{"id":4591,"date":"2025-08-29T04:00:00","date_gmt":"2025-08-29T04:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=4591"},"modified":"2025-08-29T04:00:00","modified_gmt":"2025-08-29T04:00:00","slug":"9-dinge-die-cisos-den-job-kosten","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=4591","title":{"rendered":"9 Dinge, die CISOs den Job kosten"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
\n

Sie k\u00f6nnen nicht sagen, wir h\u00e4tten Sie nicht gewarnt\u2026<\/p>\n

Foto: Anton Vierietin | shutterstock.com<\/p>\n<\/div>\n

CISOs und andere Executives im Bereich IT-Sicherheit arbeiten im Regelfall hart daran<\/a>, ihr Unternehmen \u2013 und ihre Karriere<\/a> \u2013 abzusichern. Allerdings reicht eine kleine Unaufmerksamkeit, eine Fehlannahme oder auch ein falscher Ratschlag, um s\u00e4mtliche Bem\u00fchungen im Handumdrehen zunichtezumachen.<\/p>\n

Falls Sie damit planen, Ihren Job zu behalten, sollten Sie die folgenden neun Dinge unbedingt unterlassen.<\/p>\n

1. Sich selbst \u00fcbersch\u00e4tzen<\/h3>\n

Selbst\u00fcbersch\u00e4tzung kann in einen empfindlichen Karriereknick m\u00fcnden. Insbesondere, wenn sie dazu f\u00fchrt, dass (Sicherheits-)L\u00f6sungen eingesetzt werden, die zwar unter Umst\u00e4nden popul\u00e4r sind, sich aber noch nicht bew\u00e4hrt haben<\/a>. Steve Tcherchian, CISO beim Security-Softwareanbieter Xypro Technology Corporation, spinnt das Szenario weiter: \u201cDiese Art von \u2018Ansatz\u2019 schafft Sicherheitsl\u00fccken, erh\u00f6ht das Risiko f\u00fcr menschliches Versagen<\/a> und f\u00fchrt zu einem falschen Sicherheitsgef\u00fchl unter den Stakeholdern \u2013 bis es schlie\u00dflich zu einem katastrophalen Sicherheitsvorfall kommt.\u201d<\/p>\n

Ein \u00fcberm\u00e4\u00dfig ausgepr\u00e4gtes Selbstvertrauen kann auch dazu f\u00fchren, dass IT-Sicherheitsentscheider \u2013 und ihre Teams \u2013 in Selbstgef\u00e4lligkeit abdriften, wie der Xypro-CISO warnt: \u201cWenn Einzelpersonen oder Unternehmen davon ausgehen, ausreichende Security-Prozesse etabliert zu haben, sinkt ihre Wachsamkeit, die Schutzma\u00dfnahmen veralten nach und nach \u2013 und die Anf\u00e4lligkeit f\u00fcr neue Bedrohungen<\/a> steigt.\u201d<\/p>\n

2. Komplexit\u00e4t f\u00f6rdern<\/h3>\n

CISOs, die sich von Technologietrends, respektive \u2013hypes<\/a> vereinnahmen lassen, statt sich auf die wesentlichen Aufgaben ihrer Rolle zu fokussieren, m\u00fcssen ebenfalls damit rechnen, karrieretechnisch zu entgleisen. Richard Watson, Global Cybersecurity Consulting Leader bei der Unternehmensberatung EY, veranschaulicht die Folgen dieser Entwicklung: \u201cIm Ergebnis werden zahlreiche Technologien angeschafft, die unn\u00f6tige Komplexit\u00e4t<\/a> einf\u00fchren und vom Wesentlichen ablenken. Die Komplexit\u00e4t wiederum verursacht weitere Kosten w\u00e4hrend Integrationen neue Sicherheitsl\u00fccken aufwerfen, die Angreifer zu ihrem Vorteil ausnutzen k\u00f6nnen.\u201d<\/p>\n

