Zehn Karrierekiller für CISOs

CISOs tragen große Verantwortung und können daher mit Fehlverhalten ein Unternehmen sowie ihren eigenen Lebenslauf nachhaltig beeinträchtigen. Illegales oder unethisches Verhalten führt in der Regel zur Kündigung.

Es gibt jedoch noch viele andere Fehltritte, die den beruflichen Aufstieg behindern können. Einige davon sind weniger offensichtlich und daher schwerer zu vermeiden. Speziell für Führungskräfte im Sicherheitsbereich drohen spezielle Fallstricke, die sich als karrierehemmend erweisen könnten.

Hier sind zehn Fehler, die laut Führungskräften, Karrierecoaches und Unternehmensberatern die Karriere von CISOs beeinträchtigen können:

1. Sicherheit nicht an den geschäftlichen Prioritäten auszurichten

Geschäft und Sicherheit in Einklang zu bringen, ist derzeit eine der wichtigsten Anforderungen für Sicherheitsverantwortliche. Wer dies nicht tut, wird ins Abseits geraten, so die Experten.

Zugleich hat sich Sicherheit „von einem Endziel zu einer geschäftsfördernden Funktion entwickelt“, wie James Carder, CISO beim Softwarehersteller Benevity, erläutert. Dementsprechend müssten Sicherheitsstrategien, Kommunikation, Planung und Umsetzung auf die Geschäftsergebnisse abgestimmt sein.

Erzielen Sicherheitsmaßnahmen hierbei keinen sinnvollen Return of Investment (ROI), machen CISOs seiner Meinung nach etwas falsch. „Sicherheit sollte nicht als Kostenstelle betrieben werden, und wenn wir so handeln oder berichten, versagen wir in unserer Rolle“, erklärt Carder.

Zusätzlich führt er an, dass CISOs, die ihre Sicherheitsmaßnahmen noch nicht an der Geschäftsstrategie ausrichten, ihre Denkweise grundlegend ändern müssen. Hierbei sollen sie akzeptieren, dass sich ihre Rolle verändert hat und dass sie keine Torwächter, sondern Wegbereiter für Fortschritt sind, so der CISO.

2. Nur Technologe sein

Um die Sicherheit an die Unternehmensstrategie anzupassen, sollten Sicherheitsexperten auch Führungskräfte sein, erklärt Ryan Knisley, ehemaliger CISO von Disney und jetziger Chief Product Strategist beim Technologieunternehmen Axonius. Das bleibt aber für viele CISOs eine Herausforderung, die nach wie vor eher innerhalb der Sicherheitsorganisation als in den Geschäftsbereichen aufsteigen.

Diese Karriereentwicklung führt dazu, dass vielen zwei entscheidende Fähigkeiten fehlen:

Risiken mit dem Umsatz zu verknüpfen und

anhand von Geschäftskennzahlen messen zu können, wie wirksam Sicherheitsmaßnahmen sind.

„Dadurch wird ihre Rolle marginalisiert und sie werden als Kostenfaktor angesehen“, stellt Knisley fest. Er rät CISOs daher, ihre unternehmerischen Fähigkeiten auszubauen. Hierfür sollen sie sich professionelle Mentoren außerhalb der Cybersecurity-Branche suchen und dort auch Berufserfahrung sammeln.

3. Nur „Nein“ sagen

Aimee Cardwell, CISO beim Technologieunternehmen Transcend, führt aus, dass CISOs im Allgemeinen wissen, dass die Sicherheitsabteilung kein Nein-Sager sein kann. Zu einem eindeutigen „Ja“ kann sich aber auch nur ein Teil durchringen, weswegen sie ihre Unternehmen in gewisser Weise im Stich lassen. Das kann ihre Karriere behindern, so die Expertin.

Um zu einem „Ja“ zu gelangen, müssen CISOs die Risikotoleranz des Unternehmens verstehen, so die Expertin. Mit diesem Wissen können sie Sicherheitskontrollen angemessen mit den Anforderungen des Unternehmens an Geschwindigkeit und einfache Transaktionen in Einklang bringen.

Tim Rawlins, Senior Advisor und Security Director der NCC Group, erklärt dies so: „CISOs, die ihre Karriere vorantreiben möchten, sind diejenigen, die sagen können: ‚Ja, ich helfe dabei, das sicher und zuverlässig zu tun und dabei widerstandsfähiger zu werden‘“.

