Gartner-Report: Stress treibt CISOs aus dem Unternehmen

Foto: G-Stock Studio – shutterstock.com

Rund die Hälfte der CISOs wird sich bis 2025 eine andere Stelle suchen , so das zentrale Ergebnis des Gartner-Berichts Predicts 2023: Cybersecurity Industry Focuses on the Human Deal. Der Grund: Das Forschungsunternehmen stellte fest, dass die Stressfaktoren der Cybersicherheitswelt großen Druck auf die verantwortlichen Mitarbeiter ausüben. Dazu gehört zu wissen, dass es nur zwei Möglichkeiten gibt: gehackt zu werden oder nicht gehackt zu werden. “Die psychologischen Auswirkungen sind tiefgreifend und wirken sich direkt auf die Entscheidungsqualität und die Leistung von Cybersecurity-Führungskräften und ihren Teams aus”, so Gartner.

Anforderungen führen oft zu einer schlechten Work-Life-Balance

Obwohl Burnout nichts Neues ist, wurde das Problem während und nach COVID-19 immer sichtbarer und trat häufiger auf. Für CISOs ist es noch schlimmer, da mehr als 50 Prozent mindestens einmal im Monat mit Arbeitsanforderungen konfrontiert sind, die zu einer schlechten Work-Life-Balance führen. Eine Führungskraft, die sich vom Stress einer Datenschutzverletzung erholt, könnte weniger als fünf Jahre im Job bleiben – laut einem Forschungsbericht von Gartner aus dem Jahr 2020 die durchschnittliche Verweildauer einer Führungskraft im Bereich Cybersicherheit.

Verlust von Security-Mitarbeitern kann hohe Kosten verursachen

Der Jobwechsel betrifft alle Cybersicherheitsexperten, die sich nicht scheuen, nach anderen Möglichkeiten zu suchen. Die Abwanderung von Talenten kann jedoch der Mission schaden, da der Ersatz solcher Fachleute bis zu 30 Prozent mehr kosten kann als die Investitionen, die zur Bindung von Talenten erforderlich sind.

Die enormen Marktchancen, die durch den Mangel an Fachkräften entstehen, machen die Sache nicht einfacher. Die Arbeitslosigkeit im Bereich Cybersicherheit liegt bei unter 0 Prozent. “Um dies abzumildern, müssen sich Cybersecurity-Führungskräfte auf die Gesundheit und das Wohlbefinden ihrer Teams konzentrieren, angefangen bei sich selbst”, heißt es in dem Bericht.

Gartner fand auch heraus, dass von den fast 50 Prozent, die einen Jobwechsel anstreben, ein Viertel einen kompletten Rollenwechsel aufgrund von Stress in Betracht ziehen. Einige von ihnen werden den Arbeitsplatz wechseln, während andere eine andere Position übernehmen, zum Beispiel als Evangelist für Cybersicherheit, als CIO oder in einer kreativen Rolle wie der eines Künstlers, erklärt Gartner-Analystin Deepti Gopal gegenüber CSO.

Mehr Stress und Unterbrechungen bedeuten mehr Risiko

Laut Gartner hat sich die fehlende Work-Life-Balance durch die Umstellung auf hybride Arbeitsformen noch verschärft. Diese führte dazu, dass Security-Fachleute ständig überprüfen müssen, was vor sich geht, aber auch abgelenkt sind. Dies kann zu einer erhöhten Anfälligkeit für Social Engineering oder ein schlechtes Management eines Cyberangriffs, einer Datenverletzung oder eines Ransomware-Angriffs führen.

Die Nachfrage nach Fachkräften treibt die Löhne in die Höhe, aber die jüngsten Entlassungen bei großen Technologieunternehmen können dazu führen, dass mehr “Elite-Cyber-Profis” zur Verfügung stehen. Die daraus folgende Dämpfung der Lohninflation bietet somit auch Unternehmen eine Chance , die sich solche Fachkräfte normalerweise nicht leisten könnten. “Die Marktpreise für Talente müssen möglicherweise mehrfach überprüft werden “, so Gartner. “Während eine proaktive Auseinandersetzung mit Gehältern und Sozialleistungen helfen kann, Mitarbeiter zu halten, gehen Top-Talente oft wegen der Unternehmenskultur.”

Unternehmen, die das Cybersecurity-Risikomanagement nicht als kritisch ansehen, haben mit einer höheren Fluktuation zu kämpfen. Da CISOs ständig versuchen, die hohen Erwartungen mit dem Fehlen der zur Erfüllung erforderlichen Tools in Einklang zu bringen, kann eine gute Unternehmenskultur den Unterschied ausmachen, wenn es darum geht, Fachkräfte zu halten.

“Die Unternehmen müssen verstehen, dass es in ihrem Interesse ist, den CISO zu unterstützen. Und die CISOs müssen sich das Vertrauen auch verdienen,” erklärte der Kryptographieexperte Jon Callas.

Gartner schlägt vor, dass eine Änderung des Selbstverständisses von CISOs langfristig helfen könnte. So gehörte eine engere Zusammenarbeit mit den Business-Entscheidern, das Delegieren von Verantwortung und eine klare Aussage darüber, was möglich ist und was nicht, und warum.

Angesichts der Kosten, die eine Datenschutzverletzung für jedes Unternehmen verursachen kann, ist dies ein einfaches Argument, um die Denkweise des Unternehmens zu ändern. CISOs sollten dies nutzen, um die Ideologie des Unternehmens zu ändern und sicherzustellen, dass ihre Abteilung als wichtiger Teil des Geschäfts angesehen wird. (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Tipp: Sie möchten regelmäßig aktuelle und wichtige Themen rund um IT-Sicherheit lesen? Bestellen Sie doch einfach unseren kostenlosen Newsletter.