{"id":2248,"date":"2025-03-10T09:00:00","date_gmt":"2025-03-10T09:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=2248"},"modified":"2025-03-10T09:00:00","modified_gmt":"2025-03-10T09:00:00","slug":"was-toxische-cisos-anrichten","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=2248","title":{"rendered":"Was toxische CISOs anrichten"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
\n

Lipik Stock Media \u2013 shutterstock.com<\/p>\n<\/div>\n

F\u00fcr Keith, einen erfahrenen Cybersecurity-Profi aus New York City in seinen 40ern, gab es mehr als einen Grund, seinen Job hinzuwerfen \u2013 und vor allem seinen\u00a0CISO<\/a>\u00a0hinter sich zu lassen. Dieser hatte den Security-Profi so unnachgiebig gepiesakt, bis dieser am Ende jede seiner E-Mails vierfach \u00fcberpr\u00fcfte, bevor er sie abschickte. Keith (dessen Name ein Pseudonym ist) gibt Einblicke: \u201cBis zu einem gewissen Grad war es\u00a0Mikromanagement<\/a>. Dazu kam dann noch eine unm\u00f6gliche Art und Weise, mit Menschen umzugehen. Verbale Degradierungen waren an der Tagesordnung. Und dabei kann keine Rede von allgemeinem Frust sein: Beleidigungen und Schuldzuweisungen waren spezifisch an einzelne Teammitglieder gerichtet. Zudem war er ein Spalter und bevorzugte einzelne Personen mit \u2018Spezialauftr\u00e4gen\u2019, w\u00e4hrend er die anderen\u00a0im Dunkeln lie\u00df<\/a>. Wir waren auf dem Papier ein Team und doch f\u00fchlten sich alle isoliert.\u201d<\/p>\n

Jinan Budge ist Principal Analyst bei Forrester Research in Australien und hat sich \u00fcber Jahre hinweg mit dem Thema toxische Cyberkultur auseinandergesetzt. Auf Grundlage ihrer Recherchen f\u00fchrt die Analystin die Zust\u00e4nde auf verschiedene Faktoren zur\u00fcck: \u201cCybersecurity<\/a>\u00a0ist immer noch ein relativ junges Feld, in dem viele darum k\u00e4mpfen, geh\u00f6rt und respektiert zu werden. Einige versuchen dann ihre Unsicherheiten mit einer Art \u2018Messias-Komplex\u2019 zu \u00fcberspielen. Zudem wird\u00a0Security\u00a0von vielen Unternehmen intern als eine Art \u2018notwendiges \u00dcbel\u2019 wahrgenommen, was sich negativ auf die Moral von Cybersecurity-Teams und -Entscheidern auswirkt.<\/p>\n

Dar\u00fcber hinaus, so die Analystin, seien Teams im Security-Bereich im Regelfall deutlich kleiner als die in den \u00fcbrigen Abteilungen \u2013 was sich in einer engeren Zusammenarbeit zwischen Team und F\u00fchrungskraft niederschlage: \u201cDie Mitarbeiter bekommen deswegen den\u00a0Frust ihres CISOs<\/a>\u00a0wesentlich ungefilterter und direkter zu sp\u00fcren. Und in der\u00a0Cybersicherheit<\/a>\u00a0haben emotionale Kompetenzen \u2013 im Gegensatz zu technischen\u00a0Skills\u00a0\u2013 oft keine Priorit\u00e4t. People Skills \u2013 was ist das?<\/p>\n

Toxische F\u00fchrung \u2013 und ihre Konsequenzen<\/h3>\n

Diverse Studien dokumentieren den negativen Impact einer toxischen Arbeitsatmosph\u00e4re auf Produktivit\u00e4t,\u00a0Recruiting<\/a>\u00a0und\u00a0Mitarbeiterbindung.<\/p>\n

In einer Umfrage des Softwareanbieters Tines<\/a>\u00a0unter mehr als 1.000 Security-Profis in den USA und Europa gaben etwas mehr als 60 Prozent an, dass ihr Stresspegel im letzten Jahr gestiegen ist und ihre psychische Verfassung die Aus\u00fcbung ihrer T\u00e4tigkeit beeintr\u00e4chtigt.<\/p>\n

