{"id":4835,"date":"2025-09-15T04:00:00","date_gmt":"2025-09-15T04:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=4835"},"modified":"2025-09-15T04:00:00","modified_gmt":"2025-09-15T04:00:00","slug":"zehn-karrierekiller-fur-cisos","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=4835","title":{"rendered":"Zehn Karrierekiller f\u00fcr CISOs"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
\n

CISOs m\u00fcssen sich anpassen und weiterentwickeln. Nur so k\u00f6nnen sie selbst und ihre arbeitgebenden Unternehmen florieren.<\/p>\n

Ground Picture \u2013 Shutterstock.com<\/p>\n<\/div>\n

CISOs tragen gro\u00dfe Verantwortung und k\u00f6nnen daher mit Fehlverhalten ein Unternehmen sowie ihren eigenen Lebenslauf nachhaltig beeintr\u00e4chtigen. Illegales oder unethisches Verhalten f\u00fchrt in der Regel zur K\u00fcndigung.<\/p>\n

Es gibt jedoch noch viele andere Fehltritte, die den beruflichen Aufstieg behindern k\u00f6nnen. Einige davon sind weniger offensichtlich und daher schwerer zu vermeiden. Speziell f\u00fcr F\u00fchrungskr\u00e4fte im Sicherheitsbereich drohen spezielle Fallstricke, die sich als karrierehemmend erweisen k\u00f6nnten.<\/p>\n

Hier sind zehn Fehler, die laut F\u00fchrungskr\u00e4ften, Karrierecoaches und Unternehmensberatern die Karriere von CISOs beeintr\u00e4chtigen k\u00f6nnen:<\/p>\n

1. Sicherheit nicht an den gesch\u00e4ftlichen Priorit\u00e4ten auszurichten<\/h2>\n

Gesch\u00e4ft und Sicherheit in Einklang zu bringen, ist derzeit eine der wichtigsten Anforderungen f\u00fcr Sicherheitsverantwortliche. Wer dies nicht tut, wird ins Abseits geraten, so die Experten.<\/p>\n

Zugleich hat sich Sicherheit \u201evon einem Endziel zu einer gesch\u00e4ftsf\u00f6rdernden Funktion entwickelt\u201c, wie James Carder, CISO beim Softwarehersteller Benevity, erl\u00e4utert. Dementsprechend m\u00fcssten Sicherheitsstrategien, Kommunikation, Planung und Umsetzung auf die Gesch\u00e4ftsergebnisse abgestimmt sein.<\/p>\n

Erzielen Sicherheitsma\u00dfnahmen hierbei keinen sinnvollen Return of Investment (ROI), machen CISOs seiner Meinung nach etwas falsch. \u201eSicherheit sollte nicht als Kostenstelle betrieben werden, und wenn wir so handeln oder berichten, versagen wir in unserer Rolle\u201c, erkl\u00e4rt Carder.<\/p>\n

Zus\u00e4tzlich f\u00fchrt er an, dass CISOs, die ihre Sicherheitsma\u00dfnahmen noch nicht an der Gesch\u00e4ftsstrategie ausrichten, ihre Denkweise grundlegend \u00e4ndern m\u00fcssen. Hierbei sollen sie akzeptieren, dass sich ihre Rolle ver\u00e4ndert hat und dass sie keine Torw\u00e4chter, sondern Wegbereiter f\u00fcr Fortschritt sind, so der CISO.<\/p>\n

2. Nur Technologe sein<\/h2>\n

Um die Sicherheit an die Unternehmensstrategie anzupassen, sollten Sicherheitsexperten auch F\u00fchrungskr\u00e4fte sein, erkl\u00e4rt Ryan Knisley, ehemaliger CISO von Disney und jetziger Chief Product Strategist beim Technologieunternehmen Axonius. Das bleibt aber f\u00fcr viele CISOs eine Herausforderung, die nach wie vor eher innerhalb der Sicherheitsorganisation als in den Gesch\u00e4ftsbereichen aufsteigen.<\/p>\n

Diese Karriereentwicklung f\u00fchrt dazu, dass vielen zwei entscheidende F\u00e4higkeiten fehlen:<\/p>\n

Risiken mit dem Umsatz zu verkn\u00fcpfen und<\/p>\n

anhand von Gesch\u00e4ftskennzahlen messen zu k\u00f6nnen, wie wirksam Sicherheitsma\u00dfnahmen sind.<\/p>\n

