Der CISO im Porträt

Immer auf der Hut

03.06.2008
Von 


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.

Studie: Die drei Typen CISO

Die Kölner PR-Agentur known_sense hat vor wenigen Wochen die Security-Studie "Aus der Abwehr in den Beichtstuhl" veröffentlicht, die sich mit den CISOs in deutschen Unternehmen auseinandersetzt. In Einzelbefragungen wurden die menschliche Psychologie, die zu großen Teilen hinter der IT-Sicherheit steckt, und die Persönlichkeiten der CISOs näher beleuchtet. Drei wesentliche Charaktertypen kristallierten sich dabei heraus:

  • Fräulein Rottenmeier (die zentrale Kontrollinstanz)

Die Prozesse laufen, wenn er will, und er scheint unersetzbar. Alles dreht sich um ihn - dennoch ist er einsam. Er vermittelt nicht, sondern erzwingt eine Sicherheitskultur. In dem Typus "zentrale Kontrollinstanz" sind Züge einer Diva enthalten. Man rechnet mit wechselnden Stimmungen und versucht, ihm, der oft unnahbar erscheint, alles recht zu machen. "Wenn der CISO der beliebteste Mann im Unternehmen ist, stimmt etwas nicht", so ein O-Ton der zentralen Kontrollinstanz. Menschlich-analoge Seiten werden von ihm konsequent abgespalten, um sich nicht zu "beschmutzen" oder sich auf andere Sichtweisen einlassen zu müssen - vergleichbar der literarischen Figur des Fräulein Rottenmeier aus "Heidi".

  • Mutter Teresa (der Sicherheitsservice)

Dieser Typus möchte, dass Sicherheit nicht in unangenehmer Weise spürbar ist. Seine Freundlichkeit kann aber in Aggression kippen, wenn die Mitarbeiter allzu ungesichert agieren. Dann kann der Sicherheitsservice Freiheiten sofort einschränken. Probleme und Störungen sind sein Lebenselixier, die seine Rolle als helfender Engel manifestieren. Auch wenn er sich gut in die User hineinversetzen kann, schafft er es oftmals nicht, die Relevanz seiner Belange zu verdeutlichen. So fürchtet er letztlich doch um seine Existenz im Unternehmen, beispielsweise durch die vermeintliche Bedrohung seitens externer Security-Sevice-Anbieter. "Ich komme mir vor wie ein Mann vom ADAC. Den holt man auch nur, wenn man am Straßenrand liegen geblieben ist", sagt einer, oder: "Ich bin nicht der, der die Blondine als Belohnung bekommt" ein anderer. Als Person ist der Sicherheitsservice wohl am ehesten mit Mutter Teresa vergleichbar.

  • Columbo (der Streetworker)

Er versteht Sicherheit nicht als Lösung von der Stange, sondern als individuelle Konfiguration. Seine Strategie zeichnet sich durch Beweglichkeit und seinen Wunsch nach interdisziplinärem Austausch aus. Er bringt die Interessen der Sicherheit und die der Mitarbeiter miteinander ins Verhältnis und versucht sich in Empathie, ohne die eigenen Belange aufzugeben. "Mein Vorsatz ist: Vergiss nie, dass du auch mal da gesessen hast, wo die jetzt sitzen." Der Streetworker führt seine Kollegen sinnstiftend und richtet so eine Sicherheitskultur ein. Durch diese Einbeziehung gerät der Mitarbeiter in die Lage, seine eigene (analoge) Perspektive in die (digitale) Perspektive der Informationssicherheit zu überführen. Ein solcher CISO versetzt sich wie ein Streetworker in die Lage der Mitarbeiter und versucht, seine Interessen auf dieser Ebene zu vermitteln. In gewisser Weise entsichert sich der Streetworker sogar selbst, weil er durchaus bereit ist, Risiken in Kauf zu nehmen, um der analogen Sichtweise der Mitarbeiter zu begegnen. Er lebt das Paradox. Er hält es aus, anstatt es zu verbannen. Diese Strategie setzt auf ein Verzahnen der beiden unterschiedlichen Prinzipien. Das vermittelnde Verhalten erzeugt Eigenart und Profil, Akzeptanz und Loyalität. Es entspricht am ehesten der bekannten Figur Inspektor Columbo aus der gleichnamigen TV-Krimi-Serie.