Eine\u00a0Studie von MIT Sloan<\/a>\u00a0(die nicht speziell auf\u00a0Cybersecurity<\/a>\u00a0gem\u00fcnzt ist), kommt zum Ergebnis, dass eine toxische Arbeitskultur unter anderem negative Bewertungen auf Arbeitgeberportalen sowie eine \u00fcberdurchschnittliche Fluktuation nach sich zieht.<\/p>\n

Das kann auch Keith best\u00e4tigen, der das Verhalten seines Chefs als zeitweise hinterlistig und be\u00e4ngstigend kategorisiert: \u201cEs war einfach dem\u00fctigend. Egal, wie viel Zeit und M\u00fche man auch in seine Aufgaben investiert hat, es war nie genug.\u201d Die Zust\u00e4nde trieben den Cybersecurity-Profi an den Rand des\u00a0Burnouts<\/a>\u00a0\u2013 die Probleme aus der Firma verfolgten ihn auch nach Feierabend und wirkten sich nach einiger Zeit auch negativ auf sein Familienleben aus, wie er preisgibt: \u201cMir ging es gesundheitlich sehr schlecht. Ich war depressiv. Als ein Familienmitglied dann schwer erkrankte, habe ich das zum Anlass genommen, mich krankschreiben lassen \u2013 einfach, um nicht mehr dort sein zu m\u00fcssen.\u201d<\/p>\n

An seinem Tiefpunkt angekommen, verlie\u00df Keith das Unternehmen im Jahr 2023 \u2013 nachdem er sich zuvor einen\u00a0neuen Security-Job<\/a>\u00a0gesucht hatte. Eine Erkenntnis aus der Erfahrung mit einem toxischen\u00a0CISO<\/a>: \u201cIch nehme lieber 20 oder 30 Prozent weniger Gehalt in Kauf, als noch einmal unter einer solchen F\u00fchrungskraft zu arbeiten.\u201d<\/p>\n

Dabei gef\u00e4hrden toxische Sicherheitsentscheider jedoch nicht nur den Erfolg ihres Teams und treiben die Mitarbeiterfluktuation. Sie setzen durch ihr Verhalten auch ihre Organisationen erh\u00f6hten Risiken aus \u2013 argumentiert zumindest Forrester-Analystin Budge: \u201cWenn das Team mit gegenseitigen Schuldzuweisungen und internen Intrigen besch\u00e4ftigt ist, bleibt Arbeit liegen. Man kann also durchaus davon sprechen, dass ein toxischer\u00a0CISO<\/a>\u00a0auch ein Cyberrisiko darstellt.\u201d<\/p>\n

Ein ganz wesentliches Problem bei toxischen CISOs: Das Kernproblem sind sie selbst \u2013 und das zu realisieren, f\u00e4llt schwer. Nicole Turner, Gr\u00fcnderin und Spezialistin f\u00fcr Arbeitsplatzkultur und F\u00fchrungscoaching, durfte diese Art der Kurzsichtigkeit im Rahmen eines ihrer F\u00fchrungstrainings hautnah miterleben: \u201cEin Nicht-Security-Executive bekam das Gef\u00fchl, dass seine Abteilungsleiter Nachhilfe in Sachen F\u00fchrung brauchen und hat mich f\u00fcr ein Seminar gebucht. W\u00e4hrend das dann lief, stellte sich in Gespr\u00e4chen seiner Mitarbeiter heraus, dass eigentlich dieser Executive ein viel gr\u00f6\u00dferes Problem als alles andere war. Die Ironie der Dinge\u2026\u201d, erinnert sich die Inhaberin einer Beratungsagentur.<\/p>\n

Sie zeigt jedoch auch Verst\u00e4ndnis f\u00fcr CISOs, die f\u00fcr eigene Fehler blind werden: \u201cEs stimmt, dass es an der Spitze einsam ist \u2013 ganz besonders\u00a0in einem wettbewerbsintensiven Umfeld<\/a>. Sicherheitsentscheider k\u00f6nnen sich kaum jemandem anvertrauen. Sie sind F\u00fchrungskr\u00e4fte und f\u00fchlen sich oft nicht wohl dabei, mit Problemen auf ihre Kollegen zuzugehen. Oft auch weil unklar ist, wem man vertrauen kann. An den CEO k\u00f6nnen sie sich ebenso wenig wenden \u2013 aus Angst, das k\u00f6nnte sich negativ auf ihr Standing auswirken.\u201d<\/p>\n

