In der Außenperspektive sollte es für Menschen, die es zum Chief Information Security Officer gebracht haben, eigentlich kein Problem sein, die Branche zu wechseln. In der Realität stellen viele Sicherheitsentscheider allerdings regelmäßig fest, dass das Gegenteil der Fall ist: Wenn man einmal in einer bestimmten Branche tätig ist, gestaltet es sich mitunter schwierig, wieder auszusteigen. Das liegt auch daran, dass Führungskräfte und Personalvermittler oft immer noch davon ausgehen, dass die Erfahrungswerte eines CISO lediglich innerhalb seines aktuellen Sektors von Nutzen sind.

Allerdings hat die IT-Evolution der letzten 15 Jahre inzwischen zu einer zunehmenden branchenübergreifenden Standardisierung von Technologien geführt. Dennoch kommen CISOs, die etwa von der Fertigungs- in die Healthcare-Branche wechseln möchten, nicht umhin zu beweisen, dass ihre Fähigkeiten von einem Sektor auf den anderen übertragbar sind. In diesem Artikel lesen Sie, wie Sie das anstellen.  

1. Wechsel strategisch anbahnen

Die erste Voraussetzung, die Sicherheitsentscheider erfüllen sollten, um erfolgreich die Branche zu wechseln, ist, sich die nötige Anpassungsfähigkeit anzueignen. Das weiß Timothy Youngblood aus eigener Erfahrung. Der Sicherheitsspezialist war bereits bei mehreren großen US-Unternehmen als Sicherheitsentscheider tätig. Unter anderem war er auch der allererste Global CISO bei Dell. Zuerst lernte er die Herausforderungen verschiedener Branchen allerdings als Berater bei KPMG kennen: “Für meine Karriere habe ich viele wichtige Erkenntnisse aus meiner Zeit als Consultant mitgenommen. Etwa, dass jede Branche ihre eigenen Nuancen hat, aber die grundlegenden Sicherheitsprinzipien immer die gleichen sind.”

Dabei die unterschiedlichen Branchenanforderungen zu durchdringen, habe ihn auch der Austausch mit branchenspezifischen ISACs vorangebracht (die vor allem in den USA verbreitet sind), so Youngblood: “Diese Gruppen ermöglichen den Austausch zwischen dem öffentlichen und dem privaten Sektor und bieten eine hervorragende Möglichkeit, zu verstehen, wie andere Branchen das gleiche Problem lösen.”

CISOs ohne Consulting-Erfahrung (oder Zugang zu ISACs), die die Branche wechseln wollen, ist hingegen zu empfehlen, strategisch strukturelle Ähnlichkeiten zu identifizieren. Sal DiFranco, Managing Partner bei der Personalberatung DHR Global, erklärt: “Halten Sie Ausschau nach Sektoren, die ähnlich strukturiert sind wie ihre aktuelle Branche. Das gewährleistet in der Regel einen einfachen Übergang – oder kann der erste Schritt sein zu einem Wechsel in eine andere, eher ferne Branche.”

Laut dem Manager könnten Sicherheitsentscheider aus der Pharmabranche ohne Weiteres ins Healthcare-Feld wechseln: “Natürlich gibt es zwischen den Unternehmen in diesen Bereichen viele Unterschiede. Aus technologischer Perspektive sind sie sich dennoch ähnlich: Es handelt sich in beiden Fällen um ein stark reguliertes Umfeld mit denselben strikten Anforderungen an die Technologie.”

2. Erfolge demonstrieren

CISOs, die einer neuen Branche durchstarten möchten, sollten außerdem möglichst früh demonstrieren, dass ihre bisherigen Erfolge auch für das neue Unternehmen relevant sind. DiFranco erklärt: “Wenn das, was ein Job-Kandidat geleistet hat, auch auf die Ziele des neuen Unternehmens einzahlt, ist es wesentlich wahrscheinlicher, dass dieser eine Chance bekommt, sich zu beweisen. Es geht aber nicht nur um die Ergebnisse an sich, sondern auch darum, artikulieren zu können, wie man dieselben Resultate in der neuen Branche erzielen möchte.”

Exakt diesen Ansatz verfolgte auch Youngblood erfolgreich, als er von seiner Position als CISO beim US-Konsumgüterriesen Kimberly-Clark zu McDonalds wechselte, wo er sich vor allem an die operativen Strukturen gewöhnen musste. Darüber hinaus hat der Sicherheitsspezialist jedoch auch gelernt, sich an branchenspezifische Bedrohungen anzupassen – etwa als CSO von T-Mobile: “In der TK-Branche ist etwa SIM-Swapping ein bedeutendes Problem. Den meisten Außenstehenden ist nicht bewusst, dass es sich hierbei um eine kriminelle Milliardenindustrie handelt, die in manchen Fällen auch staatlich finanziert wird.”

Ein tiefgreifendes Verständnis der branchenspezifischen Risikolandschaft ist auch für Michael Meline, CEO und CISO beim Security-Dienstleister Cyber Self-Defense, entscheidend. Auch Meline weiß, wovon er spricht: Seine Karriere startete er ursprünglich in der Strafverfolgung, bevor er zunächst als Security-Profi in die Finanzindustrie und anschließend ins Gesundheitswesen wechselte. “Es gibt viele ähnliche Risiken – aber im Kern geht es immer um Risikomanagement. Wenn Sie demonstrieren können, dass Sie die jeweilige Risikolandschaft durchdringen, kann Ihnen das einen erheblichen Vorteil verschaffen.”

3. Analogien herstellen

Aus Karriereperspektive ist das größte Risiko für CISOs und Sicherheitsentscheider, als Spezialist für eine einzige Branche angesehen zu werden. Marc Ashworth, CISO bei der US-amerikanischen First Bank, rät an dieser Stelle, den Fokus darauf zu legen, ein übertragbares Skillset zu demonstrieren: “Machen Sie sich bei jeder Bewerbung bewusst, dass die Grundsätze branchenunabhängig immer dieselben sind.”

Meline fügt hinzu: “Es geht im Kern darum, Risiken zu identifizieren und geeignete Maßnahmen ergreifen, um diese zu mindern: Dazu müssen Sicherheitsentscheider in jeder Branche mit Stakeholdern aus allen Ebenen ihrer Organisation zusammenarbeiten und einen gemeinsamen Plan entwickeln, der den jeweiligen Anforderungen entspricht:“

Oder wie DiFranco es ausdrückt: “Essenziell ist es, Relevanz zu demonstrieren und dabei Analogien zu anderen Branchen herzustellen.” (fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.