IT Security Manager

Gute CISOs, schlechte CISOs

03.09.2020
Von 
Heinrich Vaske ist Editorial Director a.D. von COMPUTERWOCHE, CIO und CSO.
Das Berufsbild des Chief Information Security Officer (CISO) ist noch relativ neu. Dennoch haben sich bereits Ausprägungen herausgebildet - und nicht alle sind für die IT-Sicherheitsspezialisten attraktiv.
Gute CISOs, schlechte CISOs: Forrester hat vier Typen von Security-Managern ermittelt.
Gute CISOs, schlechte CISOs: Forrester hat vier Typen von Security-Managern ermittelt.
Foto: alphaspirit - shutterstock.com

Die Analysten von Forrester Research haben die verschiedenen CISO-Typen beschrieben und sich mit dieser Rolle ausgiebig beschäftigt. Demnach hat sich der IT-Sicherheitschef in manchen Unternehmen stark weiterentwickelt - von einem eher blassen und wenig gehörten Teamleiter zu einem stark involvierten, vitalen Mitglied des Executive-Teams. Vorstände schenken dem CISO plötzlich Beachtung, weil die IT-Sicherheit für Investoren und Kunden zu einem entscheidenden Thema geworden ist.

Laut Forrester sind manche Unternehmen dabei über das Ziel hinausgeschossen und haben "Performer CISOs" installiert, die vor allem den Hype bedienen und öffentlichkeitswirksam Sicherheits-, Ethik- und Datenschutzfragen diskutieren sollen. Nach innen kämpfen sie weiterhin mit konkurrierenden Aufgaben, unklaren Prioritäten und einer oft mangelhaften Unterstützung der Stakeholder.

In vielen Fällen konzentriere sich die Rolle auf repräsentative Aufgaben, anstatt darauf, die Transformation in Richtung mehr IT-Sicherheit voranzubringen, die Organisation zu schützen und die Marken zu verteidigen, klagt Forrester. Die Analysten beschreiben vier CISO-Typen, um die vermeintlichen Fehlentwicklungen in diesem Berufsbild zu verdeutlichen.

4 CISO-Typen, die niemand will

  1. Der abwesende CISO: Ein guter CISO ist intern bestens vernetzt und geht auf allen Abteilungs- und Hierarchieebenen seiner Arbeit nach. Nicht so der "abwesende CISO", der seinen Job rein strategisch auslegt. Er genießt zwar das Vertrauen von Managern und Vorständen, ist aber von der Basis zu weit entrückt, um zu verstehen, was sein Team für eine erfolgreiche Arbeit braucht. Seine interne Verbindungen nach ganz oben und seine gute Außendarstellung sind temporär hilfreich, aber am Ende ist das nur die eine Seite der Medaille.

  2. Der CISO als Marionette: Manchmal wird die Rolle nur formal besetzt. Der CISO ist lediglich Erfüllungsgehilfe einer anderen, mächtigeren Führungskraft. In diese Falle tappen manche CISOs bei ihrem ersten Engagement: Sie erhalten zwar den Titel, aber nicht die Befugnis, um sich wirksam um die Sicherheit für ihr Unternehmen zu kümmern. Das kann an einem übermächtigen Chef liegen, der gar nicht ahnt, dass er hier Schaden anrichtet. Es gibt aber auch CISOs, die sich von der Chance auf einen schönen Titel blenden lassen und darüber vergessen, sich über die Details ihrer künftigen Position zu informieren.

  3. Der CISO als Untergangsprophet: Jeder Unternehmer weiß: Risiken gehören zum Geschäft. Es geht darum sie abzuschwächen, zu kontrollieren, an Dritte zu übertragen oder schlicht zu akzeptieren. Das nennt man Risikomanagement. Manche CISO können aber die dafür notwendige Toleranz nicht aufbringen. Sie stürzen sich mit Verve auf ihre Aufgabe und sehen Sicherheitsvorfälle als persönliche Niederlagen, die es um jeden Preis zu vermeiden gilt. Forrester zitiert ein Vorstandsmitglied mit den Worten: "Unser CISO sagt uns immer wieder, dass der Himmel über uns zusammenbricht. Wir glauben ihm nicht mehr." Wer wie ein falscher Prophet herumläuft und ständig Untergangsprophezeiungen von sich gibt, verliert seine Glaubwürdigkeit. Gute CISOs akzeptieren, dass ihre Unternehmen Risiken eingehen und sehen ihre Aufgabe darin, diese so zu minimieren, dass sie akzeptiert werden können.

