Informations- und Cybersicherheit CISO

Ein strategischer Praxis-Leitfaden für moderne CISOs und Security-Entscheider

Marcel Küppers
Informations- und Cybersicherheit CISO

Produktinformationen

Autor: Marcel Küppers
ISBN: 9783747506806
Serie: mitp Professional
Verlag: mitp-Verlag
Erscheinungstermin: 2026-02-05
Erscheinungsjahr (elektronische Fassung): 2026
Auflage: 1.,2026
Seiten: 688
Paket: IT Business 2026 [4714]

P-ISBN: 9783747506790

Diese Publikation zitieren

Marcel Küppers, Informations- und Cybersicherheit CISO (2026), mitp-Verlag, Frechen, ISBN: 9783747506806

822
Accesses

Beschreibung

Mit über 20 Jahren Erfahrung in der Cybersecurity verbindet Marcel Küppers fundierte technische Expertise mit langjähriger Führungs- und Managementpraxis. Nach dem Studium der Informatik mit Schwerpunkt IT-Sicherheit war er in unterschiedlichsten Rollen tätig – vom Ethical Hacker bis hin zum CISO – und hat Unternehmen verschiedenster Branchen und Größenordnungen erfolgreich beraten und begleitet. Als langjähriger Dozent vermittelt er praxisnahes Wissen zu aktuellen Sicherheitsthemen und schult sowohl angehende Fachkräfte als auch erfahrene Experten und Führungskräfte.

Beschreibung / Abstract

  • Strategischer Leitfaden für Informations- und Cybersicherheit: praxisorientierte Ansätze zum Aufbau, zur Steuerung und Weiterentwicklung moderner Sicherheitsprogramme
  • Fokus auf die Rolle des CISO: klare Handlungsanleitungen zu Governance, Risiko- und Compliance-Themen im Unternehmenskontext
  • Ganzheitlicher Überblick: aktuelle Technologien, Security-Frameworks und Best Practices verständlich eingeordnet
  • Digitale Resilienz als Führungsaufgabe: Cybersicherheit als integraler Bestandteil der Unternehmensstrategie

Informations- und Cybersicherheit – ein strategischer Praxis-Leitfaden für CISOs und Security-Entscheider

Digitale Resilienz ist heute eine zentrale Führungsaufgabe. Dieses Buch bietet eine fundierte und praxisnahe Orientierung für alle, die Informations- und Cybersicherheit im Unternehmen strategisch steuern und nachhaltig weiterentwickeln möchten. Der Leitfaden richtet sich an Entscheider, die Cybersicherheit nicht isoliert technisch betrachten, sondern als festen Bestandteil der Unternehmensführung verstehen.

Sicherheitsprogramme strategisch aufbauen

Im Mittelpunkt steht die Rolle des modernen Chief Information Security Officers (CISO) – als Entscheider, Kommunikator und Enabler zwischen Business, IT und Governance. Schritt für Schritt zeigt Marcel Küppers, wie Sicherheitsprogramme aufgebaut, gemessen und konsequent an der Wertschöpfung des Unternehmens ausgerichtet werden können.

Praxisnahe Einblicke in Governance, Risiko und Technik

Der Autor behandelt zentrale Themen wie Security Governance , Strategieentwicklung, Risikomanagement mit dem FAIR-Modell , interne Kontrollsysteme sowie regulatorische Anforderungen wie DSGVO, NIS2, TISAX, KRITIS-VO und DORA . Ergänzt wird dies durch praxisnahe Einblicke in moderne Architektur- und Betriebsmodelle – von Zero Trust und Cloud Security über Application Security und den Betrieb eines Security Operations Centers (SOC) bis hin zu Detection Engineering, Threat Intelligence und Business Continuity.

Neue Technologien und zukünftige Herausforderungen

Abgerundet wird der Leitfaden durch Kapitel zu Security Awareness, Qualifizierungsstrategien sowie den Auswirkungen neuer Technologien wie Künstliche Intelligenz und Post-Quantum-Kryptographie . Das Buch richtet sich an CISOs, Sicherheitsbeauftragte und IT-Entscheider, die Cybersicherheit strategisch planen, steuern und wirksam in der Organisation verankern wollen.

