Manager Burnout: Wenn CISOs ausbrennen

Foto: Mr. Rashad – shutterstock.com

Der Text des CISO war kurz, aber aussagekräftig: “Ich übernehme nie wieder eine operative Rolle”. Diese Nachricht bekam Jeff Pollard, Vice President und Principal Analyst bei Forrester, auf sein Smartphone, als sich Sicherheitsteams weltweit gerade darum bemühten, mit der zu diesem Zeitpunkt neu bekannt gewordenen Log4j-Schwachstelle fertig zu werden.

“Es handelte sich um einen effektiven, erfahrenen CISO. Aber seine Mentalität war zu diesem Zeitpunkt auf einem Tiefpunkt angelangt. Er wusste genau um die Anstrengungen, die ihm und seinem Team abverlangt werden würden. Es war seine Art zu sagen: ‘Jetzt reicht es'”, analysiert Pollard.

“Burnout unter CISOs ist definitiv ein Problem”

Die meisten Arbeitnehmer – oder besser: die meisten Menschen – kennen dieses Gefühl, beziehungsweise haben es schon einmal erlebt. Aktuelle Studien belegen, dass die Pandemie und die damit verbundenen Einschränkungen Gefühle der Überforderung und inneren Leere fördern. Diese Belastungen spüren auch CISOs. Das zeigt beispielsweise eine Blick in den “Lost Hours”-Report des Sicherheitsanbieters Tessian. In dessen Rahmen wurden 300 Chief Information Security Officers in den USA und Großbritannien befragt. Die Ergebnisse (unter anderem):

• CISOs arbeiten im Schnitt elf Stunden pro Woche mehr als vertraglich vereinbart – 10 Prozent der Befragten arbeiten 20 bis 24 zusätzliche Stunden pro Woche.

• Ganze 42 Prozent der befragten Manager haben wegen ihres Jobs schon einmal Feiertage wie Weihnachten verpasst;

• Einen Familienurlaub konnten 40 Prozent der Befragten schon einmal aus arbeitstechnischen Gründen nicht antreten;

• Wegen des Stresslevels können 59 Prozent der befragten CISOs auch nach Feierabend nur schwer abschalten.

“Burnout unter CISOs ist definitiv ein Problem. Heute noch viel mehr als in der Vergangenheit. Es herrscht Personalmangel, immer mehr Menschen arbeiten von zu Hause und das Bedrohungslevel nimmt weltweit zu. Hinzu kommt, dass sich die Sicherheitslandschaft mit atemberaubendem Tempo ausweitet”, meint Thomas Johnson, CISO beim IT-Beratungsunternehmen Deft. “Für CISOs ist es schwer, sich über alle Technologien und Produkte auf dem Laufenden zu halten, alle Bedrohungen zu verstehen sowie der Geschäftsleitung und dem Vorstand die Metriken darzulegen. Gleichzeitig müssen sie versuchen, den gesunden Menschenverstand zu wahren und zu akzeptieren, dass ihr Programm nie perfekt sein wird und es immer einige Hintertüren geben wird.”

Zweifellos sollte man sich auf persönlicher Ebene Sorgen um Mitarbeiter (einschließlich CISOs) machen, die den Punkt des Burnouts erreicht haben. Es gibt aber auch organisatorische Gründe, die hierbei eine Rolle spielen, wie Josh Yavor, CISO von Tessian, erklärt: “Wenn CISOs von Burnout betroffen sind, stellt sich die Frage, welche Auswirkungen das auf ihre Organisation und ihre Kollegen hat. Das soll kein Aufruf sein, CISOs zu bemitleiden. Vielmehr sollten wir bewusster darauf achten, wie wir Security-Programme im Unternehmen angehen und ob dadurch Situationen entstehen, die Burnout begünstigen.”

Was beim CISO-Burnout auf dem Spiel steht

Burnout bei CISOs könne sich verschiedenartig auf Unternehmen auswirken, weiß Ed Bellis, Mitbegründer und CTO von Kenna Security. Bellis ist darüber hinaus auch Ex-CISO – weiß also, wovon er spricht, wenn er sagt: “Viele Menschen leiden unter Burnout. Was bei CISOs anders ist, sind die Auswirkungen.” Bei ihnen führe Burnout zu einem frühzeitigen Ausscheiden aus der Position, zu weniger Engagement im Umgang mit anderen Führungskräften und letztlich zu eingeschränkten Führungsfähigkeiten, so Bellis.

Ein Blick in den bereits genannten Tessian-Report bestätigt diese Einschätzung und listet weitere CISO-Aufgaben auf, die bei einer Überlastung zu kurz kommen:

• Talente finden und einstellen (36 Prozent),

• an abteilungsübergreifenden Meetings teilnehmen (38 Prozent),

• mit Kunden kommunizieren (35 Prozent),

• neue Trends und Entwicklungen beobachten (36 Prozent) sowie

• an der eigenen Karriereentwicklung arbeiten (38 Prozent).

Auch die 1Password-Untersuchung “The Burnout Breach” kommt zu dem Schluss, dass im Bereich der Cybersecurity ein Burnout-Problem besteht. Die Studie kommt zu folgenden Erkenntnissen:

• 84 Prozent der befragten Sicherheitsexperten fühlen sich ausgebrannt;

• 10 Prozent geben an, aufgrund von Burnout “völlig ausgepowert” zu sein und “bei der Arbeit nur noch das Nötigste zu tun”;

• 44 Prozent der stark von Burnout betroffenen und 19 Prozent der moderat betroffenen Entscheider sind der Überzeugung, dass die Sicherheitsvorschriften und -richtlinien “den Aufwand nicht wert sind”.