\u201eDadurch wird ihre Rolle marginalisiert und sie werden als Kostenfaktor angesehen\u201c, stellt Knisley fest. Er r\u00e4t CISOs daher, ihre unternehmerischen F\u00e4higkeiten auszubauen. Hierf\u00fcr sollen sie sich professionelle Mentoren au\u00dferhalb der Cybersecurity-Branche suchen und dort auch Berufserfahrung sammeln.<\/p>\n

3. Nur \u201eNein\u201c sagen<\/h2>\n

Aimee Cardwell, CISO beim Technologieunternehmen Transcend, f\u00fchrt aus, dass CISOs im Allgemeinen wissen, dass die Sicherheitsabteilung kein Nein-Sager sein kann. Zu einem eindeutigen \u201eJa\u201c kann sich aber auch nur ein Teil durchringen, weswegen sie ihre Unternehmen in gewisser Weise im Stich lassen. Das kann ihre Karriere behindern, so die Expertin.<\/p>\n

Um zu einem \u201eJa\u201c zu gelangen, m\u00fcssen CISOs die Risikotoleranz des Unternehmens verstehen, so die Expertin. Mit diesem Wissen k\u00f6nnen sie Sicherheitskontrollen angemessen mit den Anforderungen des Unternehmens an Geschwindigkeit und einfache Transaktionen in Einklang bringen.<\/p>\n

Tim Rawlins, Senior Advisor und Security Director der NCC Group, erkl\u00e4rt dies so: \u201eCISOs, die ihre Karriere vorantreiben m\u00f6chten, sind diejenigen, die sagen k\u00f6nnen: \u201aJa, ich helfe dabei, das sicher und zuverl\u00e4ssig zu tun und dabei widerstandsf\u00e4higer zu werden\u2018\u201c.<\/p>\n

4. Rote Linien ziehen<\/h2>\n

Rawlins geht sogar noch weiter und fordert, dass CISOs keine roten Linien bei Ideen mit hohem Risiko ziehen d\u00fcrfen. Tun sie das doch, zeige das, dass sie sich nicht wirklich auf die gesch\u00e4ftlichen Anforderungen konzentrieren.<\/p>\n

\u201eCISOs k\u00f6nnen nicht sagen: \u201aAuf keinen Fall\u2018, denn wenn es f\u00fcr das Unternehmen wichtig ist, m\u00fcssen sie einen Weg finden, es sicher und zuverl\u00e4ssig zu liefern. Andernfalls wird das Unternehmen Sie umgehen\u201c, erl\u00e4utert er seinen Rat.<\/p>\n

5. Regeln zu streng einhalten<\/h2>\n

Ebenso schaden CISOs ihrem Unternehmen und ihren beruflichen Aussichten, wenn sie sich zu streng an die Regeln halten, sagt Cardwell. Hierf\u00fcr nennt sie ein Beispiel aus ihrer eigenen Erfahrung:<\/p>\n

In ihrem Unternehmen lehnte eines ihrer Teammitglieder zun\u00e4chst ab, dass die Mitarbeitenden eine Anwendung eines Drittanbieters nutzen d\u00fcrfen. Hierbei berief die Person sich auf eine Sicherheitsrichtlinie, die das verbietet.<\/p>\n

Cardwell befasste sich deshalb gemeinsam mit der Belegschaft eingehender mit der Situation. Dadurch erfuhr sie, dass die App nur zwei Monate lang auf zwei Rechnern laufen wird, aber f\u00fcr eine Gesch\u00e4ftsinitiative von entscheidender Bedeutung war.<\/p>\n

Sie beschloss, eine Ausnahme von der Sicherheitsregel zu machen und Kontrollen zu implementieren, um ein kalkuliertes Risiko im Namen des Unternehmens einzugehen. Beispielsweise wurde ein Service-Ticket erstellt, um sicherzustellen, dass die App zum erwarteten Projektende entfernt wird.<\/p>\n

Dies, so Cardwell, zeigt die Bereitschaft der Sicherheitsabteilung, als Wegbereiter f\u00fcr das Unternehmen zu fungieren. Zugleich ist sichergestellt, dass der CISO und das Security-Team als Partner und nicht als l\u00e4stige Hindernisse angesehen werden.<\/p>\n

