In vielen Organisationen – insbesondere mittelständischen und technisch geprägten Unternehmen – wird die Rolle des Informationssicherheitsbeauftragten (ISB) bzw. Chief Information Security Manager (CISO) aus ressourcenbezogenen Gründen häufig nicht als eigenständige Funktion etabliert. Stattdessen wird versucht, diese Aufgabe entweder dem Leiter der IT-Abteilung oder unmittelbar der Geschäftsführung zuzuweisen.
Die Agenda:
Warum überlegen Unternehmen eine Doppel-Rolle CEO-CISO oder CIO-CISO?
Die Gründe dafür sind nachvollziehbar:
- Personalmangel in sicherheitsspezifischen Rollen
- fehlende Fachkräfte im Bereich Governance, ISO 27001, NIS2 oder Risikoanalyse
- Wunsch nach organisatorischer Vereinfachung
- historisch gewachsene Strukturen, in denen “IT = Informationssicherheit” gesetzt wurde
- die Annahme, dass „technische Expertise automatisch zu Sicherheitskompetenz führt“
Diese Vorgehensweise mag aus Effizienz- oder Kostensicht logisch erscheinen, führt jedoch strukturell zu erheblichen Problemen und widerspricht sowohl den Anforderungen der NIS-Richtlinie (insbesondere NIS2 Artikel 20, Artikel 21 und Artikel 23) als auch den Grundsätzen der ISO 27001 (insbesondere Kapitel 4–10 und Annex A Control A.5.3).
Beide Regelwerke fordern ausdrücklich eine klare Trennung zwischen operativer IT, Managementverantwortung und der unabhängigen Überwachung des ISMS. Die Zusammenlegung dieser Rollen ist nicht nur fachlich problematisch, sondern wird in Audits regelmäßig als Governance-Mangel oder als unangemessene Kontrollstruktur bewertet.
TL;DR: Der CISO sollte organisatorisch unabhängig vom IT-Betrieb agieren. Eine Personalunion mit der IT-Leitung birgt regelmäßig Interessenkonflikte (Selbstkontrolle) und wird in Audits häufig als Governance-Schwäche bewertet. Auch die Besetzung durch die Geschäftsführung ist meist kritisch, da Rolle, Eskalation und verfügbare Kapazität kollidieren. In kleinen Organisationen können Ausnahmen vertretbar sein – vorausgesetzt, Unabhängigkeit und Kontrolle werden durch klare kompensierende Maßnahmen abgesichert (z. B. unabhängige Reviews/Audits, 4‑Augen-Prinzip bei Risikoakzeptanz sowie definierte Berichts- und Eskalationswege).
Warum Sie den IT-Leiter nicht auch zum CISO ernennen sollten
1. Struktureller Interessenkonflikt zwischen „Kontrolle“ und „Kontrolliertem“
Der CISO hat die Aufgabe, die Wirksamkeit der technischen und organisatorischen Sicherheitsmaßnahmen zu überwachen – einschließlich Patchmanagement, Berechtigungsverwaltung, Backup, Netzwerksegmentierung, Logging usw.
Diese Bereiche liegen direkt in der Verantwortung des IT-Leiters.
Der IT-Leiter würde also seine eigene Arbeit auditieren und bewerten.
Das ist aus Governance-Sicht unzulässig (entspricht dem Three-Lines-of-Defense-Modell).
Aus Audit- und Governance-Sicht wird das häufig als Schwachstelle bewertet, weil das Prinzip der Funktionstrennung (Segregation of Duties) nicht erfüllt ist. Relevante Bezugspunkte sind u. a.:
- ISO 27001:2022 Kapitel 5.3
- ISO 27001:2022 Anhang A Maßnahme A.5.3
- NIS2 EU Richtlinie 2022/2555 Artikel 21 Absatz 2f (Bewertung der Wirksamkeit)
- Interne Kontrollsysteme (IKS) / EU Corporate Governance Prinzipien
Auditoren formulieren das oft sehr deutlich:
„Eine Rolle kann nicht gleichzeitig Vorgaben definieren, deren Einhaltung sie selbst operativ zu verantworten hat.“
2. Technische Betriebsziele vs. Sicherheitsziele stehen oft im Konflikt
Der IT-Leiter ist primär für Verfügbarkeit, Stabilität und Kostenkontrolle verantwortlich. Der CISO hingegen ist verantwortlich für die Sicherheit, Risikoakzeptanz und Compliance.