Natürlich sollte man sich an dieser Stelle vor Augen halten, dass nicht jeder CISO an der Schwelle zum Burnout steht – oder auf dem Weg dorthin ist, trotz der anspruchsvollen Aufgaben. Diejenigen, die betroffen sind, erkennen zudem oft die Notwendigkeit, in eine andere Jobrolle oder -position zu wechseln. “Das Stresslevel, das mit der CISO-Position verbunden ist, hat zu einer beispiellos hohen Fluktuation geführt. Nicht wenige haben ihre Rolle gegen eine weit weniger stressige Beraterrolle eingetauscht”, weiß Maurice Stebila, Ex-CISO und Gründer des Cybersecurity-Informationszentrums CxO InSyte.

Alle Weichen auf Burnout?

Matt Aiello, Partner bei der Personalberatung Heidrick & Struggles, spricht CISOs im Allgemeinen eine hohe Stressresistenz zu, räumt jedoch ein, dass bestimmte Umstände zu solchen Entwicklungen beitragen könnten, etwa wenn nach einem Sicherheitsvorfall langwierige Recovery-Prozesse anstehen oder transformative Initiativen gleich in mehrfacher Funktion gestemmt werden müssten.

Andere Experten sehen in der Praxis durchaus weitere Situationen, die es Sicherheitsverantwortlichen unmöglich machten, voranzukommen – etwa wo sie mit unrealistischen Erwartungen, unzureichenden Ressourcen und ständig neuen Nebenschauplätzen in Dauerschleife konfrontiert seien. “Ich habe schon erlebt, dass Unternehmen Anforderungen an ihre Sicherheitsentscheider stellen, die jenseits des Möglichen liegen und die niemand – sei er auch noch so gut – erfüllen kann. Das Risiko soll bei Null liegen”, erzählt Rebecca Wynn, Global Cyber Security and Strategy Consulting bei der Click Solutions Group.

“Es sind diese CISOs, die das Gefühl haben, bergauf zu schwimmen, nicht voranzukommen und keine Unterstützung von der Organisation zu bekommen”, stimmt Jonathan Brandt, Director of Professional Practices and Innovation bei ISACA, zu. “Gleichzeitig schreiben diese Unternehmen der Sicherheitsfunktion nicht die Erfolge zu, die sie erzielt und gestehen dem CISO nicht die volle Führungsautorität zu, die mit dem Maß an Verantwortlichkeit einhergehen sollte.”

Wynn berichtet, sich in einer früheren Funktion selbst einmal ausgebrannt gefühlt zu haben. Das habe sie dazu veranlasst, sowohl berufliche als auch persönliche Veränderungen anzustoßen: “Ich wechselte den Arbeitgeber, achtete besser auf meine Ernährung und nahm mir bewusst Zeit zur Erholung.”

CISO-Burnout verhindern

Wynn und andere Experten sind der Meinung, dass es für CISOs, ihre Teams und letztlich auch für ihre Unternehmen von Vorteil wäre, sich mit den Szenarien zu befassen, die am häufigsten zu einem Burnout in den Reihen der Sicherheitsentscheider führen. Danach gelte es, nachhaltigere Strukturen zu schaffen: Es gehe darum, zu identifizieren, was in Sachen Sicherheitsprogramm, Führung und/oder Kultur nicht funktioniert und das zu beheben.

“Es ist die Aufgabe des CISO, dafür zu sorgen, dass das Team seine Arbeit nachhaltig erledigen kann”, meint Yavor. CISOs müssten ihren Führungskollegen und Vorständen dabei helfen, zu verstehen, welche Fähigkeiten sie auf der Grundlage der ihnen zugewiesenen Ressourcen realistischerweise bereitstellen können und wie diese Elemente mit dem Risikoprofil und der Sicherheitslage des Unternehmens korrelieren. “Es geht darum, die richtigen Sicherheitserwartungen an den Rest der Organisation zu stellen und dabei ehrlich kommunizieren zu können, wenn Ressourcenknappheit oder andere Beschränkungen dabei erfolgreiches und nachhaltiges Arbeiten verhindern”, so der Tessian CISO.

Wenn ein Unternehmen dieses Ressourcen-Risiko-Verhältnis nicht akzeptieren könne, sollten sich CISOs ermächtigt fühlen, zurückzuschlagen und die Grenzen dessen zu diskutieren, was sie und ihr Team leisten können, sowie die Ressourcen, die erforderlich sind, um das Risiko auf ein für das Unternehmen akzeptables Niveau zu senken – und zwar ohne dabei das Sicherheitsteam personell zu reduzieren.

Laut Pollard sind CISOs heute in einer besseren Position als je zuvor, wenn es darum geht, solche Gespräche zu führen: “In den letzten Jahren ist die Bedeutung der Sicherheit und das Bewusstsein darüber gestiegen. Im Ergebnis kommt Sicherheitsentscheidern eine Menge Glaubwürdigkeit zu – und damit potenziell mehr Unterstützung in allen Belangen.”

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.