Chief Information Security Officer

CISOs beklagen zu wenig Durchsetzungskompetenzen

18.06.2019
Von 
Jens Dose ist Editor in Chief von CIO. Seine Kernthemen drehen sich rund um CIOs, ihre IT-Strategien und Digitalisierungsprojekte.
Eine aktuelle Umfrage der CISO Alliance besagt, dass das Aufgabenfeld der Security-Verantwortlichen zwar hochinteressant ist, sie aber mit geringer Akzeptanz und vielen Hürden zu kämpfen haben.

Der Fachverband CISO Alliance führte Anfang 2019 eine Umfrage unter 202 Chief Information Security Officers (CISOs) und IT-Sicherheitsverantwortlichen in der DACH-Region durch. Demnach machen das spannende fachliche Umfeld (77 Prozent), die unternehmensweite Ausrichtung (66 Prozent) und die Gestaltungsmöglichkeiten (62 Prozent) die Security-Management-Rolle attraktiv.

IT-Sicherheitsverantwortliche kämpfen mit internen Hürden, geringer Akzeptanz und wenig Handlungsspielraum.
IT-Sicherheitsverantwortliche kämpfen mit internen Hürden, geringer Akzeptanz und wenig Handlungsspielraum.
Foto: Tero Vesalainen - shutterstock.com

Die breiten Kompetenzanforderungen (41 Prozent) und die hohe Verantwortung (53 Prozent) rangieren am Ende der Motivatoren der Security-Experten. Das läge daran, dass es ihnen "bei der Umsetzung von Konzepten und Maßnahmen häufig an Durchgriffsmöglichkeiten gegenüber den Organisationsbereichen [fehlt]", kommentiert der Verbandsvorsitzende Ulrich Heun das Ergebnis.

Wenig Akzeptanz und Handlungsmöglichkeiten

Tatsächlich belegt die "begrenzte Durchsetzbarkeit" von sicherheitsrelevanten Maßnahmen den dritten Platz (63 Prozent) unter den Nachteilen der Funktion. Die CISOs bekleiden oft eine rein fachliche Funktion mit hohem Fortbildungsbedarf, die jedoch keine disziplinarischen Möglichkeiten mit sich bringt. Sie tragen also die Verantwortung für die IT-Sicherheit, können aber oft nur wenig aktiv unternehmen, damit sie sich verbessert.

Zudem beklagen sie häufig Wiederstände (69 Prozent) und wenig Akzeptanz (74 Prozent) für ihre Anliegen in ihren Unternehmen. Das Dauerthema der unzureichenden Security-Budgets liegt mit 60 Prozent im Mittelfeld der am häufigsten genannten Probleme.

Planer, Ratgeber und Netzwerker

Trotz der Hürden wird von IT-Security-Verantwortlichen eine Vielzahl an zusätzlichen Qualitäten erwartet, die sie neben technischem Fachwissen mitbringen müssen. Als Mitglied des Managements gilt es, komplexe Sachverhalte strukturiert und mit Business-Fokus aufzubereiten - für genau drei Viertel der Befragten bildet Konzeptionsstärke die Kernanforderung neben fachlicher Kompetenz.

Fast ebenso viele (71 Prozent) sehen sich aber auch in einer Ratgeberfunktion gegenüber den Organisationsbereichen und der Geschäftsleitung. Das erfordert gute Beziehungen zu allen Beteiligten, weshalb sich Vernetzungsbereitschaft mit 69 Prozent unter den Top drei Qualitäten platziert.

Da das Sicherheitsthema nicht immer auf Zuspruch in den Unternehmensabteilungen stößt, sind zudem Moderationsfähigkeiten (61 Prozent) und Durchsetzungsvermögen (59 Prozent) als wichtige Softskills gefragt.

Die CISO Alliance befragte die Security-Verantwortlichen auch nach ihrem Werdegang. Die überwiegende Mehrzahl hat einen IT-Hintergrund.
Die CISO Alliance befragte die Security-Verantwortlichen auch nach ihrem Werdegang. Die überwiegende Mehrzahl hat einen IT-Hintergrund.
Foto: CISO Alliance

Im globalen Vergleich

Ähnliche Fragen stellte auch Kaspersky Lab in einer weltweiten Umfrage (PDF) unter 250 Security-Verantwortlichen im Sommer 2018. Neben technischer IT-Kompetenz gaben die Befragten auch hier geschäftliches Wissen und Analysefähigkeit sowie den Aufbau starker Beziehungen zu anderen Geschäftsbereichen an. Allerdings ist das auch auf globaler Ebene noch ausbaufähig. 68 Prozent der von Kaspersky Befragten möchten sich künftig stärker in andere Abteilungen einbringen, um deren Anforderungen besser zu verstehen und Bedrohungen besser bekämpfen zu können.

Die größten Hürden einer engen Zusammenarbeit sind laut den IT-Sicherheitsverantwortlichen aber auch hier interne Hindernisse wie fehlende Kommunikation oder unterschiedliche Prozesse.

Zudem hapert es weltweit am regelmäßigen Austausch mit der obersten Führungsebene. Der Vorstand holt meist nur Rat beim CISO ein, wenn ein interner Cybervorfall stattgefunden hat (58 Prozent), oder die IT-Abteilung Sicherheitsberatung zu Hard- oder Softwareinvestitionen braucht (57 Prozent). Erst an dritter Stelle (55 Prozent) wird der CISO in planmäßigen Sitzungen des Vorstands miteinbezogen. Geht es um die grundlegenden Geschäftsstrategien, ist der CISO sogar nur in einem Bruchteil der Fälle (20 Prozent) involviert.