Aus dem Inhalt:
  • Rolle und Verantwortung eines modernen CISOs
  • Security-Organisation und Stakeholder-Management
  • Security-Governance-Modelle
  • Security-Strategieentwicklung und Maturity Roadmapping
  • Vergleich moderner Cybersecurity-Frameworks (NIST CSF 2.0, ISO/IEC 27001:2022, CIS Controls v8)
  • Risikomanagement mit dem FAIR-Modell
  • Interne Kontrollsysteme (IKS) und Audit-Readiness
  • Umsetzung regulatorischer Anforderungen
  • Zero-Trust-Architekturen für hybride Infrastrukturen
  • Identitäts- und Zugriffsmanagement (IAM, PAM, CIEM)
  • Application Security und SOC-Betrieb
  • Incident Response, Business Continuity und Disaster Recovery
  • Künstliche Intelligenz und Post-Quantum-Kryptographie

Inhaltsverzeichnis

  • Titelbild
  • Titelseite
  • Inhaltsverzeichnis
  • Kapitel 1: Einführung: Digitale Resilienz als Führungsaufgabe – Warum dieses Buch geschrieben wurde
  • 1.1 Ziel und Struktur dieses Buches
  • 1.2 Das fiktive Beispielunternehmen – Tecronix AG
  • Kapitel 2: Rolle und Verantwortung eines modernen CISOs
  • Kapitel 3: Security als Business Enabler – vom Kostenfaktor zur Wertschöpfung
  • 3.1 Der Paradigmenwechsel: Vom Schutz zur Befähigung
  • 3.2 Vier strategische Wirkdimensionen von Security
  • 3.3 Methoden zur Positionierung von Security als Enabler
  • 3.4 Handlungsempfehlungen
  • 3.5 Referenzen
  • Kapitel 4: Security-Organisation und Stakeholder-Management
  • 4.1 Aufbau einer modernen Security-Organisation
  • 4.2 Organisatorische Verankerung der CISO-Funktion
  • 4.3 Organisatorische Skalierung und Personalstruktur
  • 4.4 Stakeholder Management
  • 4.5 Umsetzung bei der Tecronix AG
  • 4.6 Referenzen
  • Kapitel 5: Security-Governance-Modelle
  • 5.1 Begriffsabgrenzung und Zielsetzung
  • 5.2 Zentrales Governance-Modell
  • 5.3 Föderiertes Governance-Modell
  • 5.4 Vergleich zentraler und föderierter Governance-Modelle
  • 5.5 Hybride Governance-Modelle
  • 5.6 Handlungsempfehlungen für CISOs bei der Etablierung effektiver Governance-Modelle
  • 5.7 Fazit: Governance als strategischer Enabler
  • 5.8 Umsetzung bei Tecronix AG
  • 5.9 Referenzen
  • Kapitel 6: Security-Strategieentwicklung und Maturity Roadmapping
  • 6.1 Elemente einer integrierten Security-Strategie
  • 6.2 Der Weg zur Strategie: Vorgehensmodell für CISOs
  • 6.3 Maturity Roadmapping: Vom IST zum SOLL
  • 6.4 Umsetzung bei der Tecronix AG
  • 6.5 Referenzen
  • Kapitel 7: Vergleich moderner Cybersecurity-Frameworks – NIST CSF 2.0, ISO/IEC 27001:2022, CIS Controls v8
  • 7.1 Framework-Profile im Überblick
  • 7.2 Vergleich nach Schwerpunkten
  • 7.3 Auswahlkriterien für die Framework-Nutzung
  • 7.4 Best Practices für den Framework-Einsatz
  • 7.5 Umsetzung bei der Tecronix AG
  • 7.6 Referenzen
  • Kapitel 8: Risikomanagement mit dem FAIR-Modell – Quantifizierung digitaler Risiken
  • 8.1 Grundlagen des FAIR-Modells
  • 8.2 Der FAIR-Analyseprozess in der Praxis
  • 8.3 FAIR im Kontext der Unternehmenssteuerung
  • 8.4 Grenzen und Herausforderungen des FAIR-Modells
  • 8.5 Anwendung bei der Tecronix AG
  • 8.6 Referenzen
  • Kapitel 9: Interne Kontrollsysteme (IKS) & Audit-Readiness
  • 9.1 Was ist ein Internes Kontrollsystem (IKS)?