Erschwerend komme laut dem EY-Chefberater hinzu, dass auch Komplexit\u00e4t ein falsches Sicherheitsgef\u00fchl vermitteln k\u00f6nne \u2013 schlie\u00dflich gingen Unternehmen davon aus, von den neuesten technologischen Innovationen in besonders hohem Ma\u00dfe gesch\u00fctzt zu werden<\/a>.<\/p>\n

3. GRC vernachl\u00e4ssigen<\/h3>\n

Eine weitere vielversprechende Option, um die eigene Security-Karriere zu verk\u00fcrzen: Einen Cybersecurity-Stack ohne formelles GRC-Programm (Governance, Risk & Compliance<\/a>) auf die Beine stellen. Scott Hawk, CISO beim Netzwerkserviceanbieter Velaspan, erkl\u00e4rt \u00e4u\u00dferst detailliert, warum: \u201cDieser Fehler hat potenziell verheerende Wirkung, weil er diverse Unternehmensaspekte betreffen kann. Ohne solides GRC-Programm ist es wesentlich wahrscheinlicher, dass zu viel Geld f\u00fcr Technologie ausgegeben wird, ein falsches Gef\u00fchl der Sicherheit entsteht, kritische Security-Komponenten \u00fcbersehen werden und ein Alignment mit anderen Gesch\u00e4ftsbereichen verhindert wird.\u201d<\/p>\n

Als Gegenmittel empfiehlt auch Hawk ein GRC-Framework wie COBIT<\/a>. Das stelle sicher, dass Risikomanagement, Compliance-Anforderungen<\/a> und Governance in die Gesamtstrategie des Unternehmens integriert werden: \u201cGRC wird Cybersecurity unternehmensweit zum Gespr\u00e4chsthema machen. Das unterst\u00fctzt dabei, Priorit\u00e4ten zu setzen und Akzeptanz zu f\u00f6rdern. Mit GRC wird Cybersicherheit zum Business Enabler\u201d, wei\u00df der Sicherheitsentscheider.<\/p>\n

4. Alignment verfehlen<\/h3>\n

Der gr\u00f6\u00dfte Bock, den Sicherheitsprofis schie\u00dfen k\u00f6nnen, ist weder technischer noch finanzieller Natur. Richard Caralli, Senior Cybersecurity Advisor beim Plattformanbieter Axio, verr\u00e4t, was f\u00fcr CISO-Karrieren<\/a> seiner Meinung nach sogar noch sch\u00e4dlicher ist, als potenzielle Bedrohungen nicht zu erkennen: \u201cCybersecurity-Programme nicht im organisatorischen Gesamtkontext zu durchdringen und zu gestalten, ist der gr\u00f6\u00dfte Fehler, den IT-Sicherheitsentscheider begehen k\u00f6nnen. Der Schutz dessen, was f\u00fcr die Lebensf\u00e4higkeit des Unternehmens essenziell ist, sollte \u00fcber Priorit\u00e4ten und Investitionen im Bereich Cybersicherheit bestimmen.\u201d<\/p>\n

Laut Caralli geh\u00f6re es unbestreitbar zu den Pflichten von CISOs, Cybersicherheitsinitiativen auf die Beine zu stellen, die an den Zielen und Werten des Unternehmens ausgerichtet sind. Falls dieses Alignment fehlt, prophezeiht der Berater unsch\u00f6ne Konsequenzen: \u201cEs besteht die Gefahr, dass Investitionen falsch ausgerichtet<\/a>, Ressourcen unzureichend genutzt und allgemein schlechte Cybersecurity-Ergebnisse erzielt werden.\u201d<\/p>\n

5. Access Control hintanstellen<\/h3>\n

\u201cDen Wald vor lauter B\u00e4umen nicht sehen\u201d gibt es auch im Cybersecurity-Entscheiderumfeld. Etwa, wenn der CISO ein Gros seiner Zeit darauf verwendet, sich \u00fcber Backdoors in den Systemen Gedanken zu machen \u2013 dar\u00fcber aber das Thema Access Control<\/a> vernachl\u00e4ssigt. Nitin Sonawane, Mitbegr\u00fcnder des Identity-Spezialisten Zilla Security, warnt eindr\u00fccklich vor einem solchen Szenario: \u201cDigitale Identit\u00e4ten<\/a> sind das Haupteingangstor zu Systemen. Sind sie unzureichend abgesichert oder falsch konfiguriert, ist das potenziell verheerend \u2013 speziell \u00fcberprivilegierte Identit\u00e4ten stellen im Falle eines Angriffs ein erh\u00f6htes Risiko dar.\u201d <\/p>\n

