ciso 2025 - norbert pohlmann
Post on 31-Dec-2021
9 Views
Preview:
TRANSCRIPT
CISO 2025 Berufsbild im Wandel
Dr.
Rolf Reinema
Prof. Dr.
Norbert Pohlmann
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
CISO WikiPedia
2
Ein Chief Information Security Officer (CISO) bezeichnet die Rolle des Verantwortlichen für Informationssicherheit in einer Organisation.
Der CISO nimmt sich meist der folgenden Aufgaben an:
Erarbeitung und Definition der sicherheitsrelevanten Objekte, der Bedrohungen und Risiken und den daraus abgeleiteten Sicherheitszielen
Aufbau und Betrieb einer Organisationseinheit zur Umsetzung der Sicherheitsziele
Ausarbeitung, Anpassung von Sicherheitsrichtlinien
Auditierung der Funktionseinheiten zum Stand der Umsetzung und Weiterentwicklung der Sicherheitsvorschriften
Bewusstsein für das Thema IT-Sicherheitdurch Trainings und Kampagnen für die Mitarbeiter schaffen
Portfolio Management der sicherheitsrelevanten Geschäftsprozesse
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
CISO Funktionen
3
Management und Steuerung der Informationssicherheit (ISMS aufsetzen + betreiben)
Security Risk Management
Business Continuity Management
Business Partnering
Schutzkonzepte entwickeln und technische Lösungen bereitstellen
Quality Assurance (z.B. Pentesting)
Security Vulnerability Management, Incident Management, Forensik
Personelle Aspekte der Informationssicherheit, Security Awareness und Training
Nachweis und Auditierung der Informationssicherheit
Rechtliche Aspekte der Informationssicherheit, Compliance sicherstellen
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
CISO Die wichtigsten „Aufgaben“ (1/2)
4
Prävention:Proaktiv verhindern, dass es zu einem IT-Sicherheitsvorfall kommt (Assets schützen).
Detektion:Risiken analysieren und bewerten, Missbrauch/Angriffe zuverlässig erkennen.
Reaktion:Dafür sorgen, dass bei einem IT-Sicherheitsvorfall, schnellstmöglich die Rückkehr in den Normalbetrieb organisiert und sichergestellt wird. (Schnelle Reaktion bei erkannten Schwachstellen und Sicherheitsvorfällen, um Schäden zu minimieren)
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
CISO Die wichtigsten „Aufgaben“ (2/2)
5
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
CISO Fähigkeiten
6
Entsprechende Fachkenntnisse
Wissen über die Unternehmenskultur (wissen, was geht und was nicht.)
Wertschätzung, Achtsamkeit, Einfühlungsvermögen, Authentizität
Durchsetzungsfähigkeit / hohe Prozesskompetenz
Softskills, wie
Kommunikation (C-Level, …)
Teamfähigkeit / diplomatisches Geschick
Hartnäckigkeit / Kompromissfähigkeit
Belastbarkeit / Vertrauenswürdigkeit
Man muss das Unternehmer kennen
Eigenschaften, die man hat
Fähigkeiten, die man lernen kann
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
CISO Kompetenzen
7
Recht
IT-Sicherheitsgesetz
Datenschutzsverordnung
…
IT und IT-Sicherheit
Architekturen
Strategien
Mechanismen
…
Wirtschaft
Kosten/Nutzen
Abläufe
…
Management
Projekte
People
Wissen
Change
Risiko
Kommunikation (auf allen Ebenen)
…
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
CISO Beruf
8
Chief Information Security Officer
keine geschützte Berufsbezeichnung
kein festgelegter Ausbildungsweg
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
Studium an Hochschulen (Bachelor, Master)
Westfälische Hochschule Gelsenkirchen
UNI Bochum, Darmstadt, Saarbrücken, München, Erlangen, …
FH Offenburg, Albstadt-Sigmaringen, …