4. Rote Linien ziehen

Rawlins geht sogar noch weiter und fordert, dass CISOs keine roten Linien bei Ideen mit hohem Risiko ziehen dürfen. Tun sie das doch, zeige das, dass sie sich nicht wirklich auf die geschäftlichen Anforderungen konzentrieren.

„CISOs können nicht sagen: ‚Auf keinen Fall‘, denn wenn es für das Unternehmen wichtig ist, müssen sie einen Weg finden, es sicher und zuverlässig zu liefern. Andernfalls wird das Unternehmen Sie umgehen“, erläutert er seinen Rat.

5. Regeln zu streng einhalten

Ebenso schaden CISOs ihrem Unternehmen und ihren beruflichen Aussichten, wenn sie sich zu streng an die Regeln halten, sagt Cardwell. Hierfür nennt sie ein Beispiel aus ihrer eigenen Erfahrung:

In ihrem Unternehmen lehnte eines ihrer Teammitglieder zunächst ab, dass die Mitarbeitenden eine Anwendung eines Drittanbieters nutzen dürfen. Hierbei berief die Person sich auf eine Sicherheitsrichtlinie, die das verbietet.

Cardwell befasste sich deshalb gemeinsam mit der Belegschaft eingehender mit der Situation. Dadurch erfuhr sie, dass die App nur zwei Monate lang auf zwei Rechnern laufen wird, aber für eine Geschäftsinitiative von entscheidender Bedeutung war.

Sie beschloss, eine Ausnahme von der Sicherheitsregel zu machen und Kontrollen zu implementieren, um ein kalkuliertes Risiko im Namen des Unternehmens einzugehen. Beispielsweise wurde ein Service-Ticket erstellt, um sicherzustellen, dass die App zum erwarteten Projektende entfernt wird.

Dies, so Cardwell, zeigt die Bereitschaft der Sicherheitsabteilung, als Wegbereiter für das Unternehmen zu fungieren. Zugleich ist sichergestellt, dass der CISO und das Security-Team als Partner und nicht als lästige Hindernisse angesehen werden.

6. KI falsch verstehen

Künstliche Intelligenz (KI) breitet sich immer weiter aus, weshalb CISOs ihr Verständnis dieser Technologie vertiefen müssen. So können sie sie zum einen angemessen absichern, zum anderen werden sie nicht als Relikte aus der Zeit vor der KI angesehen, so die Experten.

Dennoch behandeln viele Sicherheitsexperten KI immer noch „wie ein typisches Technologie-Tool und nicht wie Neuland“, sagt Jenai Marinkovic, Virtual CTO (vCTO) und CISO bei Tiro Security.

KI verändert das vertraute Terrain aber, genauso wie die „Bedrohungslandschaft, die Entscheidungsschleifen und sogar das Verständnis von ‚Wahrheit‘ innerhalb von Organisationen.“ Wenn Fachleute KI weiterhin nur als Feature behandeln, werden sie ihre Umgebung falsch einschätzen und Lösungen für Bedrohungsklassen anbieten, die es nicht mehr gibt, erläutert die CTO. „Ihre Logik wird in Echtzeit aussterben.“

Sie fügt hinzu, dass Karrieren, die morgen scheitern werden, dies nicht aufgrund von Faulheit oder Inkompetenz tun, sondern wegen veralteter Ontologien.

7. Zu wenig Transparenz

CISOs, die nicht genau wissen, was sie alles sichern müssen, werden in ihrer Rolle keinen Erfolg haben, so Kinsley. Er ergänzt, dass Verantwortliche, die weder alles überblicken, noch sagen können, ob Kontrollen wirksam sind, ihre Glaubwürdigkeit und das Vertrauen der Führungskräfte in sie verlieren werden.

Dem hält Marinkovic entgegen, dass der Überblick heute umfassender ist als je zuvor. CISOs, die die unsichtbaren Abhängigkeiten, die heute in fast allen Organisationen existieren, nicht modellieren, verurteilen sich ihrer Meinung nach selbst zum Scheitern.

