-Abteilung sowie den Compliance- und Legal-Teams zusammen. Der CISO hat dabei eher eine strategische, übergeordnete Rolle und muss das gesamte Unternehmen im Blick behalten. Der Informationssicherheitsbeauftragte kümmert sich eher um die Umsetzung von Maßnahmen in den Abteilungen, agiert beispielweise als Projektmanager für die Einführung eines Informationssicherheits-Managementsystems.
Je nach Unternehmen sind die Rollen jedoch unterschiedlich definiert. Viele haben nur entweder einen CISO oder ISB – dann sind die Berufsbezeichnungen als synonym anzusehen.
Welche Aufgaben hat ein CISO / Informationssicherheitsbeauftragter?
Der Aufgabenbereich eines CISO ist nicht gesetzlich vorgeschrieben und hängt sehr vom jeweiligen Unternehmen und der einzuhaltenden Regeln ab. Eine Ausnahme bieten hier z. B. Spezialfälle im öffentlichen Sektor.
Zu seinen Aufgaben gehören:
- Schutz von Unternehmenswerten vor Angriffen und Datenverlusten (in Zusammenarbeit mit dem Datenschutzbeauftragen und der IT)
- Zertifizierungen nach ISO 27001/27002 und/oder TISAX®
- Einführung eines Informationssicherheits-Managementsystems
- Auswahl geeigneter Methoden und Tools
- Risikomanagement und Beratung der Geschäftsführung
- Abteilungsübergreifende Kommunikation
Oft sind CISOs Informatiker oder Computer Scientists mit Weiterbildungen oder Spezialisierungen im Bereich Security und langjähriger Berufserfahrung. Je nach Anforderungen des Unternehmens kann die Stelle des CISO durch einen internen Mitarbeiter oder einen externen Dienstleister besetzt werden.
Mehr zu den Aufgaben des CISO / ISB finden Sie hier:
- Informationssicherheits-Managementsystem: Praktische Tipps & Hinweise
- Die ISO 27001: Der Standard für Informationssicherheit im Unternehmen
- ISO 27001 Checkliste: ein umfassender Leitfaden [inkl. Download]
Welche Ausbildung muss ein CISO oder ISB mitbringen?
Wege in die Informationssicherheit gibt es viele. So können Informatiker Schulungen zur ISO 27001 sowie dem IT-Grundschutzstandard des Bundesamtes für Sicherheit in der Informationstechnik besuchen. Oder aber Betriebswirte bilden sich im Bereich der IT-Sicherheit fort und lassen sich als Information Security Officer zertifizieren. Viele Universtäten bilden mittlerweile Masterstudiengänge in der IT-Sicherheit an. Unbedingt erforderlich ist ein solches Studium aber nicht, um sich im Bereich der Informationssicherheit eine Karriere aufzubauen.
Vielmehr kommt es darauf an, dass Mitarbeiter Erfahrung in den folgenden Bereichen mitbringen:
- Implementierung der IT-Sicherheit, inkl. einem Verständnis kritischer Infrastrukturen
- Aufbau eines ISMS
- Zertifizierung des ISMS nach ISO 27001 / TISAX®
- Bearbeitung von und Umgang mit Informationssicherheitsvorfällen
- Mitarbeiterschulungen und Sensibilisierungsmaßnahmen
- Verhandlungen und Projektmanagement
Wer es in die Position eines Information Security Analysts, eines Information Security Officers oder einen ähnlichen Job geschafft kann, kann sich über hohes Ansehen im Unternehmen und schnell ein sechsstelliges Jahresgehalt freuen.
Gehalt und Bedeutung von Informationssicherheits-Experten
Wie eingangs erwähnt sind InfoSec-Fachkräfte umkämpfte Mangelware. Die Anforderungen an die Informationssicherheit steigen stetig: Cyber-Attacken verursachten im letzten Jahr beispielsweise Schäden von 223 Milliarden Euro für die deutsche Wirtschaft. Das eigene Unternehmen vor solchen Angriffen zu schützen ist unter anderem die Aufgabe von CISO und ISB.
Und das lassen Unternehmen sich einiges kosten. Laut Erhebungen von Glassdoor liegen die Verdienstmöglichkeiten im Schnitt…
- bei rund 70.000 EUR brutto Jahresgehalt für Informationssicherheitsbeauftragte.
- bei über 100.000 EUR brutto Jahresgehalt für Chief Information Security Officer.
Das könnte Sie auch interessieren:
- Informationssicherheit und Datenschutz: Gemeinsam effizienter arbeiten
- Cyber-Attacken auf Unternehmen – Einfallstore und Gegenmaßnahmen
Die Rolle des CISO und ISB outsourcen – so helfen externe Dienstleister
Nicht jedes Unternehmen kann oder will die Informationssicherheit mit internen Ressourcen umsetzen und managen. Oder aber das interne Team ist überlastet, kommt mit dem Dokumentationsaufwand nicht hinterher, besitzt nicht die nötige Expertise für ein bestimmtes Projekt, fällt durchs Audit … Dann bietet sich ein externer Dienstleister an, der gezielt beraten kann.
Der Vorteil: Externe Services können schnell eingekauft werden und erfordern dank dem Erfahrungsschatz der Dienstleister kein langes Onboarding. Ein guter Anbieter teilt seinen Kunden einen persönlichen Ansprechpartner zu, der sich mit den aktuellen Herausforderungen des Kunden auskennt, und diese schon an anderer Stelle meistern konnte.
Auch die Kosten für einen externen Dienstleister liegen deutlich unter denen für eine Vollzeitstelle. Bei DataGuard zahlen Kunden zwischen 500 und 2.000 € pro Monat – je nach Komplexität.
Streben Sie eine Zertifizierung nach ISO 27001 oder TISAX® an? Unsere Experten aus dem Bereich Informationssicherheit helfen Ihnen gerne Ihre Ziele in der Informationssicherheit zu erreichen.
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das TISAX® Assessment an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.