  • 9.2 Die fünf Kernelemente eines CISO-orientierten IKS
  • 9.3 IKS-Typen in der Praxis
  • 9.4 Audit-Readiness als Dauerzustand
  • 9.5 Integration von IKS und DevSecOps – »Controls as Code«
  • 9.6 Kontrollkataloge – Strategische Auswahl für ein CISO-orientiertes IKS
  • 9.7 CISO-Metriken für IKS und Audit-Readiness
  • 9.8 Umsetzung bei der Tecronix AG
  • 9.9 Referenzen
  • Kapitel 10: DSGVO, TISAX, NIS2, KRITIS-VO, DORA – Anforderungen und Umsetzung in modernen Sicherheitsprogrammen
  • 10.1 DSGVO – Datenschutz-Grundverordnung
  • 10.2 TISAX – Trusted Information Security Assessment Exchange
  • 10.3 NIS2 – EU-Richtlinie zur Netz- und Informationssicherheit
  • 10.4 KRITIS-VO – Verordnung zur Bestimmung Kritischer Infrastrukturen
  • 10.5 DORA – Digital Operational Resilience Act
  • 10.6 Fazit
  • 10.7 Referenzen
  • Kapitel 11: Drittparteien- und Lieferantenrisikomanagement
  • 11.1 Ziele und Prinzipien
  • 11.2 TPRM-Lifecycle-Modell
  • 11.3 Werkzeuge und Metriken
  • 11.4 Umsetzung bei der Tecronix AG
  • Kapitel 12: Zero-Trust-Architektur für hybride Infrastrukturen
  • 12.1 Einleitung
  • 12.2 Grundprinzipien von Zero Trust
  • 12.3 Architekturübersicht
  • 12.4 Technologische Komponenten
  • 12.5 Implementierungsstrategie
  • 12.6 Referenzen
  • Kapitel 13: Identitäts- und Zugriffs­management im Zeitalter von Zero Trust – IAM, PAM und CIEM in modernen Unternehmen
  • 13.1 Strategische Bedeutung von IAM
  • 13.2 Komponenten eines modernen IAM-Ökosystems
  • 13.3 Zugriffskontrollmodelle
  • 13.4 Privileged Access Management (PAM)
  • 13.5 Cloud Infrastructure Entitlement Management (CIEM)
  • 13.6 CIEM in der Praxis
  • Kapitel 14: Cloud Security (AWS, Azure, SaaS-Modelle)
  • 14.1 Strategischer Kontext moderner Cloud-Sicherheit
  • 14.2 Cloud Security Governance und Architektur
  • 14.3 AWS-spezifische Sicherheitsaspekte
  • 14.4 Azure-spezifische Sicherheitsaspekte
  • 14.5 SaaS Security Governance – Strategien und Kontrollen für Microsoft 365, Salesforce & Co.
  • 14.6 Metriken und KPIs für Cloud Security
  • 14.7 Cloud Security Governance und Architektur – Praxisbeispiel Tecronix AG
  • Kapitel 15: Secrets Management & Credential Hygiene
  • 15.1 Einleitung
  • 15.2 Strategische Bedeutung: Secrets als Hochrisiko-Angriffsvektor
  • 15.3 Grundlagen: Was zählt als »Secret« – und wie entstehen daraus Sicherheitsrisiken?
  • 15.4 Technische und organisatorische Kontrollmaßnahmen
  • 15.5 Operative Best Practices für Security Teams
  • 15.6 Credential Hygiene – Beyond Secrets
  • 15.7 Governance & Audit
  • 15.8 Fazit: Geheimnisse brauchen System – nicht Gewohnheit
  • 15.9 Umsetzung bei der Tecronix AG: Enterprise-Ready Secrets Management in der Praxis
  • 15.10 Referenzen
  • Kapitel 16: Moderne Application Security – Strategien für den CISO
  • 16.1 Strategische Rolle der Application Security
  • 16.2 Kernbausteine der Application Security
  • 16.3 Governance & KPIs im Application Security Programm
  • 16.4 Integration in DevSecOps
  • 16.5 Reifegradmodell für Application Security
  • 16.6 Fazit: Application Security als strategische Disziplin
  • 16.7 Umsetzung bei der Tecronix AG
  • 16.8 Referenzen
  • Kapitel 17: Aufbau und Betrieb eines Security Operations Centers (SOC)
