Ein Beruf (noch) ohne einheitliche Ausbildung

Um den gestiegenen Anforderungen an den CISO-Beruf Rechnung zu tragen, müsse es nach Lardschneiders Auffassung Ausbildungsmöglichkeiten für CISOs geben. Diese sollten sich weniger auf technische Inhalte konzentrieren, sondern das psychologische und juristische Handwerkszeug vermitteln sowie auf soziale Komponenten und Management-Herausforderungen abgestellt sein. Auf diese Weise könnten das Thema und der Berufsstand langfristig auf einem hohen Level installiert werden. Eigene Studiengänge zur Informationssicherheit, wie unter anderem die Ruhr-Universität Bochum vor kurzem eingerichtet hat, seien ein guter Anfang. Lardschneider und einige seiner Kollegen von der Münchener Rück werden dort ab dem kommenden Semester die praktische Seite des Berufs vermitteln und Studierende auf eine Karriere als Security-Manager vorbereiten.

Reibenspies und Lardschneider messen der Persönlichkeit, den Charaktereigenschaften und den sozialpsychologischen Fähigkeiten eines Sicherheitsbeauftragten mehr Bedeutung bei als den fachlichen Vorkenntnissen. "Den klassischen CISO gibt es nicht, vieles hängt vom Unternehmen, den Geschäftsfeldern und von ihm persönlich ab", sagt der EnBWler. Der CISO habe von Berufs wegen häufig eine Außenseiterstellung. Er müsse viel mit seinem Team und sich selber ausmachen und Spannungen aushalten können. IT-Sicherheit hält Reibenspies nur teilweise für erlernbar, der Löwenanteil sei eine Frage der Persönlichkeit. Der Arbeitsalltag bestehe zumeist aus gesprächsintensiven Verhandlungen. Der CISO sei in erster Linie Diplomat - da seien Zertifikate und Abschlussurkunden wenig hilfreich, warnt Reibenspies. IT-Security sei vielmehr ein psychologisches Thema, das viel Kommunikationsfähigkeit, Menschenkenntnis und Sozialkompetenz verlange und entsprechend geschult werden müsse. "IT-Sicherheit gehört von Anfang an dazu, sie muss Bestandteil jeglicher IT-Ausbildung werden."

Frauen? Mit Sicherheit!

Maria Specht, IT-Sicherheitsbeauftragte der WWK Versicherungen, plädiert neben einer eigenständigen Ausbildung ebenso dafür, das Thema IT-Security als verpflichtenden Bestandteil in das Informatikstudium oder andere techniklastige Studiengänge zu integrieren. Das unterstreiche die Wichtigkeit und bringe voraussichtlich mehr ITler dazu, sich beruflich schwerpunktmäßig der IT-Sicherheit zu widmen, prognostiziert sie. Je mehr Unternehmen eigene Vollzeitstellen im Security-Management schafften, desto dringender werde der Handlungsbedarf, auch das (Informatik-)Studium umzustrukturieren, so Specht. Ein interessanter Nebeneffekt: Der Anteil der Frauen in der IT könne gesteigert werden, weil ein Beruf in der IT-Security eine wesentlich stärkere Kommunikationsfähigkeit verlange als andere IT-Jobs und daher für Frauen attraktiver sei. Noch falle sie unter lauter Männern auf, sagt Specht. Sie kam nach dem Informatikstudium als IT-Projekt-Managerin zur WWK und verantwortet nunmehr seit drei Jahren als dem Bereichsleiter IT untergeordnete "Ein-Frau-Stabsstelle" das strategische IT-Sicherheits-Management bei dem Münchener Versicherer.

In einem sind sich alle CISOs einig: Sie müssen ihre Arbeit sichtbarer machen, um das Sicherheitsbewusstsein von Mitarbeitern und Öffentlichkeit zu stärken. Da sich die Vermeidung von Vorfällen wie Datenabflüssen selten nachweisen lässt, kämpfen viele Sicherheitsbeauftragte immer wieder um ihre Budgets. Lardschneider fasst die Misere, in der CISOs noch sehr oft stecken, treffend zusammen: "Wenn nichts passiert, können wir nicht beweisen, dass ohne uns etwas passiert wäre. Wenn dann aber doch etwas passiert, sind wir im Grunde nicht zu gebrauchen." Dennoch liebt er seinen Beruf und meint, ähnlich wie viele seiner Kollegen: "Wer damit groß geworden ist, lebt Sicherheit von ganzem Herzen."