…
Berufsbegleitende Master
isits (Fernstudium IT Sicherheit, UNI Bochum)
Westfälische Hochschule Gelsenkirchen
…
Praxis (Unternehmen, …)
Weiterbildungen
Zertifizierungen, wie z.B. TISP, (ISC)2, …
Webplattformen
…
CISO Karrierepfade
9
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
CISO Zertifizierungsmöglichkeiten
10
Certified Information Systems Security Professional (CISSP)
Teletrust Information Security Professional (TISP)
Certified Information Security Manager (CISM)
Certified Information Systems Auditor (CISA)
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
Übersicht - Ausbildungsmöglichkeiten IT-Sicherheitsstudiengänge analysiert
11
Bachelor: Gebiet IT – Sicherheit
Ruhr Universität (IT-Sicherheit)
Uni Saarland (Cybersicherheit)
…
Master: Gebiet IT-Sicherheit
Öffentliche Hochschulen:
Ruhr Universität (IT-S / Informationstechnik)
Ruhr Universität (IT-S / Netze und Systeme)
Technische Universität Darmstadt (IT-S)
Westfälische Hochschule (Internet-Sicherheit)
Hochschule Offenburg (Unternehmens- und IT-Sicherheit)
…
„Private Hochschulen“:
Is.its* – als Gasthörer an der Ruhr Universität (unterschiedlicheAbschlüsse möglich)
Hochschule Wismar* – Fernstudium (IT-S /Forensik)
… *kostenpflichtiges Studium
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
IT-Sicherheitsstudiengänge analysiert Was lernen die Studierenden?
12
Was lernen die Studierenden, wenn sie „IT-Sicherheit“ studieren?
Allgemeiner Studienverlauf: Kryptographie, …, Firewall, …, Malware, …
Wahlpflicht:
Gibt Flexibilität, den Studienverlauf zu beeinflussen
Möglichkeit, zukunftsorientiert zu studieren
Bei wenig/kaum Möglichkeiten: Einheitlichere Ausbildung der Studierenden möglich
Bei vielen Wahlmöglichkeiten werden auch fachübergreife Kenntnisse gefördert
Softskills
Bei IT-S Studiengängen viele Parallelen erkennbar, bei anderen werden Grundkenntnisse der Informatik weniger gelehrt
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
13
IT-Sicherheitsstudiengänge Uni Saarland
AbschlussBachelor of ScienceCybersicherheit
Anforderungen Bachelor Informatik oder vergleichbares Studium
CP 180
Veranstaltungssprache D
Regelstudienzeit 6 Semester
Kosten Semesterbeitrag
Wahlmöglichkeiten wenig
Schwerpunkt Computer / Sicherheit
Fachübergreifende Kenntnisse MITTEL
SonstigesStudiengang forschungsorientiert
Ziel: 300 Studierende
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
IT-Sicherheitsstudiengänge Ruhr Universität Bochum
14
AbschlussMaster of ScienceIT-Sicherheit /
Informationstechnik
Master of ScienceIT-Sicherheit /
Informationstechnik
Master of ScienceIT-Sicherheit / Netze und
Systeme
Anforderungen Bachelor IT-Sicherheit Bachelor IT-SicherheitBachelor Elektrotechnik,
Informationstechnik, Informatik, Mathematik oder Physik
CP 120 120 120
Veranstaltungssprache D,E D,E D,E
Regelstudienzeit 4 Semester 4 Semester 4 Semester
Kosten Semesterbeitrag Semesterbeitrag Semesterbeitrag
Wahlmöglichkeiten mittel viel wenig
Schwerpunkt Kryptographie Kryptographie Technik / Kryprographie
Fachübergreifende Kenntnisse
WENIG VIEL WENIG
SonstigesSehr flexibles Studium:
Kann von Studierenden selbst zusammen gestellt werden
Ca. 300 Studierende
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
15
IT-Sicherheitsstudiengänge TU Darmstadt
AbschlussMaster of Science
IT-Sicherheit
Anforderungen Bachelor Informatik, oder vergleichbares Studium
CP 120
