Interviewfragen zu CISM
Management-focused governance, risk and security-programme certification.
Ein Auditor verlangt einen Nachweis, dass Zugriffsüberprüfungen vierteljährlich stattfinden. Was legen Sie vor?
Auditoren prüfen Nachweise, nicht Absichten: Legen Sie die Richtlinie zur Zugriffsüberprüfung vor, datierte Aufzeichnungen jeder Überprüfung mit der Freigabe eines Genehmigers sowie die Bestätigung, dass markierte Zugriffe tatsächlich entzogen und verifiziert wurden. Eine mündliche Bestätigung beweist nichts Wiederholbares, ein Versprechen, nächstes Quartal anzufangen, zeigt, dass die Kontrolle im Prüfzeitraum nicht wirksam war, und ein Organigramm beschreibt Berichtslinien, keine Zugriffsentscheidungen. Nur die datierten, zuordenbaren Artefakte belegen, dass die Kontrolle über den gesamten Zeitraum wie vorgesehen wirksam war.
Die Führung sagt: „Wir haben Backups, also sind wir für die Notfallwiederherstellung abgesichert.“ Was stellen Sie klar?
Backups sind notwendig, aber nicht hinreichend: Notfallwiederherstellung und Geschäftskontinuität sind die getestete Fähigkeit, den Betrieb innerhalb vereinbarter Wiederherstellungszeit- und -punktziele (RTO/RPO) wiederherzustellen, was einen dokumentierten Plan, abgebildete Abhängigkeiten, Runbooks und validierte Wiederherstellungen erfordert — nicht nur die Existenz von Backup-Dateien. Beide gleichzusetzen verwechselt eine Datenkopie mit einer betrieblichen Fähigkeit. DR bedeutet nicht bloß, eine Versicherung abzuschließen, die den finanziellen Verlust überträgt, aber keine Systeme wiederherstellt. Und Backups machen einen DR-Plan nicht überflüssig — ungetestete Backups versagen regelmäßig, wenn sie endlich gebraucht werden. Die Klarstellung: DR muss geübt, nicht angenommen werden.
Ein System besteht die Compliance-Checkliste, aber Sie erkennen eine echte Sicherheitslücke. Was ist die richtige Haltung?
Rahmenwerke setzen eine Mindestlatte und können vollständig erfüllt sein, während ein echtes Risiko bestehen bleibt; eine bestandene Checkliste bedeutet daher nicht sicher: Melden Sie die Lücke, bewerten Sie ihr Risiko und treiben Sie die Behandlung voran, unabhängig vom Compliance-Status. Zu schließen, es sei sicher, weil die Compliance bestanden wurde, ist eine gefährliche Vermischung zweier verschiedener Dinge. Die Lücke aus dem Bericht zu entfernen ist eine Falschdarstellung, möglicherweise Betrug. Auf den nächsten Auditzyklus zu warten lässt eine echte Gefährdung wissentlich offen. Die reife Haltung behandelt Compliance als Nachweis eines Bodens, nicht einer Decke, und handelt nach dem Risiko, das man tatsächlich sieht.
Teams behandeln Daten uneinheitlich — manche überschützen triviale Daten, manche legen sensible Daten offen. Welche grundlegende Kontrolle hilft?
Uneinheitliche Handhabung bedeutet meist, dass es keine gemeinsame Definition von Sensibilität gibt; die grundlegende Kontrolle ist daher ein Datenklassifizierungsschema (z. B. öffentlich/intern/vertraulich/streng vertraulich) mit definierten Anforderungen an Handhabung, Speicherung und Weitergabe je Stufe, das es Teams erlaubt, verhältnismäßige Kontrollen anzuwenden. Nichts zu verschlüsseln „der Einfachheit halber“ oder alle Daten als öffentlich zu behandeln nimmt den Daten, die ihn brauchen, den Schutz. Alle Daten zu löschen, die älter als ein Tag sind, vernichtet Aufzeichnungen, die das Unternehmen und das Gesetz benötigen. Nur ein Klassifizierungsschema richtet die Stärke der Kontrollen an der tatsächlichen Sensibilität der Daten aus.
