In vielen Unternehmen wird Informationssicherheit noch immer als technisches Thema betrachtet. Die Folge: Der Chief Information Security Officer (CISO) oder Informationssicherheitsbeauftragte (ISB) wird der IT-Abteilung zugeordnet.

Was auf den ersten Blick logisch erscheint, ist in Wahrheit einer der gravierendsten Governance-Fehler der digitalen Transformation – mit potenziell fatalen Folgen für Sicherheit, Compliance und den Unternehmenserfolg.

Der strukturelle Interessenkonflikt

Wird der CISO organisatorisch der IT unterstellt, entstehen Zielkonflikte:

  • IT-Perspektive: Projekte schnell umsetzen, Kosten senken, Systeme bereitstellen.
  • CISO-Perspektive: Risiken kritisch prüfen, Sicherheitsmaßnahmen durchsetzen, im Zweifel auch stoppen.

Beispiel: Ein IT-Leiter will ein CRM-System bis Quartalsende live schalten, um Umsatzchancen zu nutzen. Als CISO müsste er gleichzeitig die Sicherheitsrisiken prüfen und gegebenenfalls den Go-Live verzögern. In Personalunion oder bei Unterstellung ist dieser Rollenkonflikt nicht lösbar – und Sicherheit verliert fast immer gegen Termindruck.

Informationssicherheit ist ein Geschäftsrisiko – kein IT-Problem

Moderne Informationssicherheit umfasst weit mehr als Firewalls und Virenschutz:

  • Governance & Risikomanagement: Identifizierung und Steuerung geschäftskritischer Risiken
  • Compliance: Einhaltung von DSGVO, NIS-2, Cybersecurity-Verordnung und branchenspezifischen Standards
  • Business Continuity: Sicherstellung kritischer Prozesse auch im Krisenfall
  • Awareness & Schulung: Aufbau einer Sicherheitskultur unter allen Mitarbeitenden
  • Incident Response: Koordination bei Sicherheitsvorfällen, um Schäden zu begrenzen

Diese Aufgaben sind strategisch und betreffen das gesamte Unternehmen. Sie müssen daher direkt auf Geschäftsleitungsebene verankert sein.

Die rechtliche Dimension – persönliche Haftung der Führung

Geschäftsführer und Vorstände sind verpflichtet, angemessenes Risikomanagement zu etablieren.
Ein falsch positionierter CISO kann als Organisationsverschulden gewertet werden, wenn er strukturell nicht in der Lage war, Risiken zu überwachen oder Entscheidungen zu beeinflussen.

Das kann zu:

  • persönlicher Haftung der Geschäftsführung,
  • Bußgeldern durch Aufsichtsbehörden,
  • und im Extremfall sogar zu strafrechtlichen Konsequenzen führen.

Wenn der CISO nicht eingebunden wird – Sicherheitsblindflug

Noch schlimmer als falsche Positionierung ist der Informationsentzug:

  • Schatten-IT wird ohne Prüfung eingeführt
  • Cloud- und Datenkooperationen werden ohne Sicherheitsbewertung abgeschlossen
  • M&A-Integrationen laufen ohne Risikoanalyse
  • Digitalisierungsprojekte starten ohne „Security by Design“

Das Ergebnis: Der CISO wird für Risiken verantwortlich gemacht, von denen er nie erfahren hat.

Die richtige Lösung – Unabhängigkeit, Einfluss und Ressourcen

Ein CISO muss strukturell so aufgestellt sein wie ein Compliance Officer oder interner Revisor:

  • Direkte Berichtslinie an die Geschäftsleitung
  • Unabhängigkeit von IT, Operations oder Fachbereichen
  • Volles Informations- und Beteiligungsrecht bei allen sicherheitsrelevanten Themen
  • Eigenes Budget und Zugriff auf externe Expertise
  • Sitz in strategischen Gremien und Veto-Recht bei kritischen Entscheidungen

Nur so kann aus „Security by Chance“ ein echtes „Security by Design“ werden.

Konsequenzen bei falscher Positionierung

Unternehmen, die den CISO in der IT „parken“, zahlen mehrfach:

  1. Sicherheitslücken und Angriffsfläche
    • Risiken werden nicht oder zu spät erkannt.
    • Schwachstellen bleiben unentdeckt und werden ausgenutzt.
  1. Kostenlawine
    • Reaktive Notfallmaßnahmen sind um ein Vielfaches teurer als Prävention.
    • Projektabbrüche und Nachbesserungen fressen Budgets auf.
  1. Rechtliche Risiken
    • Organisationsverschulden kann zur persönlichen Haftung führen.
    • Verstöße gegen Compliance-Vorgaben bringen Bußgelder und Vertragsstrafen.
  1. Reputationsverlust
    • Kunden, Partner und Öffentlichkeit verlieren Vertrauen.
    • Markenwert sinkt, Geschäftschancen brechen weg.

Wesentliche Schritte zur wirksamen Umsetzung

  1. Organisationscheck: Wo ist der CISO angesiedelt? Direkter Zugang zur Geschäftsleitung ist Pflicht.
  2. Governance-Framework etablieren: Klare Rollen, Entscheidungswege und Meldepflichten definieren.
  3. Frühzeitige Einbindung sicherstellen: CISO muss bei strategischen Projekten, Partnerschaften und M&A früh am Tisch sitzen.
  4. Ressourcen sichern: Ausreichendes Budget, qualifiziertes Team und externe Unterstützung ermöglichen.
  5. Führung sensibilisieren: Geschäftsleitung muss Informationssicherheit als strategisches Geschäftsrisiko verstehen und priorisieren.

Fazit

Die Positionierung des CISO ist keine Randnotiz, sondern eine strategische Management-Entscheidung mit direkten Auswirkungen auf Sicherheit, Compliance und Unternehmenserfolg. Wer hier falsch aufstellt, riskiert nicht nur technische Pannen, sondern Haftung, Rufschäden und Millionenverluste.

Bildnachweis: (C) Yvonne Oster, Glöckner & Schuhwerk GmbH, KI generiert