Veranstaltungssprache D, E
Regelstudienzeit 4 Semester
Kosten Semesterbeitrag
Wahlmöglichkeiten viel
Schwerpunkt IT / Sicherheit
Fachübergreifende Kenntnisse VIEL
Sonstiges Studium in Kategorien unterteilt
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
16
IT-Sicherheitsstudiengänge Hochschule Offenburg
AbschlussMaster of Science
Unternehmens- und IT-Sicherheit
Anforderungen ein Bachelor-/Diplomabschluss
CP 210
Veranstaltungssprache D
Regelstudienzeit 7 Semester
Kosten Semesterbeitrag
Wahlmöglichkeiten wenig
Schwerpunkt Sicherheit / Management
Fachübergreifende Kenntnisse WENIG
SonstigesStudium vermittelt wenig IT-Kenntnisse
36 Studierende/Jahr
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
17
IT-Sicherheitsstudiengänge Westfälische Hochschule GE – if(is)
AbschlussMaster of Science
Internet-Sicherheit
Anforderungen Bachelor Informatik oder vergleichbares Studium
CP 120
Veranstaltungssprache D
Regelstudienzeit 4 Semester
Kosten Semesterbeitrag
Wahlmöglichkeiten wenig
Schwerpunkt IT / Sicherheit
Fachübergreifende Kenntnisse VIEL
SonstigesSehr forschungsnah (anwendungsorientiert)
50 Studierende / ca. 10 Absolventen/JahrAuch Berufsbegleitend möglich
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
18
IT-Sicherheitsstudiengänge is.its - Ruhr Universität Bochum
Abschluss 1) "Master of Science in Applied IT Security"2) CAISP Zertifikat "Certified Applied IT Security Professional"
Anforderungen1) Bachelor Elektrotechnik, Informationstechnik, Informatik, Mathematik oder Physik2) Keine Voraussetzung, jedoch kein Masterabschluss (CAISP)!
CP 120
Veranstaltungssprache D
Regelstudienzeit 6 Semester
Kosten ca. 3.000 € /Semester
Wahlmöglichkeiten mittel
Schwerpunkt IT / Sicherheit
Fachübergreifende Kenntnisse VIEL
Sonstiges
Fernstudium: als Gasthörer an der Ruhr UniversitätAuch als Dualstudium geeignet
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
19
IT-Sicherheitsstudiengänge HS Wismar
AbschlussMaster of Engineering
IT-Sicherheit und Forensik
Anforderungen Bachelor Informatik oder vergleichbares Studium
CP 120
Veranstaltungssprache D
Regelstudienzeit 6 Semester
Kosten 2.700 € / Semester
Wahlmöglichkeiten keine
Schwerpunkt IT / Forensik
Fachübergreifende Kenntnisse WENIG
Sonstiges
Fernstudium:• Sehr gut neben dem Beruf absolvierbar,
keine/kaum Organisation seitens der Studierenden erforderlich (Lernmaterialien, u.ä. werden gestellt)
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
Frankfurt: 647
Dortmund: 72
München: 1.182
Stuttgart: 727
Hannover: 263
Hamburg: 684
Leipzig: 106
Berlin: 793
Gesamt „Marktplatz IT-Sicherheit“:
17.588 Stellenangebote
684(HH)
793(B)
263(H)72
(DO)
647(F)
106(L)
1182(M)
727(S)
IT-Sicherheit: Stellenangebote
20
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
IT-Sicherheit: Stellenangebote
21
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
Frankfurt: 8
Dortmund: 320
München: 1.136
Stuttgart: 190
Hannover: 0
Hamburg: 583
Leipzig: 130
Berlin: 918
583(HH)
918(B)
0(H)320
(Do)
8(F)
130(L)
1136(M)
190(S)
IT-Sicherheit: Stellennachfrage
22
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
583(HH)
918(B)
0(H)320
(Do)
8(F)
130(L)
1136(M)
190(S)
IT-Sicherheit: Angebot / Nachfrage
684(HH)
793(B)
263(H)72
(DO)
647(F)
106(L)
1182(M)
727(S)
Angebot Nachfrage
IT-Sicherheit: Angebot/Nachfrage
23
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
CISO Fachkräftemangel
24
Mehr Studiengänge fordern?!