Diese Ziele sind nicht deckungsgleich – in der Praxis sogar häufig gegensätzlich:
- IT-Leiter bevorzugen oft schnelle Lösungen → CISO priorisiert Risikominimierung.
- IT-Leiter wollen Feature-Releases und Projekte schnell vorantreiben → CISO fordert Risikoanalysen und Freigabeprozesse.
- IT-Leiter haben Budgetvorgaben → CISO fordert unter Umständen Maßnahmen, die zusätzliche Kosten verursachen.
Wenn der IT-Leiter selbst CISO ist, werden Sicherheitsentscheidungen automatisch zugunsten des Betriebs verzerrt.
Das ist menschlich verständlich, wird aber in Audits häufig als nicht ausreichende Unabhängigkeit bzw. als Governance-Risiko bewertet.
3. Keine ausreichende Unabhängigkeit bei Vorfällen
Im Incident-Management muss der CISO die Qualität der Reaktion, die Dokumentation und die Effektivität der Gegenmaßnahmen bewerten. Wenn der CISO und der IT-Leiter dieselbe Person sind:
- bewertet er sein eigenes Krisenmanagement,
- entscheidet über Meldepflichten, die seine eigene Abteilung belasten,
- schreibt Berichte, die potenzielle Fehler seines Teams offenlegen.
Auditoren/Zertifizierer bewerten das häufig als wesentliche Governance-Schwäche, insbesondere wenn Meldepflichten/Incident-Entscheidungen betroffen sind.
4. Der CISO braucht Prüfrechte, die beim IT-Leiter zwangsläufig eingeschränkt wären
Ein CISO muss:
- Logs und deren Vollständigkeit prüfen
- Administrationsrechte auditieren
- Firewallregeln kritisch hinterfragen
- Schwachstellenberichte einsehen und deren Behandlungspläne prüfen
- Backup-Integrität validieren und Restore-Tests fordern
Wenn der CISO der IT-Leiter ist, müsste er seine eigene Verantwortung hinterfragen und kontrollieren.
Effektive Kontrollmechanismen sind in dieser Konstellation strukturell nicht möglich.
5. Best Practice im internationalen Vergleich
In vielen größeren Organisationen sind IT-Leitung und CISO getrennt, weil Interessenkonflikte sonst regelmäßig auditrelevant werden. Gründe hierzu sind:
- Weil Zertifizierer/Prüfer (z. B. ISO 27001-Zertifizierung, TISAX-Assessments, NIS/NIS2 Prüfer,etc.) dies erwarten.
- Weil das interne Kontrollsysteme dies fordern.
Die personelle Trennung dieser beiden wichtigen Funktionen im Unternehmen ist nicht nur „nice to have“, sondern ein faktischer Standard.
Warum der Geschäftsführer nicht auch CISO sein sollte
1. Der CISO muss den Geschäftsführer beraten – nicht die Geschäftsführung selbst sein
Die ISO 27001 und NIS2 gehen davon aus, dass:
- das Management führt und Ressourcen bereitstellt,
- der CISO Inputs liefert, Risiken bewertet, Maßnahmen vorschlägt.
Wenn der Geschäftsführer selbst CISO ist, fehlt diese Trennung.
Der Geschäftsführer müsste sich selbst beraten und sich selbst kontrollieren.
Aus Audit- und Governance-Sicht ist das in der Regel schwer begründbar, weil Beratung, Entscheidung und Überwachung in einer Person zusammenfallen.
2. Keine zeitliche Kapazität und fachliche Detailtiefe
Ein CISO übernimmt oft folgende Tätigkeiten:
- Richtlinien entwickeln
- Risikoanalysen durchführen
- Audits planen und begleiten
- technische Architekturbewertungen durchführen
- Lieferantenbewertungen umsetzen
- Schulungen und Awareness planen
- Incident-Reviews moderieren
Das ist eine operative, detailintensive Rolle, die in der Praxis selten dauerhaft neben der Geschäftsführungsfunktion leistbar ist.
