Ein großer, aber vermeidbarer Sicherheitsvorfall kann schnell den gefürchteten Schleudersitz eines CISOs auslösen. Ein paar weniger offensichtliche Fehler könnten für ihn nicht minder gefährlich sein. Welche Aktivitäten oder Unterlassungen müssen CISOs am meisten fürchten?
CISOs haben einen harten Job. Es ist nicht verwunderlich, dass die durchschnittliche CISO-Amtszeit nur zwei bis vier Jahre beträgt.
CISOs sind dafür verantwortlich, die wertvollsten Assets und Bereiche ihrer Organisationen zuverlässig zu schützen. Daher steht viel auf dem Spiel. Ein CISO, der sich nur unzureichend auf eines dieser Risiken vorbereitet oder diese nicht umfassend verwaltet, muss mit seiner Entlassung rechnen. In der Folge werden Aktionen, Unaufmerksamkeiten, Fehlannahmen und Unterlassungen skizziert, die eindeutig auf schwerwiegende Fehler hinweisen.
Mit den massiv und schnell wachsenden Angriffsflächen haben ein CISO und sein IT-Security-Team alle Hände voll zu tun, um die Sicherheitslage umfänglich zu verstehen und anzupassen. Zu den wesentlichen Voraussetzungen für eine Übersicht der Risiken gehören: ein vollständiges und aktuelles Inventar der Assets, die geschützt werden müssen, das Verständnis des Geschäftswerts dieser Assets sowie eine kontinuierliche Analyse auf Risiken im Hinblick auf alle relevanten Angriffsvektoren.
Sicherheitslage wurde nicht quantifiziert
Wenn die Bedeutung und Funktionsweise des IT-Security-Risk-Programms dem Management nicht verständlich erklärt wird, werden viele Sicherheitsentscheidungen mit unzureichenden Daten oder „intuitiv“ getroffen. CISOs können dieses Hindernis überwinden, indem sie Risiken in Geldeinheiten darstellen. Das Management versteht vielleicht nicht, was ein hoher Risikowert von „X” oder eine Ziel-Patch-Kadenz von „X Tagen” bedeutet, aber sie verstehen sicherlich die Auswirkungen von „zwei Millionen Euro Risiko aufgrund von nicht gepatchter Software“.
CISOs sollten deshalb immer daran denken, dass es auf Vorstandsebene viel um Benchmarks geht, sodass sie in der Lage sein müssen, ihr IT-Security-Programm mit ähnlichen Organisationen zu vergleichen. Ferner könnte das Management den CISO bitten, das angemessene akzeptable Risiko zu empfehlen, dass das Unternehmen anstreben sollte. Bevor dies geschieht, sollten CISOs dem Board immer ein paar Schritte voraus sein.
Nicht wenige CISOs glauben, sie müssten die gesamte Verantwortung für die Organisation in Bezug auf Risikoentscheidungen übernehmen. In diesem Fall definiert der CISO, was das Unternehmen unter Sicherheits-, Risiko- und Compliance-Gesichtspunkten tolerieren wird und was nicht, und nicht das Management. Dagegen sollten sich CISOs als ein kompetenter Kommunikationsvermittler präsentieren. Das heißt, ein CISO müsste in der Lage sein, Risiko- und Sicherheitslösungen für das Management zu formulieren, die mit den Themen der IT-Security eher weniger vertraut sind, damit sie fundierte Entscheidungen zur Risikotoleranz treffen können.
Maßnahmen ohne Strategien
Management-Präsentationen müssen durch eine solide strategische Planung untermauert werden, in der festgelegt wird, wie die Initiativen und Programme des CISOs die IT-Security eines Unternehmens verändern und ein angemessenes Restrisiko tolerieren können.
Eine solche Planung muss dem obersten Management als leicht verdauliche Auflistung von Projekten, die sich an den größten Risiken orientieren, mit jeweils entsprechenden Zeitrahmen, erforderlichen Ressourcen und Kosten dargestellt werden. Für das nächste Meeting mit dem Management zur Überprüfung der IT-Security sollten quantifizierbare Verbesserungen unterstrichen werden, die die Ergebnisse der Risikominderung aufzeigen, die das Unternehmen im Laufe der Zeit erzielt hat.
Wenn die Ausfallzeit eines Systems über einen längeren Zeitraum anhält, kann dies für ein Unternehmen sehr kostspielig werden. Zuverlässigkeit und Verfügbarkeit gehen Hand in Hand mit einer umfassenden, detaillierten Sicherung und einem Notfallwiederherstellungsplan. Dazu gehört ebenfalls eine interne Vereinbarung auf operativer Ebene, in der eine Befehlskette für den Fall einer Dienststörung festgelegt ist.