Wie der Sicherheitsexperte bem\u00e4ngelt, vers\u00e4umten es Unternehmen oft, die Zugriffsberechtigungen ehemaliger Mitarbeiter und Partner angemessen zu managen. Das f\u00fchre zu verwaisten Accounts<\/a>, die von Bedrohungsakteuren ausgenutzt werden k\u00f6nnten. Die effektivste Form des Identity Managements, da ist Sonawane \u00fcberzeugt, f\u00fchre \u00fcber k\u00fcnstliche Intelligenz: \u201cDie meisten Unternehmen unterhalten heute HR-Applikationen, die als Source of Truth f\u00fcr das Business-Profil jeden Nutzers dient. Findet eine Versetzung statt, entscheidet in der Regel der neue Vorgesetzte des Benutzers, welche Berechtigungen dieser \u2013 auf Grundlage des Business-Kontexts \u2013 noch ben\u00f6tigt und welche nicht. Dabei kann KI unterst\u00fctzen.\u201d<\/p>\n

6. Faktor Mensch ignorieren<\/h3>\n

Bekannterma\u00dfen bringt es IT-Sicherheitsentscheider (auch karrieretechnisch) nicht weiter, ihr Augenmerk ausschlie\u00dflich auf technische L\u00f6sungen und Prozesse zu legen. Dan Lohrmann, Field CISO bei der IT-Beratung Presidio, sieht das sogar als gr\u00f6\u00dftm\u00f6glichen Fehler an: \u201cDer Mensch ist immer noch die gr\u00f6\u00dfte aller Schwachstellen. Sicherheitsexperten, die diesen Fakt untersch\u00e4tzen oder au\u00dfer Acht lassen<\/a>, werden deshalb scheitern.\u201d<\/p>\n

Speziell die Tendenz der Mitarbeiter, Kontrollma\u00dfnahmen, etablierte Richtlinien sowie Prozesse zu umgehen, k\u00f6nne zu einer ganzen Reihe von Insider-Bedrohungen<\/a> f\u00fchren, so Lohrmann \u2013 der diesbez\u00fcglich schon Einiges erlebt hat: \u201cIch habe schon Mitarbeiter erlebt, die hervorragende Cybersecurity-Initiativen sabotiert haben, indem sie schlicht unt\u00e4tig blieben, Dissonanzen innerhalb des Teams ges\u00e4t haben oder unn\u00f6tige Risiken eingegangen sind. Dabei sollten Sie im Hinterkopf behalten, dass sich Menschen im Laufe der Zeit auch ver\u00e4ndern k\u00f6nnen: Einige einst hervorragende Mitarbeiter k\u00f6nnten aufgrund von Burnout oder widriger Lebensumst\u00e4nde ihren Fokus verloren haben<\/a>. Das kann potenziell ebenso gro\u00dfen Schaden anrichten wie ungeschulte oder b\u00f6swillige Benutzer.\u201d<\/p>\n

Als Abhilfema\u00dfnahmen empfiehlt der Field CISO in erster Linie, die Recruiting-Ma\u00dfnahmen zu optimieren und dabei auch auf ausgiebige Background Checks f\u00fcr neue Mitarbeiter zu setzen. Das k\u00f6nne seiner Meinung nach einen starken Beitrag dazu leisten, das interne Sicherheitsniveau zu st\u00e4rken. Erg\u00e4nzend f\u00fcgt Lohrmann hinzu: \u201cDie F\u00e4higkeit, Hinweise auf einen m\u00f6glichen Burnout<\/a> zu erkennen, ist diesbez\u00fcglich ebenso wichtig.\u201d<\/p>\n

