Hattest du schon mal einen massiven Sicherheitsvorfall? Die Server stehen still, die IT-Abteilung arbeitet unter Hochdruck mit schweißnassen Händen an der Wiederherstellung, und plötzlich klopft der CISO an die Tür. Er fragt nicht nach dem Status des Backups, sondern nach der Risiko-Dokumentation und der Einhaltung der Meldefristen nach ISO 27001.
In diesem Moment wirkt der CISO wie ein bürokratischer Bremsklotz. Doch dieser stille Krieg zwischen der Information Security und der operativen IT-Security ist ein gefährliches Missverständnis. Wer skalieren will, ohne dass ihm Compliance-Verstöße oder Cyber-Angriffe das Genick brechen, muss verstehen, dass hier zwei völlig unterschiedliche, aber untrennbare Rollen zusammenspielen.
Das Gehirn und die Hände: Wer macht was?
Um den Konflikt zu lösen, müssen wir zuerst die Begriffe klären. Es gibt eine fundamentale Trennung zwischen der Information Security und der IT-Security:
Information Security
Das Information Security Management System ist das Gehirn der Sicherheit. Hier geht es um Governance, Strategie und rechtliche Rahmenbedingungen. Das CISO-Office betrachtet das Unternehmen aus der Vogelperspektive: Welche Daten sind geschäftskritisch? Welche regulatorischen Auflagen müssen wir erfüllen? Welche Risiken können wir eingehen? Der CISO ist der Architekt, der den Sicherheitsplan für das gesamte Gebäude entwirft.
IT-Security – Die operative Abwehr
Die IT-Security sind die Hände. Das sind die Experten, die oft unter dem CIO angesiedelt sind. Sie konfigurieren Firewalls, patchen Server, betreiben das SOC und reagieren auf Alarme. Sie sind die Handwerker, die die Schlösser einbauen, die der Architekt geplant hat.
Das Paradoxon: Warum der CISO im Ernstfall „nutzlos“ wirkt
Ein häufiger Kritikpunkt aus der IT-Abteilung lautet: „Wenn es brennt, hilft uns der CISO nicht beim Löschen.“ Das ist absolut richtig – und es ist laut Best Practice sogar genau so vorgesehen.
Während die IT-Security im Infra-Level Incident Containment steckt und versucht, den Angreifer physisch aus dem System zu werfen, übernimmt der CISO die strategische Steuerung. Er muss klären:
- Welche Behörden müssen innerhalb von 72 Stunden informiert werden (z.B. DSGVO-Meldung)?
- Wie kommunizieren wir den Vorfall gegenüber Großkunden und Investoren?
- Wie hoch ist der potenzielle finanzielle Schaden durch den Betriebsstillstand?
Der Frust entsteht meist dann, wenn die Kommunikation nicht stimmt. Wenn der CISO lediglich theoretische Konzepte liefert, anstatt klare Leitplanken für die operative Arbeit zu setzen, wird er als Ballast empfunden.
Der Skalierungs-Faktor: Wenn informelle Sicherheit zur Gefahr wird
In der Start-up-Phase wird Sicherheit oft informell gelebt. Man vertraut dem Admin, dass er die Updates macht. Ein ISMS existiert nicht. Doch mit dem Wachstum (Teil 1 und 2 meiner Serie) wird dieses Modell zum Blindflug:
- Compliance-Druck: Sobald du mit Konzernen oder im regulierten Bereich arbeitest, verlangen Kunden Zertifizierungen wie ISO 27001 oder TISAX. Ohne den „Papierkram“ des CISO bekommst du schlicht keine Aufträge mehr.
- Haftung der Geschäftsführung: Wenn es zu einem Datenabfluss kommt, muss die Geschäftsführung nachweisen, dass sie ein angemessenes Risikomanagement betrieben hat. Ohne ein ISMS stehst du im Regen.
Best Practice: Vom Gegeneinander zum Miteinander
Damit die Zusammenarbeit funktioniert, müssen die Rollen klar definiert sein. Eine moderne Sicherheitsstruktur arbeitet nach dem Prinzip der Gewaltenteilung:
- Der CISO liefert die Standards: Er sagt nicht: „Konfiguriere Firewall-Regel XY“, sondern: „Wir benötigen einen Schutzmechanismus, der unbefugte Zugriffe von außen nachweislich verhindert.“
- Die IT liefert die Umsetzung: Die Experten wählen das passende Tool und implementieren es.
- Die Brücke durch Audits: Der CISO prüft in regelmäßigen Abständen (Audits), ob die operative IT die strategischen Anforderungen erfüllt hat.
Ein Orchester braucht einen Dirigenten und Musiker
Stell dir Sicherheit wie ein Orchester vor. Der CISO ist der Dirigent. Er spielt selbst kein Instrument und bedient keine Firewall. Aber er sorgt dafür, dass alle Musiker nach derselben Partitur spielen, damit am Ende kein Lärm, sondern Musik entsteht. Die IT-Security sind die Musiker – ohne ihre technische Brillanz bleibt die Partitur nur ein totes Stück Papier.
Wenn du skalierst, brauchst du beides. Ein ISMS ohne IT-Security ist ein wirkungsloser Papiertiger. IT-Security ohne ISMS ist blindes Handeln ohne rechtliche Absicherung. Wahre Resilienz entsteht erst, wenn das Gehirn und die Hände Hand in Hand arbeiten.