6. KI falsch verstehen<\/h2>\n

K\u00fcnstliche Intelligenz (KI) breitet sich immer weiter aus, weshalb CISOs ihr Verst\u00e4ndnis dieser Technologie vertiefen m\u00fcssen. So k\u00f6nnen sie sie zum einen angemessen absichern, zum anderen werden sie nicht als Relikte aus der Zeit vor der KI angesehen, so die Experten.<\/p>\n

Dennoch behandeln viele Sicherheitsexperten KI immer noch \u201ewie ein typisches Technologie-Tool und nicht wie Neuland\u201c, sagt Jenai Marinkovic, Virtual CTO (vCTO) und CISO bei Tiro Security.<\/p>\n

KI ver\u00e4ndert das vertraute Terrain aber, genauso wie die \u201eBedrohungslandschaft, die Entscheidungsschleifen und sogar das Verst\u00e4ndnis von \u201aWahrheit\u2018 innerhalb von Organisationen.\u201c Wenn Fachleute KI weiterhin nur als Feature behandeln, werden sie ihre Umgebung falsch einsch\u00e4tzen und L\u00f6sungen f\u00fcr Bedrohungsklassen anbieten, die es nicht mehr gibt, erl\u00e4utert die CTO. \u201eIhre Logik wird in Echtzeit aussterben.\u201c<\/p>\n

Sie f\u00fcgt hinzu, dass Karrieren, die morgen scheitern werden, dies nicht aufgrund von Faulheit oder Inkompetenz tun, sondern wegen veralteter Ontologien.<\/p>\n

7. Zu wenig Transparenz<\/h2>\n

CISOs, die nicht genau wissen, was sie alles sichern m\u00fcssen, werden in ihrer Rolle keinen Erfolg haben, so Kinsley. Er erg\u00e4nzt, dass Verantwortliche, die weder alles \u00fcberblicken, noch sagen k\u00f6nnen, ob Kontrollen wirksam sind, ihre Glaubw\u00fcrdigkeit und das Vertrauen der F\u00fchrungskr\u00e4fte in sie verlieren werden.<\/p>\n

Dem h\u00e4lt Marinkovic entgegen, dass der \u00dcberblick heute umfassender ist als je zuvor. CISOs, die die unsichtbaren Abh\u00e4ngigkeiten, die heute in fast allen Organisationen existieren, nicht modellieren, verurteilen sich ihrer Meinung nach selbst zum Scheitern.<\/p>\n

\u201eIn hybriden Systemen \u2013 biologischen, digitalen, operativen, geopolitischen \u2013 treten die katastrophalsten Ausf\u00e4lle an Punkten auf, an denen keine Kopplung modelliert wurde\u201c, sagt sie. Wer nicht erkennen kann, wie ihre Steuerungslogik \u2013 technisch oder verwaltungstechnisch \u2013 mit unsichtbaren Systemen \u2013 regulatorisch, kulturell, wirtschaftlich \u2013 zusammenwirkt, kann sie auch nicht steuern. \u201eIhre Karriere wird nicht aufgrund mangelnder F\u00e4higkeiten, sondern aufgrund fehlender synthetischer Wahrnehmung gef\u00e4hrdet\u201c, so die Expertin.<\/p>\n

8. Nicht Netzwerken<\/h2>\n

Fachleute aller Disziplinen kommen zum Teil dadurch voran, indem sie<\/p>\n

anderen bei ihrer Arbeit helfen,<\/p>\n

zu vertrauensw\u00fcrdigen Partnern ihrer Kollegen werden und<\/p>\n

Beziehungen innerhalb ihrer Organisationen aufbauen.<\/p>\n

Manchen Menschen f\u00e4llt das Networking leicht, w\u00e4hrend andere Positionen eine Art der Zusammenarbeit erfordern, die dabei hilft, diese Bindungen am Arbeitsplatz zu kn\u00fcpfen.<\/p>\n

Die Sicherheitsfunktion in vielen Unternehmen f\u00e4llt jedoch selten in eine dieser Kategorien, wie Kimberly Roush, Gr\u00fcnderin von All-Star Executive Coaching anmerkt. Das bedeutet jedoch nicht, dass es f\u00fcr erfolgreiche Sicherheitsprogramme und die individuelle Karrieref\u00f6rderung weniger wichtig, Beziehungen aufzubauen. Daher m\u00fcssen Sicherheitsmitarbeiter sich mehr eigene M\u00f6glichkeiten schaffen, so die Expertin.<\/p>\n