Der Geschäftsführer kann diesen operativen Aufwand realistisch nicht leisten, ohne seine eigentlichen Pflichten zu vernachlässigen. Gleichzeitig ist es unrealistisch, dass der Geschäftsführer die fachliche Detailtiefe von IT-Sicherheitsmaßnahmen kennt und diese bewerten kann.
3. Haftungsprobleme nach NIS2
Wenn der Geschäftsführer selbst CISO ist:
- bewertet er, ob meldepflichtige Vorfälle vorliegen
- dokumentiert er die eigene Nichterfüllung
- entscheidet er über die eigenen Haftungsrisiken
Bei Personalunion Geschäftsführung = CISO entstehen Governance- und Haftungsrisiken, weil Überwachung, Entscheidung und Dokumentation nicht unabhängig sind.
Ein Prüfer würde argumentieren, dass der Geschäftsführer damit die notwendigen unabhängigen Kontrollstrukturen unterläuft.
4. Fehlende Eskalationswege
Wenn der CISO Missstände feststellt, muss er diese an den Geschäftsführer eskalieren können. Wenn der CISO jedoch selbst der Geschäftsführer ist, entfällt dieser Eskalationsmechanismus vollständig.
Kompensation (wenn unvermeidbar):
- definierter Eskalationsweg an Beirat/Aufsichtsorgan, oder
- ein unabhängiges Kontrollgremium sowie regelmäßige unabhängige Reviews.
Wann werden Ausnahmen akzeptiert?
In kleinen Unternehmen (z. B. < 50 Mitarbeiter) ist eine vollständige personelle Trennung oft nicht wirtschaftlich darstellbar. Hier akzeptieren Auditoren eine Personalunion nur, wenn sogenannte kompensierende Maßnahmen ergriffen werden.
Wenn Sie IT-Leiter und CISO in einer Person sind, müssen Sie dem Auditor beweisen, wie Sie den Interessenkonflikt neutralisieren. Beispiele für kompensierende Maßnahmen:
- Externe Audits: Ein externer Berater führt die internen Audits durch, um eine objektive Sicht auf die Arbeit des “IT-CISO” zu gewährleisten.
- Direkter Berichtsweg: Bei Sicherheitsvorfällen berichtet der IT-CISO nicht an sich selbst, sondern direkt an die Geschäftsführung (CEO).
- Vier-Augen-Prinzip: Kritische Sicherheitsentscheidungen (z.B. Risikoakzeptanz) dürfen nicht vom IT-CISO allein getroffen werden, sondern müssen von der Geschäftsführung gegengezeichnet werden.
Die Rollenverteilung der Geschäftsführer übernimmt die Rolle des CISOs, gelingt oft nur durch Einsatz externer Unterstützung. Ein Modell, das oft funktioniert:
- Geschäftsführer ist offiziell Verantwortlicher CISO
- Ein externer Berater übernimmt die operative Rolle als virtuellen CISOs (vCISO) im Zuge eines CISO-as-Service.
Der externe Berater bereitet die Risikoanalysen und Audits vor und gewährleistet die fachliche Korrektheit, während der CEO-CISO die formale Verantwortung trägt. Wichtig ist hier, dass das interne Audit zwingend von einer unabhängigen Person und nicht von dem CEO durchgeführt wird.
Selbstverständlich gibt es einen weiteren Grund für eine Doppel-Rolle, nämlich wenn der CISO kündigt oder längerfristig ausfällt. Bis zu einer Neubesetzung ist ein IT-CISO oder ein CEO-CISO besser als eine personelle Lücke in der Informationssicherheit.
Fazit
Die CISO-Funktion entfaltet ihren Wert nur dann vollständig, wenn sie unabhängig vom operativen IT-Betrieb positioniert ist und klare Eskalationswege hat. Doppelrollen können in Ausnahmesituationen sinnvoll sein (z. B. Übergang, Kündigung, längerer Ausfall) – sollten dann aber zeitlich befristet, transparent dokumentiert und durch kompensierende Maßnahmen (4‑Augen-Prinzip, unabhängige Reviews/Audits, klare Reporting-Lines) abgesichert werden. So bleibt Informationssicherheit auch in der Übergangsphase handlungsfähig, ohne Governance und Auditfähigkeit zu gefährden.
