Cybervize – Cybersecurity Beratung
Alle Artikel

CISO vs. CEO: Wer trägt die Verantwortung für IT-Sicherheit?

Alexander Busse·11. Dezember 2025
CISO vs. CEO: Wer trägt die Verantwortung für IT-Sicherheit?

Warum die Verantwortung für IT-Sicherheit beim CEO liegt

In vielen Unternehmen herrscht ein gefährliches Missverständnis: Der Chief Information Security Officer (CISO) wird als derjenige angesehen, der für die Sicherheit des Unternehmens "verantwortlich" ist. Doch diese vereinfachte Sichtweise führt zu strukturellen Problemen in der IT-Sicherheits-Governance und kann im Ernstfall fatale Folgen haben.

Die Realität ist komplexer und präziser: Für Sicherheit steht nicht der CISO gerade, sondern der CEO. Diese Unterscheidung ist nicht nur semantisch, sondern hat weitreichende praktische und rechtliche Konsequenzen für die Organisation.

Der feine, aber entscheidende Unterschied: Responsible vs. Accountable

Im deutschen Sprachraum verwenden wir häufig nur das Wort "Verantwortung" für alle Arten von Zuständigkeiten. Das Englische bietet hier eine wichtigere Differenzierung, die im Rahmen moderner Governance-Modelle wie RACI (Responsible, Accountable, Consulted, Informed) zum Standard geworden ist:

Responsible bedeutet: zuständig für die Durchführung, die operative Umsetzung und das Management einer Aufgabe.

Accountable bedeutet: trägt das ultimative Risiko, muss Rechenschaft ablegen und steht rechtlich sowie geschäftlich dafür gerade.

Diese Trennung ist fundamental für eine funktionierende Sicherheitsorganisation. Wenn sie fehlt oder missachtet wird, entstehen Governance-Lücken, die das Unternehmen verwundbar machen.

Die drei Ebenen der Sicherheitsverantwortung

1. Der Vorstand/CEO ist accountable

Der CEO oder Vorstand trägt die ultimative Verantwortung für die Sicherheit des Unternehmens. Das bedeutet konkret:

  • Er trifft die finalen Entscheidungen über Sicherheitsinvestitionen und Prioritäten
  • Er gibt das Budget frei für Sicherheitsmaßnahmen, Tools und Personal
  • Er trägt das Risiko und muss im Fall eines Sicherheitsvorfalls Rechenschaft ablegen, gegenüber Aufsichtsrat, Aktionären, Kunden und Regulatoren
  • Er priorisiert zwischen Geschäftszielen und Sicherheitsanforderungen

Diese Rolle kann nicht delegiert werden. Nach NIS2, DORA und anderen regulatorischen Rahmenwerken wird diese persönliche Haftung der Geschäftsführung zunehmend konkretisiert und verschärft.

2. Der CISO ist responsible

Der CISO ist der operative Verantwortliche für das Sicherheitsmanagement. Seine Kernaufgaben umfassen:

  • Steuerung des Themas Sicherheit über alle Bereiche des Unternehmens hinweg
  • Schaffung von Transparenz über die aktuelle Sicherheitslage
  • Risikokommunikation: Erklärung komplexer Sicherheitsrisiken so, dass der CEO fundierte Entscheidungen treffen kann
  • Entwicklung von Strategien und Richtlinien für Informationssicherheit
  • Koordination zwischen IT, Fachbereichen und Geschäftsführung

Der CISO berät, empfiehlt und warnt. Er erstellt die Entscheidungsgrundlage. Aber die finale Entscheidung über die Risikoakzeptanz liegt beim CEO.

3. Fachbereiche und IT sind umsetzungsverantwortlich

Die tatsächliche Implementierung von Sicherheitsmaßnahmen erfolgt dort, wo Systeme betrieben und Daten verarbeitet werden:

  • IT-Administratoren patchen Server und konfigurieren Firewalls
  • Entwicklungsteams implementieren sichere Coding-Praktiken
  • Fachbereiche setzen Datenschutz- und Sicherheitsrichtlinien im Tagesgeschäft um
  • Alle Mitarbeiter tragen durch sicherheitsbewusstes Verhalten zur Gesamtsicherheit bei

Der CISO patcht nicht selbst den Server, sondern definiert die Anforderung und prüft die Umsetzung. Diese Trennung ist entscheidend für Skalierbarkeit und Effizienz.