  • 17.1 Strategische Zielsetzung eines SOC
  • 17.2 Typologie von SOC-Modellen
  • 17.3 Aufbauphasen eines SOC
  • 17.4 Betrieb und kontinuierliche Verbesserung
  • 17.5 Governance und Steuerung
  • 17.6 Wirtschaftlichkeit und Return on Security Investment (ROSI)
  • 17.7 Ausblick: SOC der Zukunft
  • Kapitel 18: SIEM, UEBA, SOAR – Einsatz und Optimierung
  • 18.1 Einleitung
  • 18.2 SIEM – Fundament der Security Monitoring Architektur
  • 18.3 UEBA – Frühwarnsystem für untypisches Verhalten
  • 18.4 SOAR – Automatisierung & Orchestrierung der Reaktion
  • 18.5 Referenzen
  • Kapitel 19: Detection Engineering und Threat Hunting im modernen Security Operations Framework
  • 19.1 Detection Engineering: Prinzipien & Praxis
  • 19.2 Threat Hunting: Proaktive Erkennung jenseits der Alarme
  • 19.3 Detection Engineering & Threat Hunting bei Tecronix AG
  • 19.4 Referenzen
  • Kapitel 20: Incident Response
  • 20.1 Governance & Organisatorischer Rahmen
  • 20.2 Incident Response Lifecycle: NIST, ENISA und BSI im Vergleich
  • 20.3 Regulatorische Anforderungen an Incident Response
  • 20.4 Kommunikation, Reporting & Reputationsmanagement
  • 20.5 Kontinuierliche Verbesserung & Resilienzaufbau
  • 20.6 Incident Response bei Tecronix AG
  • 20.7 Referenzen
  • Kapitel 21: Cyber Threat Intelligence (CTI)
  • 21.1 Einleitung
  • 21.2 Begriff und Zielsetzung von Cyber Threat Intelligence
  • 21.3 CTI-Arten
  • 21.4 CTI-Prozessmodell
  • 21.5 Datenquellen und Analyseverfahren
  • 21.6 Integration in Sicherheitsprozesse
  • 21.7 CTI-Plattformen, Standards und Austauschformate
  • 21.8 Regulatorische Anforderungen an CTI
  • 21.9 Einführung eines CTI-Programms
  • 21.10 Fazit und Ausblick
  • 21.11 Referenzen
  • Kapitel 22: Business Continuity & Disaster Recovery (BC/DR)
  • 22.1 Strategische Bedeutung von BC/DR im Unternehmenskontext
  • 22.2 Frameworks & Standards für Business Continuity & Disaster Recovery
  • 22.3 Komponenten eines modernen BC/DR-Programms
  • 22.4 Die Rolle des CISO
  • 22.5 KPIs & Metriken
  • 22.6 Umsetzung bei der Tecronix AG
  • 22.7 Referenzen
  • Kapitel 23: Schulungen und Qualifizierungsstrategien im modernen Sicherheitsprogramm
  • 23.1 Zielgruppen und Rollen
  • 23.2 Aufbau eines rollenbasierten Schulungsprogramms
  • 23.3 Integration in das Sicherheitsprogramm
  • 23.4 Framework-Referenzen
  • 23.5 Fazit
  • 23.6 Referenzen
  • Kapitel 24: Künstliche Intelligenz im Kontext der Cybersecurity
  • 24.1 Bedrohungen durch KI – Offensive Nutzung durch Angreifer
  • 24.2 Defensive AI – Einsatz im Security Stack
  • 24.3 Governance, Risk & Compliance für AI
  • 24.4 Operationalisierung: AI Security Engineering
  • 24.5 Metriken & KPIs für AI-Security
  • 24.6 Fazit und Ausblick
  • 24.7 Referenzen
  • Kapitel 25: Post-Quantum Kryptographie
  • 25.1 Stand der Technik 2026 – Algorithmen, Standards, Protokolle
  • 25.2 Technik-Essenzen für CISOs
  • 25.3 Häufige Fallstricke
  • 25.4 Migrationsplan (CISO-Roadmap 36 Monate)
  • 25.5 Metriken & KPIs – CISO-/Board-taugliche Erfolgskennzahlen für PQC-Programme
  • 25.6 Fazit
  • 25.7 Referenzen
  • Glossar
  • Stichwortverzeichnis

Mehr von dieser Serie

    Ähnliche Titel

      Mehr von diesem Autor