Roush empfiehlt, Kollegen wissen zu lassen, dass man sich vernetzen m\u00f6chte. CISOs sollten Peers ansprechen und Fragen stellen, deren Erfolge anerkennen und Meetings planen, um von anderen zu lernen. Das f\u00f6rdere Einfluss jenseits des eigenen Unternehmensbereichs.<\/p>\n

9. Geizig mit Ihrer Zeit und Aufmerksamkeit sein<\/h2>\n

CISOs stehen zwar unter gro\u00dfem Zeitdruck, sollen jedoch trotzdem aufmerksam auf Mitarbeitende eingehen, die mit Anliegen oder Bedenken zu ihnen kommen. Jemanden schroff abzuweisen, kann dazu f\u00fchren, dass diese Personen k\u00fcnftig keine sicherheitsrelevanten Informationen mehr melden, so Cardwell. Schlimmer noch, sie k\u00f6nnen anfangen, Sicherheitsfunktionen aktiv zu umgehen.<\/p>\n

Bereits kleine Hinweise k\u00f6nnen auf ernsthafte Probleme hindeuten. Daher ist es wichtig, jede Meldung ernst zu nehmen sowie ihr offen und interessiert zu begegnen.<\/p>\n

10. Mit einer Sicherheitsverletzung falsch umgehen<\/h2>\n

Nicht nur CISOs wissen, dass es nicht darum geht, ob ein Sicherheitsvorfall passiert, sondern wann. Das verstehen mittlerweile auch ihre Kollegen in der Gesch\u00e4ftsleitung, weswegen ein Vorfall nicht mehr das Ende der Karriere bedeutet.<\/p>\n

Cardwell erl\u00e4utert, dass fr\u00fcher ein Sicherheitsversto\u00df \u201eein schwarzer Fleck f\u00fcr einen CISO\u201c war. Heute hat sich die Situation ihrer Meinung nach fast komplett gewandelt: Sie w\u00fcrde \u201elieber keinen CISO einstellen, der noch nie einen Sicherheitsversto\u00df erlebt hat\u201c. Stattdessen bevorzugt sie Experten die irgendwo anders einen Sicherheitsversto\u00df erlebt und daraus gelernt haben. Diese Erfahrung bringe ein besseres Verst\u00e4ndnis mit sich, was es braucht, um widerstandsf\u00e4hig zu sein.<\/p>\n

Ein Sicherheitsvorfall, bei dem der CISO die Reaktion darauf vermasselt, kann aber immer noch die Karriere ruinieren, so die Expertin.<\/p>\n

CISOs m\u00fcssen deshalb \u00fcber einen gut einstudierten Plan verf\u00fcgen, um auf Vorf\u00e4lle reagieren zu k\u00f6nnen. So k\u00f6nnen sie<\/p>\n

entschlossen handeln,<\/p>\n

den Schaden begrenzen und<\/p>\n

schnell dazu \u00fcbergehen, das Besch\u00e4digte wiederherzustellen.<\/p>\n

Laut Rawlins m\u00fcssen sie zudem ruhig und klar kommunizieren sowie die Kontrolle behalten. Er gibt jedoch auch zu, dass das nicht zwingend den eigenen Arbeitsplatz rettet.<\/p>\n

\u201eWir sehen immer noch CISOs, die nach einem schwerwiegenden Sicherheitsvorfall vielleicht noch 18 Monate in ihrer Position bleiben\u201c, so der Berater. \u201eAber das muss Ihre Karriere nicht ruinieren.\u201c (tf\/jd)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

CISOs m\u00fcssen sich anpassen und weiterentwickeln. Nur so k\u00f6nnen sie selbst und ihre arbeitgebenden Unternehmen florieren. Ground Picture \u2013 Shutterstock.com CISOs tragen gro\u00dfe Verantwortung und k\u00f6nnen daher mit Fehlverhalten ein Unternehmen sowie ihren eigenen Lebenslauf nachhaltig beeintr\u00e4chtigen. Illegales oder unethisches Verhalten f\u00fchrt in der Regel zur K\u00fcndigung. Es gibt jedoch noch viele andere Fehltritte, die […]<\/p>\n","protected":false},"author":0,"featured_media":4836,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-4835","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4835"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4835"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4835\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/4836"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4835"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4835"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4835"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}