Entgiftungsma\u00dfnahmen f\u00fcr CISOs<\/h3>\n

F\u00fcr die Beraterin stellen toxische CISOs deshalb eher ein Symptom f\u00fcr eine branchen\u00fcbergreifende Problemstellung dar: \u201cDiverse Unternehmen bef\u00f6rdern Menschen mit spezifischem Fachwissen in F\u00fchrungspositionen. Dabei vergessen sie allerdings, auch auf breiter angelegte F\u00fchrungsqualit\u00e4ten wie Kommunikation und\u00a0emotionale Intelligenz<\/a>\u00a0zu achten.\u201d Eigentlich gehe es bei F\u00fchrung im Kern darum, Mitarbeiter zu bef\u00e4higen, zu inspirieren und zu motivieren. Aber die Organisationen betrachteten Leadership nicht auf diese Art und Weise und entwickelten auch ihre F\u00fchrungskr\u00e4fte nicht so, kritisiert Turner und f\u00fcgt an: \u201cMit den richtigen Tools zur Karriereentwicklung lie\u00dfe sich das \u00e4ndern.\u201d<\/p>\n

Sie empfiehlt Unternehmen deshalb, die Leadership-Skills ihrer F\u00fchrungskr\u00e4fte entsprechend zu sch\u00e4rfen \u2013 beispielsweise durch Coaching oder im Rahmen von Mentoring-Programmen. Nicht ganz uneigenn\u00fctzig erg\u00e4nzt die F\u00fchrungstrainerin, dass auch die Einbindung eines Dienstleisters den CISOs unter Umst\u00e4nden ein ehrlicheres Feedback\u00a0zu ihrem F\u00fchrungsstil<\/a>\u00a0liefern k\u00f6nne. Auch f\u00fcr die Sicherheitsentscheider selbst hat Turner noch einige \u201cEntgiftungstipps\u201d auf Lager. Demnach sollten CISOs, die nicht oder weniger toxisch werden wollen:<\/p>\n

ihre Eigenwahrnehmung in den Fokus nehmen, um potenziell negative Muster zu erkennen.<\/p>\n

Mentoren in \u00e4hnlichen F\u00fchrungspositionen aufsuchen, die ehrliches Feedback und eine andere Perspektive bieten k\u00f6nnen.<\/p>\n

Damit schlie\u00dft sich der Kreis zu Keith. Wie der Security-Profi r\u00fcckblickend feststellt, hat ihn seine pers\u00f6nliche Erfahrung mit einem toxischen CISO karrieretechnisch paradoxerweise sogar weitergebracht: \u201cIch habe inzwischen ein paar junge Leute unter mir, die gerade ihre erste Stelle angetreten haben. Von ihnen bekomme ich regelm\u00e4\u00dfig sehr gutes Feedback, sie f\u00fchlen sich geh\u00f6rt und verstanden. Ich habe also scheinbar tats\u00e4chlich gelernt, wie man sich als F\u00fchrungskraft\u00a0auf keinen Fall verhalten sollte<\/a>.\u201d<\/p>\n

(cio.de<\/a>)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Lipik Stock Media \u2013 shutterstock.com F\u00fcr Keith, einen erfahrenen Cybersecurity-Profi aus New York City in seinen 40ern, gab es mehr als einen Grund, seinen Job hinzuwerfen \u2013 und vor allem seinen\u00a0CISO\u00a0hinter sich zu lassen. Dieser hatte den Security-Profi so unnachgiebig gepiesakt, bis dieser am Ende jede seiner E-Mails vierfach \u00fcberpr\u00fcfte, bevor er sie abschickte. Keith […]<\/p>\n","protected":false},"author":0,"featured_media":2249,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-2248","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2248"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2248"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2248\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/2249"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2248"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2248"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2248"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}