  4. Der CISO als Sündenbock: Ein CISO dieses Typs wird gerne vorgeschoben und verantwortlich gemacht, wenn es zu Sicherheitsvorfällen kommt. Das passiert vor allem CISOs, die sich zu weit aus der Deckung gewagt haben, weil sie ein Gesicht des Unternehmens werden wollten - das für Sicherheitsfragen. Damit stehen sie aber auch dann ziemlich allein in der Öffentlichkeit, wenn ihr Unternehmen erfolgreich angegriffen wurde. Die Cybersicherheit eines Unternehmens sollte auf vielen Schultern ruhen, nicht nur auf der des CISO.

6 CISO-Typen, die gute Job-Chancen haben

Um in keine dieser Fallen zu tappen, empfiehlt Forrester CISOs, sich mit ihrem eigenen Profil auseinanderzusetzen und die Anforderungen an ihren Job im jeweiligen Unternehmen genau zu analysieren. Die Marktforscher identifizieren sechs CISO-Typen, die am Arbeitsmarkt gefragt sind:

  1. Der Transformational CISO entwickelt die Strategie, um Cybersecurity im Unternehmen über einen sorgfältig arrangierten Change-Prozess auf ein höheres Niveau zu heben. Er hat Erfahrungen in Change Management und Kommunikation, erworben in der IT oder im Business. Dieser CISO ist dynamisch, extrovertiert und kann sich ausdrücken.

    Geholt wird er, wenn ein Unternehmen größere Veränderungen anstoßen oder bestimmte kulturelle Werte umsetzen will. Ist der Umbau vorbei, wird er eine andere Rolle einnehmen oder das Unternehmen wechseln, wenn er sich nicht mit einer rein betrieblichen, auf Umsetzung fokussierten Rolle abfinden will.

  2. Nach einem publik gewordenen Sicherheitsvorfall wird häufig der Post-breach CISO eingesetzt. In solchen Fällen ist die öffentliche Aufmerksamkeit groß: Vorstände und Manager, die Medien und auch die IT-Sicherheitsbranche beobachten genau, wie diese Rolle gelebt wird. Oft ist auch viel Geld im Spiel: Einen Sicherheits-Gau vergessen zu machen, geht auch in dieser Hinsicht an die Substanz. Für diese Rolle kommen Manager und CISOs in Frage, die sich in großen Unternehmen und Organisationen zurechtfinden und im Idealfall eine solche Krise schon einmal durchlebt haben. Von ihrem Naturell her sind diese CISOs eher besonnene, analytische und prozessorientierte Charaktere.

    Sie berichten meistens direkt an den CEO, der in aller Regel kooperativ ist und genau weiß, dass ein großer Breach nicht einfach zu den Akten gelegt werden kann. Forrester glaubt, dass die Arbeiten eines solchen CISOs mindestens drei Jahre brauchen und viele dieser Troubleshooter dann zu einem anderen Unternehmen mit einem ähnlichen Problem wechseln.

  3. Der taktisch-operative Experte ist ein CISO, der in erster Linie operative Probleme und technische Hindernisse aus dem Weg räumt. Gemeinsam mit seinem Team will er klare, zählbare Erfolge sehen. In diese Management-Rolle schlüpfen oft technisch orientierte Experten, deren Aufgaben im Unternehmen beispielsweise die eines SOC-Analyst oder eines Informationssicherheits-Profis waren.

    CISOs in dieser Rolle sind praxisorientiert, analytisch, entscheidungsfreudig, belastbar, anpassungsfähig und flexibel, wenn es zu operativen Unterbrechungen kommt. Sie werden als Mitarbeiter mit einem großen technischen Verständnis eingestellt, die IT-Sicherheit als eine operativ-taktische Aufgabe sehen und einen Do-it-yourself-Ansatz bevorzugen, also beispielsweise das SOC vorzugsweise im eigenen Haus betreiben. Nicht mehr klar kommen solche CISOs, wenn Unternehmen ihr Geschäftsmodell komplett verändern oder einen sonstigen radikalen Change vornehmen. Dann gerät ihre Welt in Unordnung und es ist besser, einen Transformational CISO zu holen.

  4. Experten für Compliance und Risiko-Management sind Menschen, die sich gerne mit regulatorischen Rahmenbedingungen beschäftigen und auch mal tief in die Details einer Security-Policy eintauchen. Oft kommen sie aus der zweiten Führungsebene und kennen sich mit rechtlichen Themen, Datenschutz oder Risikomanagement aus. Sie sind diszipliniert, durchsetzungsstark, detailbesessen und mögen strukturierte, gut dokumentierte Vorgänge. Diesen CISO-Typ favorisieren Konzerne, die in unterschiedlichen geografischen Rechtsräumen unter starkem regulatorischen Druck Geschäfte machen.

    Oft sind das Betriebe, die schon einmal wegen Compliance-Verstößen belangt wurden oder Probleme in der Governance beziehungsweise der Überwachung ihrer Geschäftsprozesse haben. Für solche Firmen gehören regulatorische Probleme zu den Toprisiken für das Geschäft. Über einen Wechsel werden solche CISO nachdenken, wenn Unternehmen keine Compliance-Themen mehr haben oder sich entschließen, diesbezüglich problematische Geschäftsbereiche abzustoßen.