Was ein moderner CISO wirklich braucht

Die Rolle des CISO hat sich in den letzten Jahren fundamental gewandelt. Vom technischen Spezialisten zum strategischen Berater und Kommunikator. Die wichtigsten Kompetenzen eines erfolgreichen CISO sind:

Kommunikation und "Übersetzung"

Die Fähigkeit, komplexe technische Sicherheitsrisiken in Geschäftsrisiken zu übersetzen, ist die vielleicht wichtigste CISO-Kompetenz. Der CEO muss verstehen: Was bedeutet diese Schwachstelle für unseren Umsatz, unsere Reputation, unsere Compliance? Erst dann kann er entscheiden.

Business-Verständnis

Ein CISO muss verstehen, wie das Unternehmen Geld verdient. Welche Prozesse sind kritisch? Welche Daten sind wertvoll? Wo sind die echten Business-Risiken? Nur mit diesem Verständnis kann er Sicherheit sinnvoll priorisieren und zum Geschäftserfolg beitragen statt ihn zu behindern.

Führung ohne disziplinarische Macht

In den meisten Organisationen hat der CISO keine direkte Weisungsbefugnis über IT oder Fachbereiche. Er muss dennoch Sicherheitsziele durchsetzen. Das erfordert Influencing-Skills, Überzeugungskraft und die Fähigkeit, Allianzen zu schmieden.

Integrität und Ruhe in der Krise

Wenn es brennt, etwa bei einem Cyberangriff, braucht das Unternehmen einen CISO, der Ruhe bewahrt, klar kommuniziert und strukturiert vorgeht. Panik ist der Feind guter Entscheidungen.

Was oft überschätzt wird

Erstaunlicherweise sind technische Hardcore-Skills in der modernen CISO-Rolle weniger zentral als viele denken:

  • Super-Hacker-Skills: Nice to have, aber nicht entscheidend
  • Selbst Pen-Tests durchführen: Dafür gibt es Spezialisten
  • Firewalls per CLI konfigurieren: Das ist die Aufgabe der IT-Administration

Ein CISO muss diese Themen verstehen und einordnen können, aber nicht selbst operativ durchführen. Seine Zeit ist besser in Strategie, Kommunikation und Koordination investiert.

Die Navi-Metapher: Rollen klar definieren

Eine treffende Metapher für die Rollenverteilung:

Der CISO liefert das Navi und die Wettervorhersage. Er zeigt mögliche Routen, warnt vor Gefahren und gibt Empfehlungen.

Fahren und die Route verantworten muss der CEO. Er entscheidet, welches Risiko akzeptabel ist, welche Route gefahren wird und trägt die Konsequenzen.

Diese Klarheit schützt beide Rollen und das gesamte Unternehmen. Der CISO kann offen über Risiken sprechen, ohne Angst, für jede Entscheidung persönlich haftbar gemacht zu werden. Der CEO kann entscheiden, mit dem Wissen, dass er die volle Verantwortung trägt.

Praktische Umsetzung: So gelingt die Rollenklärung

Wie können Unternehmen diese Rollenverteilung in der Praxis etablieren?

  1. Dokumentieren Sie Rollen und Verantwortlichkeiten in einer Sicherheits-Governance-Struktur (z.B. mit RACI-Matrix)
  2. Etablieren Sie regelmäßige Security-Briefings für die Geschäftsführung
  3. Definieren Sie Entscheidungsprozesse für Sicherheitsinvestitionen und Risikoakzeptanz
  4. Kommunizieren Sie die Rollenverteilung klar im gesamten Unternehmen
  5. Schulen Sie den CEO in grundlegenden Cyber-Risiken und seiner persönlichen Verantwortung

Fazit: Governance ist der Schlüssel

Viele Sicherheitsprobleme in Unternehmen sind keine technischen Probleme, sondern Governance-Probleme. Wenn Rollen unklar sind, Verantwortlichkeiten verwischt werden und Entscheidungswege nicht definiert sind, können selbst die besten technischen Maßnahmen ihre Wirkung nicht entfalten.

Die klare Unterscheidung zwischen "accountable" und "responsible" ist mehr als ein sprachliches Detail. Sie ist die Grundlage für eine funktionierende Sicherheitsorganisation, in der der CISO als strategischer Berater wirken kann und der CEO seine unternehmerische Verantwortung bewusst wahrnimmt.

Die Frage ist nicht, ob Ihr Unternehmen ein CISO braucht. Die Frage ist: Weiß Ihr CEO, dass er accountable ist?

Zurück zur Übersicht