Die für IT-Sicherheit zuständigen Führungskräfte verdienen demnach in den Vereinigten Staaten durchschnittlich 509.000 US-Dollar, wobei das Grundgehalt sich auf 326.000 Dollar und die Bonuskomponente auf 153.000 Dollar beläuft. Das zeigt der "2021 Global Chief Information Security Officer (CISO) Survey" von Heidrick & Struggles, in dessen Rahmen im März und April dieses Jahres weltweit 354 CISOs interviewt wurden. Von diesen stammen 259 aus den Vereinigten Staaten, wo die Position des CISO etablierter ist als in vielen anderen Ländern.
Die in den vergangenen Jahren nur in den USA vorgenommene Erhebung wurde 2021 erstmals auch auf andere Länder in Asien, Kontinentaleuropa und Großbritannien sowie Afrika ausgedehnt. Damit stand nun auch eine Gruppe von CISOs deutscher Unternehmen Rede und Antwort. Kristin van der Sande, Partnerin der globalen Technology & Services Practice von Heidrick & Struggles, stellt fest, dass die Bedeutung der CISO-Funktion stark wachse, was sich in den steigenden Gehältern widerspiegele. "In Europa und Deutschland erreichen die Einkommen aber noch nicht dieses hohe Niveau, obwohl wir auch hier feststellen, dass Führungskräfte, die im Feld der Cybersecurity gute Fähigkeiten nachweisen, exzellente Karrierechancen besitzen, die dann auch an ein hohes Einkommen gekoppelt sind."
An wen CISOs in ihrem Unternehmen idealerweise berichten sollten, ist noch immer umstritten. Momentan sind sie zu 38 Prozent beim CIO aufgehängt. Weitere 16 Prozent berichten an den Chief Technology Officer (CTO), zwölf Prozent an den Chief Operating Officer (COO) und elf Prozent direkt an den CEO. Der große Rest (23 Prozent) berichtet an andere Funktionen. Van der Sande findet das nicht überraschend, IT-Sicherheit sei traditionell im IT-Ressort aufgehängt und nehme dort eine immer wichtigere Rolle ein. In Ausnahmefällen, wenn nämlich die IT-Sicherheit eine übergeordnete Rolle spiele oder es sich um kleinere Betriebe handele, berichte der CISO auch schon mal direkt an die Geschäftsführung.
CISO-Karriere
Der Karriereweg des CISO ist relativ klar vorgezeichnet. Zu 68 Prozent hat er eine Laufbahn im IT-Bereich absolviert, wenige IT-Sicherheitschefs kommen auch aus dem Software Engineering (sieben Prozent) oder dem Finanzbereich (zwei Prozent). Zudem handelt es sich um eine vornehmlich männliche Domäne: 87 Prozent der von Heidrick & Struggles Befragten sind Männer, neun Prozent Frauen, alle anderen gaben zu dieser Frage keine Auskunft.
Die Personalberater wollten auch wissen, auf welche Bereiche sich die IT-Sicherheitsexperten konzentrieren. Dabei waren Mehrfachnennungen möglich. 47 Prozent nannten als erste Priorität die Netzwerk- und Cloud-Sicherheit, 38 Prozent das Identitäts- und Zugangsmanagement (IAM). Es folgen Datensicherheit (35 Prozent), Anwendungssicherheit (27 Prozent) und Endgerätesicherheit (13 Prozent).
Fokus auf Identitäts- und Zugangsmanagement
In Kontinentaleuropa, so berichtet Kristin van der Sande, seien andere Prioritäten festzustellen: "Der Fokus liegt hier eindeutig auf dem Identitäts- und Zugangsmanagement vor der Netzwerk- und Cloud-Sicherheit sowie an dritter Stelle der Datensicherheit." Die beiden letzteren Kategorien genießen demnach eine ähnliche Priorität.
Wer berichtet an den CISO? Laut der Studie sind es in jeweils 90 Prozent der Fälle die Verantwortlichen für Penetration Testing, die Security-Architektur und den Security-Betrieb. Die Zuständigen für Governance, Risk und Compliance sind dem CISO in 88 Prozent der Unternehmen unterstellt, die für Produkt- und Anwendungssicherheit in 85 Prozent. Allerdings steigt die Bedeutung des letzten Punkts derzeit signifikant. Das sind die mit Abstand meistgenannten Rollen. Andere Funktionen wie beispielsweise Business Continuity (37 Prozent) oder Datenschutz (21 Prozent) liegen weit dahinter zurück.
Welche weiteren Karrierepläne hegen CISOs? Den Personalberatern zufolge erhoffen sich 47 Prozent einen Sitz im Vorstand. Die Personalberater halten das keineswegs für vermessen, da die Bedeutung der Cybersicherheit mit der Zunahme digitaler und vernetzter Produkte, Services und Infrastrukturen permanent steige - und damit auch die Verantwortung des CISO. Außerdem säßen die Sicherheitschefs schon jetzt häufig in den wichtigsten Gremien und Beiräten, der letzte Schritt sei nicht mehr so groß.
Interessant ist, dass nur wenige CISOs ihre Zukunft in der Rolle des CIO sehen. Obwohl - wie gesagt - immerhin 38 Prozent an den CIO berichten, halten nur zwölf Prozent die Position des CIO für sich als erstrebenswert. Tatsächlich wissen die meisten CISOs gar nicht so genau, wie ihr nächster Karriereschritt aussehen kann, da die CISO-Funktion noch sehr jung und einem ständigen Wandel unterworfen ist. Viele (44 Prozent) können sich vorstellen, nicht nur die Informations-, sondern auch die physikalische Sicherheit in einem Konzern zu verantworten.
- Vorbeugung von Datenverlust und Betrug
Sicherstellen, dass Mitarbeiter keine Daten versehentlich, fahrlässig oder vorsätzlich missbrauchen oder stehlen. - Security Operations
Unmittelbare Bedrohungen in Echtzeit analysieren und im Ernstfall sofortige Gegenmaßnahmen koordinieren. - Cyber-Risiko und Intelligence
Stets informiert bleiben über aufkommende Sicherheitsbedrohungen. Den Vorstand dabei unterstützen, mögliche Sicherheitsrisiken aufgrund von Akquisitionen oder anderen Geschäftsentscheidungen zu verstehen. - Security-Architektur
Security-Hard- und Software planen, einkaufen und in Betrieb nehmen. Sicherstellen, dass IT und Netzwerk anhand der geeignetsten Security Best Practices modelliert sind. - Identitäts- und Zugriffsmanagement (IAM)
Sicherstellen, dass nur berechtigtes Personal Zugriff auf sensible, geschützte Daten und Systeme hat. - Programm-Management
Aufkommende Sicherheitsanforderungen erfüllen, indem Programme und Projekte eingeführt werden, die Risiken beseitigen. Darunter fallen beispielsweise regelmäßige System-Patches. - Fehlersuche und Forensik
Herausfinden, was bei einem Datenleck schiefgelaufen ist, die Verantwortlichen zur Rechenschaft ziehen, wenn sie aus dem eigenen Unternehmen stammen, und Pläne entwickeln, um ähnliche Krisen in Zukunft zu verhindern. - Governance
Sicherstellen, dass alle zuvor genannten Initiativen fehlerlos laufen, ausreichend finanziert sind und die Unternehmensführung versteht, wie wichtig sie sind.