Mehr berufsbegleitende Qualifikation umsetzen
Portal (In-Haus, Extern, …)
Hochschule
Qualifizierungsunternehmen
…
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
CISO Zukunft
25
Schnelle Veränderung der IT durch die schnelle Digitalisierung
Arbeit 4.0
Von Zuhause
Vom „Strand“ (überall)
…
Weniger „Committment“ der Mitarbeiter zum Unternehmen
Mehr Freelancer als Mitarbeiter
Immer mehr „private“ IT-Geräte für berufliche Zwecke
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
CISO Stellenwert der Informationssicherheit
26
„Nur“ Berater des Vorstandes
Achten auf IT-Sicherheit, um Betriebsunterbrechungen zu vermeiden
Achten auf IT-Sicherheit, um gesetzliche Vorgaben einzuhalten
IT-Sicherheit ist ein wichtiger Treiber für Innovationen, mit dem das Unternehmen sich im Wettbewerb differenzieren kann
Berichtswesen
CEO
CIO
Chef der Compliance-Abteilung
…
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
CISO Wandel
27
Mehr integrierte IT-Sicherheit
Mehr Anforderungen an die HerstellerSicherheitsfunktionen, Zertifizierungen, Qualität der IT
Qualität der Schlüssel (Länge, Speicherung, Erzeugung, …)
…
Zusammenarbeit mit den anderen Unternehmen / NetzwerkenEinkaufsmacht, gemeinsame Strategien entwickeln
Austausch von sicherheitsrelevanten Informationen, gemeinsame Verteidigung
…
Auslagerungen von Kompetenzen und Diensten
IT und IT-SicherheitIT-Infrastrukturen, Nutzung der IT-Technologie und –Dienste
Die Angriffsvektoren und -flächen
…
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
CISO Typen
28
Zentrale Kontrollinstanz
Die Prozesse laufen, wenn er es will, und er scheint unersetzbar
Alles dreht sich um ihn, Sicherheitskultur wird durch ihn nicht vermittelt, sondern erzwungen
Sicherheitsservice
Sicherheit soll nicht in unangenehmer Weise spürbar sein
Probleme und Störungen sind sein Lebenselixier, die seine Rolle als helfender Engel manifestieren
Streetworker
Er versteht Sicherheit nicht als Lösung von der Stange, sondern als eine individuelle Konfiguration
Seine Strategie zeichnet sich durch Beweglichkeit und seinen Wunsch nach interdisziplinärem Austausch aus
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
CISO Kluft: Technik - Geschäftsebene
29
Grown ups with focus on IT-infrastructure?
Enforcer or enabler?
Saying „how“ or „wait“ or „no“?
Compliance & audits: attestations or aspirations?
Innovation driver, enabler or communicator?
Effective communication of security strategy?
At the end of the day, the board wants to have a good story that everything possible has been done to prevent and prepare for breaches.
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
CISO Kompetenzen für eine erfolgreiche Transformation
30
P
rof.
N
orb
ert
Pohlm
ann,
Inst
itut
für
Inte
rnet-
Sic
herh
eit
–if(is),
Dr.
Rolf R
ein
em
a,
Sie
mens
AG
Workshop: Berufsbild im Wandel Themen für die Diskussion
31
Definition eines modernen und zukunftsorientierten CISO
Wie wird sich das Berufsbild des CISOs wandeln?
Welchen Stellenwert/Position werden CISOs künftig im Unternehmen haben?
Wie schließen wir die Kluft zwischen Technik- und Geschäftsebene?
Ausbildung & Qualifikation
Was qualifiziert einen CISO in Zukunft und was muss er/sie können?
Welche Jobprofile brauchen wir in Zukunft?
Karrierepfade und Entwicklungsmöglichkeiten gibt es künftig in der Cybersecurity?
Fachkräftemangel
Wie begegnen wir erfolgreich dem derzeitigen Fachkräftemangel?
Universität, berufsbegleitende Qualifikation oder Quereinstieg: Wie wird man zum Cybersecurity-Profi?
Es lebe der technisch-versierte Krawattenträger!
CISO 2025 Berufsbild im Wandel
Dr.
Rolf Reinema
Prof. Dr.
Norbert Pohlmann
top related