Security Manager

Wie CISO in der Krise geht

08.05.2020
Von 
Jens Dose ist Redakteur des CIO Magazins. Neben den Kernthemen rund um CIOs und ihre Projekte beschäftigt er sich auch mit der Rolle des CISO und dessen Aufgabengebiet.
In der Coronakrise müssen auch CISOs ihre Arbeitsweise ändern. Weniger Perfektionismus und das Zulassen von kontrolliertem Chaos sind nach Ansicht von Forrester Research die Gebote der Stunde.

Die Corona-Pandemie wird Chief Information Security Officers (CISOs) dazu zwingen, pragmatische Lösungen zu unterstützen und mitzuhelfen, nahe am Kunden zu sein. Weniger gefragt ist laut Forrester Research der Rückzug auf praxisferne Roadmaps und Regelwerke. Unternehmen wünschten sich dynamische Experten - erfahren im Change Management und ausgestattet mit guten Kommunikationsfähigkeiten. Für die gegenwärtige Krise nennen die Berater folgende Verhaltensweisen, die den "neuen" CISO auszeichnen.

In der Krise muss der CISO Sicherheit und Praktikabilität gegeneinander anwägen.
In der Krise muss der CISO Sicherheit und Praktikabilität gegeneinander anwägen.
Foto: sorayut - shutterstock.com

1. Anpassungsfähig sein

Sich schnell auf neue Situationen einzustellen, sei wichtiger als sie kontrollieren zu wollen. Die in der Corona-Krise entstandenen Arbeitsumgebungen sind gekennzeichnet von vielen privaten Endgeräten, unkontrollierten Datenflüssen und zahllosen, auf die Schnelle implementierten Collaboration-Lösungen. Eine solche Zusammensetzung stellt die bisher üblichen Security-Strategien auf den Kopf. Laut Forrester müssen CISOs der Situation gerecht werden, indem sie schnell auf akute Bedürfnisse eingehen und das kontrollierte Chaos akzeptieren - ohne dabei ihre Langzeitkonzepte aus dem Blick zu verlieren.

2. Öfter mal Ja sagen

Laut Forrester finden Mitarbeiter immer einen Weg, ihren Job zu machen - manchmal getreu den Unternehmensrichtlinien, in Krisensituationen aber sich auch auf Umwegen, was die Schatten-IT fördert. Es sei nicht die Aufgabe des CISO, angesichts der ohnehin schwierigen Arbeitssituationen zusätzliche Reibungspunkte zwischen IT und Belegschaft zu schaffen. Stattdessen gelte es, das Business funktionstüchtig zu halten und öfter mal "Ja" zu sagen, auch wenn es Bauchgrimmen verursache. IT-Security, die "gut genug" ist, sei in der Ausnahmesituation besser als das Streben nach Perfektionismus.

3. Kontakt suchen

Den Analysten zufolge ist es in diesen Zeiten besonders wichtig, mit anderen CISOs und Security-Leitern Kontakt zu halten. Alle stünden vor denselben Problemen, so dass ein Erfahrungsaustausch über Kompromisse, Best Practices und Fehlschläge für Entlastung sorgen könnten.

Für sein eigenes Team müsse der CISO der "Akku" sein, der die Mannschaft antreibt. Auch Kollegen, die normalerweise nicht motiviert werden müssten, könnten durch die besonderen Umstände aus der Bahn geworfen werden. Um zu wissen, wann jemand Zuspruch, einen freien Tag oder mentale Unterstützung braucht, sei ein persönlicher Kontakt besonders wichtig. Auch CISOs, die bisher eher technisch orientiert waren und ihr Team an der langen Leine führten, sollten laut Forrester in dieser Situation oft mit ihren Mitarbeitern sprechen.

4. Nah ans Business rücken

In der Pandemie mussten bereits viele Unternehmen ihre Geschäftsziele für 2020 nach unten korrigieren. Damit werden auch die finanziellen Spielräume enger. Einige Betriebe kämpfen sogar schon um ihre Existenz und versuchen, alle Ausgaben so gering wie möglich zu halten. Andere setzen auf Kurzarbeit, beantragen Staatshilfen oder planen für den Wiederaufbau. Laut Forrester muss die IT-Security die korrigierten Ziele kennen und auf sie zuarbeiten.

Einsparungen und Umverteilungen von Budgets können zur Folge haben, dass die Sicherheitsniveaus sinken. CISOs müssen darauf vorbereitet sein und ihre Tätigkeiten gegebenenfalls neu priorisieren. Die IT-Sicherheitsstrategie muss immer wieder an die sich ändernde Geschäftssituation angepasst werden. Natürlich wird kein CISO gerne Abstriche bei der IT-Sicherheit zulassen, doch manchmal muss auch dieser Bereich Einschnitte in Kauf nehmen, damit das Unternehmen insgesamt überleben kann.

Newsletter zur Corona-Krise bestellen