Ein Mitarbeiter verlässt das Unternehmen. Welche GRC-relevante Kontrolle ist zu verifizieren?
Das Austrittsrisiko ist der verbleibende Zugriff, daher ist die zu verifizierende Kontrolle das zeitnahe Deprovisioning jedes Zugriffswegs — Verzeichniskonten, SSO, VPN, privilegierte und Dienstkonten sowie Drittanbieter-SaaS — abgeglichen mit dem Joiner/Mover/Leaver-Prozess (JML). Anzunehmen, die Personalabteilung erledige alles ohne Verifizierung, hinterlässt Lücken, die niemandem gehören. Das Konto „für den Fall der Rückkehr“ aktiv zu lassen ist ein dauerhaftes, unüberwachtes Risiko. Nur die E-Mail zu deaktivieren ignoriert die vielen anderen Systeme, die die Person noch erreichen könnte. Es geht darum, zu verifizieren, dass der Zugriff tatsächlich und vollständig entfernt ist, nicht darauf zu vertrauen.
Sie wollen den PCI-DSS-Geltungsbereich reduzieren. Was ist der Standardansatz?
Der PCI-DSS-Geltungsbereich umfasst Systeme, die Karteninhaberdaten speichern, verarbeiten oder übertragen, sowie alles, was mit ihnen verbunden ist oder sie beeinflussen kann; eine wirksame Netzwerksegmentierung isoliert daher das Karteninhaberdaten-Umfeld (CDE) und nimmt fremde Systeme aus dem Geltungsbereich, was Kosten, Aufwand und Risiko senkt. Alle Server zu verschlüsseln definiert keine Grenze, und verbundene Systeme bleiben im Geltungsbereich; überall ungezielt Firewalls hinzuzufügen ist keine Segmentierung, wenn es die Datenflüsse nicht einschränkt und validiert; und Kartennummern nicht mehr laut vorzulesen ist Hygiene, keine Geltungsbereichskontrolle. Die systemische Antwort lautet: zu kontrollieren, wo Karteninhaberdaten liegen und was sie erreichen kann.
Ein Team identifiziert ein neues Risiko. Was tun Sie als GRC-Analyst damit?
Governance bedeutet, dass das Risiko erfasst und gesteuert wird, nicht informell behandelt: Tragen Sie es mit bewerteter Eintrittswahrscheinlichkeit und Auswirkung ins Risikoregister ein, weisen Sie einen verantwortlichen Eigentümer zu, treffen und dokumentieren Sie die Behandlung (mindern, übertragen, akzeptieren oder vermeiden) und legen Sie einen Überprüfungstermin fest. Es selbst auf der Stelle zu beheben überspringt Verantwortung, Priorisierung und Nachverfolgung und liegt vielleicht gar nicht in Ihrer Hand. Es zu ignorieren, bis daraus ein Vorfall wird, ist fahrlässig, und es per E-Mail an alle zu schicken erzeugt Lärm, aber keine Verantwortlichkeit oder Nachverfolgung. Das Register macht aus einer einmaligen Beobachtung eine nachverfolgte, zugeordnete und erneut geprüfte Entscheidung.
Ein Anbieter schickt Ihnen einen SOC-2-Bericht. Was sollten Sie tatsächlich prüfen?
Ein SOC-2-Bericht gibt Ihnen nur dann Sicherheit, wenn Sie ihn tatsächlich lesen: Bestätigen Sie den richtigen Typ (Typ II prüft die Wirksamkeit über die Zeit, Typ I nur die Ausgestaltung zu einem Zeitpunkt), prüfen Sie Umfang und welche Trust-Services-Kriterien abgedeckt sind, ob der Zeitraum aktuell und lückenlos ist, welches Urteil der Prüfer abgegeben hat (uneingeschränkt oder eingeschränkt), und sehen Sie sich die vermerkten Ausnahmen sowie die ergänzenden Kontrollen der nutzenden Organisation (CUECs) an, für die Sie verantwortlich sind. Nur zu bestätigen, dass der Bericht existiert — oder ihn nach Titellogo oder Seitenzahl zu beurteilen — sagt nichts über die tatsächliche Wirksamkeit der Kontrollen des Anbieters oder Ihre Restpflichten aus.
