thanmano – shutterstock.com
Jahrelang waren CISOs im Maschinenraum der IT tätig und konzentrierten sich auf die Einhaltung von Vorschriften, die Verwaltung von Firewalls, Patching und die Reaktion auf Vorfälle. Ihr Hauptziel war es, einen Cyberangriff zu verhindern und die Sicherheit aufrechtzuerhalten. Doch dieses Modell wird der Komplexität moderner Bedrohungen nicht mehr gerecht. Angesichts zahlreicher sich überschneidender Vorschriften wie NIS2, DORA, dem AI Act und einer von globaler Instabilität geprägten Landschaft ist die Rolle des CISO über ihre operativen Ursprünge hinausgewachsen.
Einführung des Chief Risk Architect
Der zukunftsfähige CISO ist eine geschäftsorientierte Führungskraft, die durch Resilienz leitet. Als Chief Risk Architect ist er für die Kontinuität verantwortlich und nicht nur für die Anzahl der Vorfälle. Er geht von Störungen aus, minimiert deren Auswirkungen und entwickelt Systeme, die diese überstehen. Durch seine Rolle entstehen neue Fragen: Wie schnell können wir unsere Daten und den Betrieb mit minimalen Auswirkungen auf das Geschäft wiederherstellen? Was ist unsere Wiederherstellungsbasis? Wie können wir unsere Widerstandsfähigkeit gegenüber Aufsichtsbehörden, Partnern und Aktionären nachweisen? Das sind keine IT-Anliegen, sondern geschäftliche Notwendigkeiten, und sie benötigen Führungspersönlichkeiten, die Silos überbrücken.
Lesetipp: Cyber Risk Assessments – Risikobewertung hilft CISOs
Neue Fähigkeiten für eine neue Ära
Diese Entwicklung bringt eine Reihe neuer benötigter Fähigkeiten mit sich. Cybersicherheit, einschließlich technischer Fachkenntnisse, ist nach wie vor entscheidend, muss aber mit Risikoquantifizierung, Enterprise Risk Management, Bedrohungserkennung, geopolitischer Kompetenz und dem Bewusstsein für Rechtsvorschriften kombiniert werden. Der moderne Sicherheitsverantwortliche muss sich mit Business Continuity und Desaster Recovery auskennen, und nicht nur das Thema Incident Response kennen. Außerdem muss er die Sprache von Rechtsberatern, Aufsichtsbehörden und Vorständen sprechen sowie die Dynamik der Haftung, die Risiken in der Lieferkette und die versteckten Schwachstellen der digitalen Verflechtung verstehen.
Die Neuausrichtung der Rolle ist entscheidend für die Bindung von Talenten
Von CISOs wird heute erwartet, dass sie Sicherheitsverletzungen verhindern, die sie nicht kontrollieren können, und für Risiken einstehen, die sie nicht zu verantworten haben. Es überrascht nicht, dass viele von ihnen ausbrennen. Daher verlassen einige dieses Berufsfeld ganz. In Deutschland geben 67 Prozent der CISOs in der Finanzbranche an, dass es immer schwieriger wird, eine Stelle im Sicherheitsbereich zu besetzen, – ein Zeichen dafür, dass die Reputation des Berufs nicht zukunftsfähig ist.
Ein oft übersehener Faktor, der diese Diskrepanz verursacht, ist die Organisationsstruktur. CISOs, die an Chief Technology Officers (CTOs) oder Chief Financial Officers (CFOs) berichten, haben häufig nicht die strategische Sichtbarkeit oder den Einfluss, um Entscheidungen über Unternehmensrisiken zu treffen. Da sie an Technologie- oder Finanzsilos gebunden sind, sind sie gezwungen, systemische Risiken von der Seitenlinie zu verwalten, aber nicht aktiv mitzuspielen. Um effektiv führen zu können, müssen sich die Sicherheitsverantwortlichen direkt mit dem Vorstand oder dem CEO abstimmen – nicht nur, um Vorfälle zu eskalieren, sondern um von Anfang an bei der Gestaltung der Resilienzstrategie mitzuwirken. Die Entwicklung hin zu einem Chief Risk Architect ist also nicht nur eine Frage der Fähigkeiten. Es geht auch um den Sitz am großen Tisch. Denn wohin ein CISO berichtet, bestimmt oft, ob er führen kann – oder nur reagiert.
Das „Rebranding“ des CISO in einen strategischen, befähigten Risk-Leader könnte dies ändern. Es schafft einen Weg zu mehr Einfluss. Die Aufgabe wird zukunftsorientierter und weniger reaktiv. Zudem hilft es dem Beruf an sich, sich so weiterzuentwickeln, dass die nächste Generation von Führungskräften angezogen wird: Menschen, die geschäftliche Probleme lösen wollen, anstatt nur auf technische Probleme zu reagieren.
Die Zukunft ist jetzt
Der Wandel zum Chief Risk Architect ist keine hypothetische Vorstellung. In fortschrittlichen Unternehmen findet er bereits statt. Dort warten Führungskräfte nicht darauf, in die Vorstandsetage gebeten zu werden, sondern sie kommen mit aussagekräftigen Kennzahlen und Plänen, die Geschäftskontinuität gewährleisten. Sie fördern Resilience by Design. Und sie gewinnen an Einfluss, indem sie Ergebnisse liefern, nicht Warnungen.
Die Rolle des CISO verschwindet nicht, sondern entwickelt sich weiter. Unternehmen stehen vor der Wahl, diesen Wandel aktiv zu gestalten oder das Risiko einzugehen, abgehängt zu werden. (jm)
No Responses