„In hybriden Systemen – biologischen, digitalen, operativen, geopolitischen – treten die katastrophalsten Ausfälle an Punkten auf, an denen keine Kopplung modelliert wurde“, sagt sie. Wer nicht erkennen kann, wie ihre Steuerungslogik – technisch oder verwaltungstechnisch – mit unsichtbaren Systemen – regulatorisch, kulturell, wirtschaftlich – zusammenwirkt, kann sie auch nicht steuern. „Ihre Karriere wird nicht aufgrund mangelnder Fähigkeiten, sondern aufgrund fehlender synthetischer Wahrnehmung gefährdet“, so die Expertin.

8. Nicht Netzwerken

Fachleute aller Disziplinen kommen zum Teil dadurch voran, indem sie

anderen bei ihrer Arbeit helfen,

zu vertrauenswürdigen Partnern ihrer Kollegen werden und

Beziehungen innerhalb ihrer Organisationen aufbauen.

Manchen Menschen fällt das Networking leicht, während andere Positionen eine Art der Zusammenarbeit erfordern, die dabei hilft, diese Bindungen am Arbeitsplatz zu knüpfen.

Die Sicherheitsfunktion in vielen Unternehmen fällt jedoch selten in eine dieser Kategorien, wie Kimberly Roush, Gründerin von All-Star Executive Coaching anmerkt. Das bedeutet jedoch nicht, dass es für erfolgreiche Sicherheitsprogramme und die individuelle Karriereförderung weniger wichtig, Beziehungen aufzubauen. Daher müssen Sicherheitsmitarbeiter sich mehr eigene Möglichkeiten schaffen, so die Expertin.

Roush empfiehlt, Kollegen wissen zu lassen, dass man sich vernetzen möchte. CISOs sollten Peers ansprechen und Fragen stellen, deren Erfolge anerkennen und Meetings planen, um von anderen zu lernen. Das fördere Einfluss jenseits des eigenen Unternehmensbereichs.

9. Geizig mit Ihrer Zeit und Aufmerksamkeit sein

CISOs stehen zwar unter großem Zeitdruck, sollen jedoch trotzdem aufmerksam auf Mitarbeitende eingehen, die mit Anliegen oder Bedenken zu ihnen kommen. Jemanden schroff abzuweisen, kann dazu führen, dass diese Personen künftig keine sicherheitsrelevanten Informationen mehr melden, so Cardwell. Schlimmer noch, sie können anfangen, Sicherheitsfunktionen aktiv zu umgehen.

Bereits kleine Hinweise können auf ernsthafte Probleme hindeuten. Daher ist es wichtig, jede Meldung ernst zu nehmen sowie ihr offen und interessiert zu begegnen.

10. Mit einer Sicherheitsverletzung falsch umgehen

Nicht nur CISOs wissen, dass es nicht darum geht, ob ein Sicherheitsvorfall passiert, sondern wann. Das verstehen mittlerweile auch ihre Kollegen in der Geschäftsleitung, weswegen ein Vorfall nicht mehr das Ende der Karriere bedeutet.

Cardwell erläutert, dass früher ein Sicherheitsverstoß „ein schwarzer Fleck für einen CISO“ war. Heute hat sich die Situation ihrer Meinung nach fast komplett gewandelt: Sie würde „lieber keinen CISO einstellen, der noch nie einen Sicherheitsverstoß erlebt hat“. Stattdessen bevorzugt sie Experten die irgendwo anders einen Sicherheitsverstoß erlebt und daraus gelernt haben. Diese Erfahrung bringe ein besseres Verständnis mit sich, was es braucht, um widerstandsfähig zu sein.

Ein Sicherheitsvorfall, bei dem der CISO die Reaktion darauf vermasselt, kann aber immer noch die Karriere ruinieren, so die Expertin.

CISOs müssen deshalb über einen gut einstudierten Plan verfügen, um auf Vorfälle reagieren zu können. So können sie

entschlossen handeln,

den Schaden begrenzen und

schnell dazu übergehen, das Beschädigte wiederherzustellen.

Laut Rawlins müssen sie zudem ruhig und klar kommunizieren sowie die Kontrolle behalten. Er gibt jedoch auch zu, dass das nicht zwingend den eigenen Arbeitsplatz rettet.

„Wir sehen immer noch CISOs, die nach einem schwerwiegenden Sicherheitsvorfall vielleicht noch 18 Monate in ihrer Position bleiben“, so der Berater. „Aber das muss Ihre Karriere nicht ruinieren.“ (tf/jd)