Eine Fachabteilung will nächste Woche Kunden-PII in einen neuen SaaS-Anbieter übertragen. Was verlangt der Architekt zuerst?
PII an einen Dritten zu geben erweitert deine Vertrauensgrenze, also führe zuerst eine Anbieter-Sicherheitsbewertung durch — Datenverarbeitung, Verschlüsselung, Zugriffskontrollen, Zertifizierungen wie SOC 2 / ISO 27001, Unterauftragsverarbeiter, Bedingungen zur Verletzungsmeldung — und schließe einen Auftragsverarbeitungsvertrag (AVV) ab, bevor PII fließt. Ein Preisvertrag oder das mündliche Wort eines Vertrieblers ist keine Sorgfaltsprüfung. Und eine „gepflegte Website" sagt nichts darüber, wie der Anbieter Daten tatsächlich schützt; du bleibst dafür verantwortlich.
Der Vorstand fragt: „Sind wir sicher?" Wie sollte ein CISO antworten?
„Sicher" ist nicht binär; ein CISO kommuniziert in der Sprache des Geschäftsrisikos: die wesentlichsten Risiken, wie aktuelle Kontrollen sie im Verhältnis zur Risikobereitschaft des Vorstands senken, geplante Investitionen und das akzeptierte Restrisiko. Ein absolutes „Ja" ist eine falsche Sicherheit, die beim ersten Vorfall zusammenbricht. „Nein, wir werden nie sicher sein" ist technisch wahr, aber nutzlos und zeigt mangelnde Beherrschung des Themas. Eine Einkaufsliste aus Firewalls und Tools spiegelt Ausgaben wider, kein Risiko und kein Ergebnis, das der Vorstand steuern kann.
Sie bestätigen eine Datenpanne mit Kunden-PII, und die Rechtsabteilung zögert mit der Offenlegung. Was treibt der CISO voran?
Der Umgang mit einer Datenpanne wird durch Gesetz und Vertrag geregelt: mit der Rechtsabteilung die verpflichtenden Meldefristen einhalten (etwa die 72 Stunden der DSGVO an die Aufsichtsbehörde) und Betroffene korrekt informieren. Verschleierung birgt weit höhere Bußgelder, behördliche Maßnahmen und Reputationsschäden, wenn sie später ans Licht kommt. Das vorzeitige Veröffentlichen roher, ungeprüfter technischer Details kann Kunden in die Irre führen und Angreifern helfen. Einen einzelnen Mitarbeiter öffentlich zum Sündenbock zu machen ist weder korrekt, noch rechtmäßig, noch wirksames Krisenmanagement.
Der Vorstand möchte Sicherheits-„Metriken". Welche ist am aussagekräftigsten zu berichten?
Metriken auf Vorstandsebene sollten mit Risiko und Ergebnissen verbunden sein: Erkennungs- und Reaktionszeiten (MTTD/MTTR), Einhaltung von Patch-SLAs bei kritischen Systemen, Kontrollabdeckung und wie sich das Restrisiko gegenüber der Risikobereitschaft entwickelt. Die Zahl der von der Firewall blockierten Angriffe, die Zählung von Antivirus-Signaturen und die Gesamtzahl empfangener E-Mails sind eitle Zahlen — sie klingen beeindruckend, sagen der Führung aber nichts darüber, ob das Risiko sinkt. Der Vorstand steuert Risiko, also müssen Metriken ihm den Trend zeigen und ihn entscheiden lassen.
Eine Phishing-Simulation zeigt, dass 30 % der Belegschaft auf den Link geklickt haben. Was ist die konstruktive Reaktion?
Eine Klickrate von 30 % ist eine Ausgangsbasis zum Verbessern, keine Liste von Personen zum Bestrafen: rollenbasierte Schulung und einen reibungslosen Melde-Button mit technischen Abwehrmaßnahmen (MFA, E-Mail-Filterung, geringste Rechte) verbinden, damit ein einzelner Klick nicht zur Kompromittierung führt, und den Trend über die Zeit verfolgen. Mitarbeiter öffentlich bloßzustellen unterdrückt die Meldungen, auf die Sie angewiesen sind. Die Belegschaft für hoffnungslos zu erklären entfernt eine Kontrolle, die man stärken sollte. Eine weitere angsteinflößende Rundmail ist keine messbare Maßnahme und ändert kein Verhalten.