7. Datenballast zulassen<\/h3>\n

Veraltete Datens\u00e4tze, die in Cloud-Speichern versauern, sind m\u00f6glicherweise nicht unbedingt sichtbar und deshalb auch schnell vergessen \u2013 k\u00f6nnen aber jederzeit als CISO-Karrierekiller \u201czur\u00fcckkommen\u201d.<\/p>\n

Rich Vibert, CEO des Data-Security-Anbieters Metomic, macht deutlich, wo das Problem liegt: \u201cSolche Daten bergen erhebliche Gefahren, die von Sicherheitsl\u00fccken<\/a> bis hin zu Compliance-Problemen reichen. Das zuzulassen ist ein besonders dummer, weil \u00e4u\u00dferst vermeidbarer Fehler. Veraltete Datens\u00e4tze enthalten m\u00f6glicherweise sensible Informationen, was gef\u00e4hrlich werden kann, wenn sie in die falschen H\u00e4nde geraten und die Zugangskontrollen nicht sorgf\u00e4ltig aufgesetzt sind.\u201d <\/p>\n

Dar\u00fcber hinaus k\u00f6nnten veraltete Daten Cyberkriminelle auch mit wertvollen historischen Informationen ausstatten, die sich wiederum f\u00fcr zielgerichtete(re) Social-Engineering-Attacken<\/a> verwenden lie\u00dfen, so Vibert.<\/p>\n

8. In Silos verharren<\/h3>\n

Entf\u00e4llt eine effektive Kommunikation mit Stakeholdern aus nicht-technischen Bereichen, kann das nicht nur Missverst\u00e4ndnisse, Misstrauen und Verwirrung hervorrufen: Betroffene CISOs d\u00fcrften es auch deutlich schwerer haben, ihre Security-Budgets<\/a> bewilligt zu bekommen. <\/p>\n

Jeff Orr, Director bei Ventana Research, r\u00e4t IT-Sicherheitsentscheidern deshalb dazu, auf Business-Terminologie<\/a> zu setzen, wenn es darum geht, \u00fcber kritische Security-Probleme und ihren Business Impact aufzukl\u00e4ren: \u201cBieten Sie Beispiele an, die Sicherheitskonzepte mit Business-Aktivit\u00e4ten in Verbindung bringen \u2013 und sorgen Sie auch im Rahmen von Reportings f\u00fcr Klarheit.\u201d<\/p>\n

9. Selbstgef\u00e4llig agieren<\/h3>\n

Der Fehler mit dem gr\u00f6\u00dften CISO-Karrierekillerpotenzial ist es allerdings, anzunehmen, alles w\u00e4re unter Kontrolle. Howard Taylor, CISO beim Sicherheitsanbieter Radware, kennt Kandidaten, die solchen Annahmen erliegen \u2013 und wei\u00df, wie ihre Karriere im Regelfall endet: \u201cSolche F\u00fchrungskr\u00e4fte vertrauen vor allem darauf, durch Massen von Zertifizierungen<\/a> vor Cyberkriminellen gesch\u00fctzt zu sein. Nachdem ihr Unternehmen einen massiven Datendiebstahl durchlebt hat, sind ihre letzten Worte dann \u2018Wir haben unser PCI DSS Zertifikat in der Tasche\u2019.\u201d<\/p>\n

Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong>Unser kostenloser Newsletter<\/strong><\/a> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Sie k\u00f6nnen nicht sagen, wir h\u00e4tten Sie nicht gewarnt\u2026 Foto: Anton Vierietin | shutterstock.com CISOs und andere Executives im Bereich IT-Sicherheit arbeiten im Regelfall hart daran, ihr Unternehmen \u2013 und ihre Karriere \u2013 abzusichern. Allerdings reicht eine kleine Unaufmerksamkeit, eine Fehlannahme oder auch ein falscher Ratschlag, um s\u00e4mtliche Bem\u00fchungen im Handumdrehen zunichtezumachen. Falls Sie damit […]<\/p>\n","protected":false},"author":0,"featured_media":2486,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-4591","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4591"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4591"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4591\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/2486"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4591"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4591"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4591"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}