  5. Es gibt auch CISOs, die ein gehobenes Sicherheitsniveau einfach nur halten sollen. Ihr Auftrag ist es, das bestehende Security-Level gut zu managen und ständig zu verbessern - angepasst an die geschäftlichen Herausforderungen und den technologischen Wandel im Unternehmen. Diese CISOs sind nicht diejenigen, die viel Aufmerksamkeit auf sich lenken oder ins Licht der Öffentlichkeit drängen. Sie sind aus einem technischen Job heraus in diese Führungsposition gelangt und haben in ihrer beruflichen Geschichte Erfahrung mit inkrementellen Verbesserungsprozessen gesammelt.

    Diese CISOs sind geerdete Typen, mit massiven Transformationen haben sie keine Erfahrung. Sie werden von Unternehmen bevorzugt eingestellt, die sich in einem ruhigen Fahrwasser bewegen und deren Transformation oder Sicherheitsvorfall, wenn er denn überhaupt stattgefunden hat, schon Jahre zurückliegt. Für diese Betriebe ist Cybersecurity wichtig, aber auch selbstverständlich und damit nicht im Fokus. Den Absprung suchen solche CISOs, wenn sie das Gefühl haben, dass IT-Sicherheit keine Wertschätzung im Unternehmen mehr erfährt und die finanziellen Mittel über Gebühr gekürzt werden.

  6. Die sechste und letzte CISO-Rolle, die Forrester identifiziert hat, ist der Customer-facing Evangelist. Wenn Unternehmen ihren Kunden und Investoren offensiv Cybersicherheit versprechen, dann steht dieser CISO als fleischgewordenes Versprechen im Scheinwerferlicht. Das geschieht am ehesten in Betrieben, die ihr Geschäftsmodell grundlegend verändern und sich beispielsweise entscheiden, künftig auch mit Software und Technologie Geld verdienen zu wollen. Sicherheit kann ein Differenzierungsmerkmal in einem solchen neuen Wettbewerb sein. Oder diese Firmen wollen Kunden beeindrucken, indem sie Sicherheits- und Datenschutzargumente zum Thema machen.

    Persönlichkeiten, die für diese offensive CISO-Rolle in Frage kommen, waren zuvor meistens in innovativen, schnellwachenden Unternehmen beschäftigt und wissen, was es heißt, Produkte und Services für Endkunden sicher auszuliefern. Sie haben ein tiefgehendes Wissen rund um Applikationssicherheit, aber auch Berührungspunkte mit Produkt-Management sowie Softwareentwicklung und -design. Von ihren Persönlichkeitsmerkmalen her sind sie charismatisch, kommen in chaotischen Situationen klar und lieben öffentliche Auftritte - auch in den Medien.

Was kommt nach dem CISO-Job?

Schließlich geht Forrester auch der Frage nach, wie es für CISOs weitergehen kann, wenn sie ihrer Rolle überdrüssig sind und etwas anderes ausprobieren wollen. Der CIO oder Chief Technology Officer (CTO) ist demnach eine Option - aber nur realistisch, wenn der CISO einen Sponsor im Unternehmen hat, um die Herausforderungen der angestrebten Position weiß und in der Lage ist, Wissenslücken in technischen und strategischen Bereichen zügig zu schließen.

Ein CISOs kann laut Forrester auch ein guter Investor oder Unternehmensgründer sein - erst recht, wenn er mit einem Startup gezielt ein Problem angeht, auf das er in seiner aktiven Zeit gestoßen ist. Um ein entsprechendes Produkt zu entwickeln, wäre es hilfreich, sich mit anderen CISOs zu vernetzen, um zu prüfen, ob breiter Bedarf da ist und die Geschäftsidee wirklich trägt. Fähigkeiten im Bereich Softwareentwicklung sind ebenfalls wichtig. Gut ist es auch, eigene Entwickler von Anfang an der Hand zu haben. Wie alle Gründer braucht auch ein CISO Startkapital und gegebenenfalls einen Mitstreiter, der fehlende eigene Fähigkeiten, etwa im kaufmännischen Bereich, kompensieren kann.

Und schließlich können CISOs, die etwas Neues wagen möchten, auch versuchen, als Spezialisten für Cybersicherheit in Vorständen und Aufsichtsräten von Unternehmen anzukommen. Hier sind gute Verbindungen hilfreich, genauso wenn eine Karriere als Redner oder Autor angestrebt wird. In diesen Fällen hilft es, sich als Cybersecurity-Spezialist seinen Namen gemacht zu haben und sich mit Fachmedien zu vernetzen - zum Beispiel mit der COMPUTERWOCHE oder dem CIO-Magazin!