Wie sollte ein CISO bei begrenztem Budget entscheiden, was finanziert wird?
Sicherheitsausgaben sollten dem Risiko folgen, nicht dem Hype: eine Risikobewertung nutzen, um Geld dorthin zu lenken, wo geschäftliche Auswirkung und Wahrscheinlichkeit am höchsten und die aktuelle Kontrollabdeckung am schwächsten ist, und dann die erzielte Reduktion messen. Zu kaufen, was der populäre Anbieter verkauft, ignoriert Ihr tatsächliches Bedrohungsprofil und finanziert oft ungenutzte Software. Das Budget gleichmäßig zu verteilen unterfinanziert die wenigen Bereiche, die am meisten zählen. Wettbewerber zu kopieren unterstellt, deren Risikoprofil gleiche Ihrem, was selten zutrifft.
Warum sollte ein CISO Incident-Response-Tabletop-Übungen VOR einem Vorfall durchführen?
Tabletops proben die menschliche und entscheidungsbezogene Seite der IR — wer die Befugnis hat, einen Vorfall zu erklären, wie die Kommunikation zwischen Recht/PR/Geschäftsführung verläuft und wo das Playbook bricht — damit Sie diese Entscheidungen nicht zum ersten Mal in einer echten Krise treffen. Es ist weit günstiger, Lücken in einer Übung zu finden als mitten in einer Panne. Sie sind kein leeres Compliance-Häkchen, sie dienen nicht der Schuldzuweisung für vergangene Vorfälle, und sie sind funktionsübergreifend, nicht nur für das SOC — die Führung muss die Entscheidungen üben, die nur sie treffen kann.
Ein Altsystem lässt sich nicht patchen, und das Unternehmen finanziert dieses Jahr keinen Ersatz. Was ist die richtige Maßnahme des CISO?
Wenn man nicht beheben kann, steuert man das Risiko: die Exposition mit kompensierenden Kontrollen verringern (Netzsegmentierung, eingeschränkter Zugriff, verstärktes Monitoring), das Restrisiko quantifizieren und es vom verantwortlichen Fachbereichseigentümer mit definiertem Prüftermin formal akzeptieren lassen. Eine einseitige Abschaltung überschreitet die Befugnis des CISO und schadet dem Geschäft. Es zu ignorieren, weil es nicht behebbar ist, ist Fahrlässigkeit. Es aus dem Risikoregister wegzulassen verschleiert die Verantwortung, unterbricht die Audit-Spur und bedeutet, dass niemand die Entscheidung dokumentiert verantwortet.
Ein wichtiger SaaS-Anbieter meldet eine Datenpanne, die möglicherweise Ihre Daten umfasst. Was sind die ersten Schritte des CISO?
Eine Anbieter-Datenpanne ist auch Ihr Vorfall: die Incident Response auslösen, um einzugrenzen, welche Ihrer Daten und Integrationen exponiert wurden, alle gemeinsam genutzten Secrets, API-Schlüssel und SSO-Vertrauensbeziehungen rotieren, Ihre eigenen regulatorischen Meldepflichten bewerten und den Anbieter zur Offenlegung anhalten. Passives Warten auf den Anbieter gibt die Kontrolle über Ihren eigenen Zeitplan und Ihre Pflichten ab. Eine öffentliche Vertragskündigung ist verfrühte Effekthascherei, bevor Sie Ihre Exposition überhaupt kennen. Anzunehmen, Sie seien nicht betroffen, überspringt genau die Bewertung, die Behörden und Ihre Kunden erwarten.
Was ist das NIST AI Risk Management Framework und wie strukturiert es die KI-Governance?