Aus diesem Grunde sollte jedes Unternehmen über einen Disaster-Recovery-Plan verfügen, der neben detaillierten Vorgaben auch Anweisungen enthält, an wen sich das IT-Team im Falle eines Sicherheitsvorfalls bei Anbieter-Organisationen bzw. Cloud- und Drittanbietern wenden kann. Der CISO sollte auch wissen, was die Verträge des Unternehmens als Reaktionszeit von Anbietern, Cloud- und Drittanbietern vorschreiben, um adäquat auf Sicherheitsvorfälle zu reagieren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Faktor Mitarbeiter ignorieren
Nicht selten treten CISOs in die Falle, ihren Fokus nur auf technische Prozesse und Lösungen zu richten. Der Mitarbeiter ist immer noch die größte aller Schwachstellen. CISOs, die dies unterschätzen oder ignorieren, werden kläglich daran scheitern. Insbesondere wenn Mitarbeiter notwendige Kontrollmaßnahmen oder geltende Richtlinien missachten, könnte daraus unter anderem eine ganze Reihe von Insider-Bedrohungen entstehen.
In den meisten Unternehmen verfügen User eher über zu viele Berechtigungen. Ferner werden neue Patches nicht gründlich genug getestet bzw. nicht schnell genug angewendet oder Administratoren nehmen tendenziell Verknüpfungen vor, die die Umgebung gefährden könnten. Trotzdem müssen CISOs darauf achten, nicht in das entgegengesetzte Extrem zu verfallen und die Mitarbeiter in ihrer Handlungsfähigkeit zu straff einzuengen. Maßnahmen dieser Art führen dazu, die Mitarbeiter bei der Bewältigung ihrer Aufgaben über Gebühr zu behindern. Die IT-Security sollte immer ein Partner des Geschäfts sein, nie ein Hindernis!
Ausweitung der Komplexität
Es besteht die Gefahr, dass sich CISOs von kurzfristigen Technologiehypes blenden lassen, anstatt sich auf die wesentlichen Ziele und Aufgaben zu konzentrieren. Dies kann nicht nur zu einer Ineffektivität, sondern auch zu einer unnötigen Komplexität führen. Nicht zuletzt verursacht Komplexität wiederum Mehrkosten und vor allem auch neue Sicherheitslücken. Hinzu kommt, dass Komplexität eine falsche Auffassung von Sicherheit vermitteln kann. Letztlich ginge das Management davon aus, mit innovativen Instrumentarien besonders gut geschützt zu werden.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/85/b5/85b5c69c5a6e6e5762a0c7c269261a43/0127916883v1.jpeg "Unternehmen haben ein Interesse daran, Angriffe zu stoppen, bevor sie passieren. Schließlich haben wir für böse Überraschungen keine Zeit. (Bild: © Dece Std - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/d9/5d/d95db308f21105edf9003cfc42f866e2/0128657338v2.jpeg "Die Hackergruppe Ashen Lepus ist durch ihre Spionageaktivitäten motiviert, die auf das Sammeln sensibler Informationen aus Regierungsstellen und diplomatischen Einrichtungen im Nahen Osten abzielen, wobei sie zunehmend auch ihre Ziele auf andere Regionen, einschließlich Europa, ausdehnt. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/d2/82/d2824c1a8c4885e2b8d37a51a22b8b01/0119715843v2.jpeg "Die Rolle des CISO entwickelt sich momentan extrem schnell. Die Zusammenarbeit zwischen CISO sowie weiteren C-Level-Entscheidern, sowohl intern als auch extern, ist dabei nicht nur eine Option, sondern eine Notwendigkeit. (Bild: alphaspirit - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a6/01/a6011fef398c8228514d602890ce6f50/0122034225v1.jpeg "Sergej Epp ist neuer CISO bei Sysdig und wurde vom Capital Magazin zu einem von Deutschlands „Top 40 unter 40“ gewählt. (Bild: Sysdig)")
:quality(80)/p7i.vogel.de/wcms/f5/16/f5168aa1ff02ec8c5e7bc7f2acb4d38e/0121503363v2.jpeg "Vor allem in den USA verdienen CISOs mittlerweile deutlich mehr als in den vergangenen Jahren. (Bild: zest_marina - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ce/9dcedbbf34409a1fbf27f0c07db5a92b/0122180974v2.jpeg "Man kann nur schützen, was man kennt: CISOs müssen einen umfassenden Überblick über die Cloud-Nutzung ihres Unternehmens herstellen, ihnen fehlen aber oft die spezialisierten Fähigkeiten eines Cloud-Architekten. (Bild: Who is Danny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/48/b3488cb4885d9e18333a11e418f52ee8/0122573044v2.jpeg "Wachsende Anforderungen und Cyberrisiken, aber auch Druck von Vorständen, machen Cybersicherheitsverantwortlichen zu schaffen. (Bild: Jadon Bester/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9c/81/9c818547d3a49a1edd1b1b595fd65c6d/0128186112v2.jpeg "External Attack Surface Managemen zeigt aus der Außenperspektive Domains, Subdomains, IPs, Cloud-Instanzen, Zertifikate und APIs, deckt Schatten-IT auf, priorisiert Risiken und überwacht Änderungen kontinuierlich. (Bild: © Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/c5/5fc595101c3f67c3f6e29ef6d0aba1c0/0128510102v1.jpeg "Da sich das Cybersecurity-Lagebild stets verändert, müssen Organsiationen ihre Strategien laufend neu bewerten. (Bild: © Pakin - stock.adobe.com)")