Das NIST AI Risk Management Framework (AI RMF 1.0) ist ein freiwilliges, risikobasiertes Framework zur Governance vertrauenswürdiger KI über ihren gesamten Lebenszyklus. Sein Kern sind vier Funktionen: Govern (Kultur, Richtlinien, Verantwortlichkeit — und es zieht sich durch die anderen), Map (Kontext und Risikoidentifikation), Measure (Risiken bewerten und nachverfolgen) und Manage (priorisieren und reagieren). Es definiert außerdem Vertrauenswürdigkeitsmerkmale — valide und zuverlässig, sicher, abgesichert und widerstandsfähig, rechenschaftspflichtig und transparent, erklärbar, datenschutzfördernd und fair. Es ergänzt technische Listen wie die OWASP LLM Top 10 auf der Programmebene.
Erklären Sie BCP versus DRP und definieren Sie RTO und RPO.
Geschäftskontinuität (BCP) ist die umfassende Strategie, um kritische Geschäftsfunktionen während und nach einer Störung am Laufen zu halten; Notfallwiederherstellung (DRP) ist die IT-fokussierte Teilmenge, die Systeme und Daten wiederherstellt. RTO ist die maximal tolerierbare Zeit zur Wiederherstellung einer Funktion; RPO ist der maximal tolerierbare, in Zeit gemessene Datenverlust.
Erklären Sie Due Care versus Due Diligence und geben Sie je ein Beispiel.
Due Diligence ist die fortlaufende Untersuchung und das Verständnis von Risiken (wissen, was getan werden sollte), während Due Care das Ergreifen der angemessenen Maßnahmen ist, die eine umsichtige Person ergreifen würde, um sie anzugehen (es tatsächlich tun). Diligence ist Recherche und Aufsicht; Care ist Umsetzung und Pflege.
Führen Sie mich durch quantitative versus qualitative Risikoanalyse und definieren Sie ALE, SLE und ARO.
Die quantitative Analyse weist konkrete Geldwerte zu, um den erwarteten Verlust zu berechnen; die qualitative Analyse stuft das Risiko auf relativen Skalen (hoch/mittel/niedrig) per Experteneinschätzung ein. Quantitativ verwendet SLE = Vermögenswert x Expositionsfaktor, ARO = erwartete Vorkommen pro Jahr und ALE = SLE x ARO, um den jährlich erwarteten Verlust in Euro auszudrücken.
Welche Optionen haben Sie nach einer Risikobewertung, um ein Risiko zu behandeln? Geben Sie je ein Beispiel.
Sie können mindern (Eintrittswahrscheinlichkeit/Auswirkung mit Kontrollen senken), übertragen (die finanzielle Auswirkung über Versicherung oder Verträge verlagern), vermeiden (die riskante Tätigkeit ganz einstellen) oder akzeptieren (das Restrisiko bewusst hinnehmen). Die Wahl hängt vom Risikoappetit und einem Kosten-Nutzen-Vergleich gegenüber dem erwarteten Verlust des Risikos ab.
Erklären Sie die Kategorien von Sicherheitskontrollen und nennen Sie Beispiele für jede.
Kontrollen werden auf zwei Arten klassifiziert. Nach Typ: administrativ (Richtlinien, Schulungen, Verfahren), technisch/logisch (Firewalls, MFA, Verschlüsselung) und physisch (Schlösser, Ausweise, Kameras). Nach Funktion: präventiv (ein Ereignis verhindern — MFA, Zugriffskontrolle), detektiv (ein Ereignis aufdecken — SIEM, IDS, Audit-Logs), korrektiv (danach beheben — Wiederherstellung aus Backup, Patch), abschreckend (entmutigen — Warnhinweise) und kompensierend (eine Alternative, wenn die Hauptkontrolle nicht machbar ist). Die Defense in Depth schichtet diese, sodass kein einzelner Kontrollausfall zu einer Kompromittierung führt.
Was sind die Grundprinzipien der GDPR und wie lautet die Frist für die Meldung von Datenschutzverletzungen?
Artikel 5 der GDPR legt sieben Grundsätze fest: Rechtmäßigkeit/Verarbeitung nach Treu und Glauben/Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht. Bei einer Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche die zuständige Aufsichtsbehörde unverzüglich und nach Möglichkeit binnen 72 Stunden nach Bekanntwerden benachrichtigen (Artikel 33). Birgt die Verletzung voraussichtlich ein hohes Risiko für die Personen, muss der Verantwortliche auch die betroffenen Personen unverzüglich benachrichtigen (Artikel 34).
Wie unterscheiden sich Governance, Risiko und Compliance, und wie hängen sie zusammen?
Governance ist die Art, wie die Führung die Richtung vorgibt, Verantwortlichkeit festlegt und die Sicherheit auf die Geschäftsziele ausrichtet — die Richtlinien, Rollen und Aufsicht, die definieren, wie „gut" aussieht. Risikomanagement ist der Prozess, Bedrohungen für diese Ziele zu erkennen, zu bewerten, zu behandeln und zu überwachen. Compliance bedeutet, die Einhaltung von Verpflichtungen nachzuweisen — Gesetze, Vorschriften, Verträge und interne Richtlinien. Governance steuert Risikoentscheidungen; das Risiko bestimmt, welche Kontrollen Sie brauchen; Compliance belegt, dass diese Kontrollen die geforderten Standards erfüllen. Compliance ist ein Ergebnis guter GRC, kein Ersatz für Sicherheit.
Erklären Sie die HIPAA-Grundlagen: PHI, die Schutzmaßnahmen der Security Rule und wer sie einhalten muss.
HIPAA (der US-amerikanische Health Insurance Portability and Accountability Act) schützt Protected Health Information (PHI). Die Privacy Rule regelt Nutzung und Offenlegung von PHI; die Security Rule gilt für elektronische PHI (ePHI) und verlangt drei Kategorien von Schutzmaßnahmen — administrative, physische und technische. Sie gilt für covered entities (Leistungserbringer, Gesundheitspläne, Clearingstellen) und für business associates, die in ihrem Auftrag PHI verarbeiten und durch Business Associate Agreements gebunden sind. Die Breach Notification Rule legt die Pflichten zur Benachrichtigung von Personen, des HHS und mitunter der Medien fest.
Was ist ein ISMS nach ISO/IEC 27001, und welche Rolle spielt Anhang A?
ISO/IEC 27001 legt die Anforderungen an ein Information Security Management System (ISMS) fest: ein risikobasiertes, von oben gesteuertes Rahmenwerk aus Richtlinien, Prozessen, Rollen und kontinuierlicher Verbesserung (Plan-Do-Check-Act), das regelt, wie eine Organisation die Informationssicherheit handhabt. Anhang A ist ein Referenzkatalog von Kontrollen. Man wendet nicht alle blind an — man führt eine Risikobewertung durch, entscheidet, welche Kontrollen nötig sind, und dokumentiert die Aufnahme-/Ausschlussentscheidungen mit Begründung in einer Statement of Applicability (SoA).
Nennen und erklären Sie die Kernfunktionen des NIST Cybersecurity Framework.
Das NIST Cybersecurity Framework ordnet Cybersicherheitsergebnisse in Kernfunktionen. Im CSF 2.0 gibt es sechs: Govern (die neue übergreifende Funktion für Strategie, Rollen, Risikoentscheidungen und Aufsicht), Identify (Werte und Risiken verstehen), Protect (Schutzmaßnahmen zur Begrenzung der Auswirkungen), Detect (Ereignisse aufdecken), Respond (auf Vorfälle reagieren) und Recover (Fähigkeiten wiederherstellen). Sie verlaufen nicht streng sequenziell — sie laufen kontinuierlich und beschreiben zusammen einen vollständigen Lebenszyklus des Managements von Cyberrisiken.
Erklären Sie die PCI-DSS-Grundlagen: was es schützt, für wen es gilt und die Reduzierung des Geltungsbereichs.
PCI DSS (Payment Card Industry Data Security Standard) ist ein vom PCI Security Standards Council gepflegter Sicherheitsstandard, der für jede Organisation gilt, die Karteninhaberdaten speichert, verarbeitet oder übermittelt. Er ist um Kontrollziele herum aufgebaut, die ein sicheres Netzwerk, den Schutz gespeicherter Karteninhaberdaten, das Schwachstellenmanagement, eine starke Zugriffskontrolle, Überwachung/Tests und eine Informationssicherheitsrichtlinie abdecken. Der Geltungsbereich ist alles im cardholder data environment (CDE) — daher sind Segmentierung, Tokenisierung und das Nichtspeichern unnötiger Daten die wichtigsten Wege, ihn zu verkleinern.
Wie würden Sie ein Programm für Sicherheitsbewusstsein und -schulung gestalten und messen?
Behandeln Sie Bewusstseinsbildung als Verhaltensänderung, nicht als jährliches Häkchen. Machen Sie sie rollenbasiert (eine Entwicklerin braucht andere Inhalte als die Finanzabteilung), kontinuierlich statt einer Folienpräsentation einmal im Jahr und verankert in realen Risiken wie Phishing, Social Engineering und Datenhandhabung. Verstärken Sie sie mit Phishing-Simulationen, zeitnahen Hinweisen und klaren Meldewegen. Messen Sie Ergebnisse — Phishing-Melderate, Klickrate, Zeit bis zur Meldung — nicht nur Abschlussquoten. Bauen Sie eine Kultur auf, in der Menschen Fehler ohne Angst melden, denn Angst unterdrückt das Melden.
Erkläre den Unterschied zwischen Security-KPIs und -KRIs, mit Beispielen.
Ein KPI (Key Performance Indicator) misst, wie gut eine Sicherheitsaktivität gegenüber ihrem Ziel abschneidet — zum Beispiel Mean Time to Detect, Patch-SLA-Einhaltung oder Prozentsatz der Systeme mit MFA. Ein KRI (Key Risk Indicator) ist ein vorausschauendes Signal, dass das Risikoexposure auf ein inakzeptables Niveau ansteigt, mit einer Schwelle, die Handeln auslösen sollte — zum Beispiel die Zahl überfälliger kritischer Patches, die Anzahl unverwalteter Geräte oder fehlgeschlagene Access Reviews mit steigendem Trend. KPIs sagen dir, wie es läuft; KRIs warnen dich, wohin es sich entwickelt.
Erklären Sie SOC 2 Typ I vs. Typ II und die Trust Services Criteria.
Ein SOC-2-Bericht vom Typ I beurteilt, ob die Kontrollen einer Dienstleistungsorganisation zu einem einzelnen Zeitpunkt angemessen gestaltet sind. Ein Typ-II-Bericht geht weiter: Er prüft, ob diese Kontrollen über einen Prüfzeitraum hinweg wirksam funktioniert haben, typischerweise 3 bis 12 Monate. Beide basieren auf den Trust Services Criteria der AICPA — Sicherheit (die verpflichtenden gemeinsamen Kriterien), plus optional Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.
Führe mich durch, wie du Drittanbieter- (Lieferanten-)Risiko bewertest und steuerst.
Behandle Lieferantenrisiko als Lebenszyklus, nicht als einmaligen Fragebogen. Inventarisiere deine Drittparteien und stufe sie nach Kritikalität und Datensensibilität ein. Führe Due Diligence proportional zur Stufe durch — prüfe SOC 2- / ISO 27001-Berichte, Sicherheitsfragebögen, Pentest-Zusammenfassungen sowie die betroffenen Daten und Zugriffe. Verankere Kontrollen im Vertrag (Sicherheitsanforderungen, Auditrecht, Meldepflicht bei Datenpannen, Datenverarbeitung, Unterauftragsverarbeiter). Überwache dann kontinuierlich, nicht nur beim Onboarding, und habe einen sauberen Offboarding-Prozess, um Zugriffe zu entziehen und Daten zurückzuholen oder zu vernichten. Auch das Viertparteien-Risiko (Unterauftragsverarbeiter) zählt.
Wie führen Sie eine Risikobewertung durch?
Eine Risikobewertung identifiziert Assets und ihren Wert, die Bedrohungen und Schwachstellen, die sie betreffen könnten, und schätzt das Risiko dann als Funktion von Eintrittswahrscheinlichkeit und Auswirkung. Sie können es qualitativ durchführen (hoch/mittel/niedrig, schnell und subjektiv) oder quantitativ (SLE × ARO = ALE, datengetrieben, aber schwieriger). Rahmenwerke wie NIST RMF und ISO 27005 geben Struktur, und das Ergebnis speist die Risikobehandlung: mindern, übertragen, vermeiden oder akzeptieren.
Erhalte 100 Cybersecurity-Interviewfragen + Antworten
Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.
Kein Spam. Jederzeit abbestellbar.