Mehr als ein Nebenjob der IT: Einstellungs-Boom bei CISOs

Foto: Krakenimages.com – shutterstock.com

Wie eine Untersuchung von Fastly ergab, haben inzwischen 78 Prozent der Unternehmen in Deutschland, Österreich und der Schweiz (DACH) einen Chief Information Security Officer (CISO) angestellt – das entspricht einem Plus von 33 Prozent im Vergleich zum Vorjahr (64 Prozent). Weitere 14 Prozent der befragten Unternehmen mit mehr als 500 Beschäftigten planen, in den nächsten zwölf Monaten CISOs einzustellen.

Trotz dieser klaren Bemühungen der Unternehmen, der IT-Sicherheit mit einer Position auf C-Level mehr Nachdruck zu verleihen, sind Rolle und Verantwortlichkeiten eines CISOs noch immer nicht eindeutig geklärt. So gab ein Viertel (25 Prozent) der von Fastly befragten IT-Manager an, dass CISOs zu oft zu unrecht für Missstände verantwortlich gemacht werden. Im Vergleich zu 2022 ist der Vorwurf, dass die IT-Sicherheitsverantwortlichen in schwierigen Situationen als “Sündenbock” herhalten zu müssen, allerdings um sieben Prozent gesunken.

Auch was übertriebene Erwartungen an das Knowhow der CISOs angeht, ist Besserung in Sicht. Zwar sind laut Umfrage fast zwei von fünf IT-Führungskräften (34 Prozent) der Ansicht, dass CISOs ein tiefes Verständnis aller IT-Bereiche haben müssen. In der Vorjahresumfrage glaubten dies jedoch noch 44 Prozent. Ebenso sind jetzt nur noch 20 statt 26 Prozent der Meinung, dass den CISOs zu viel rechtliche und operative Verantwortung übertragen wurde.

CISO-Jobprofil im Wandel

Nichtsdestotrotz gibt es immer noch ein Wahrnehmungsproblem, wenn es um die Rolle des CISO geht – mit Ausschlägen in beide Richtungen der Skala. So vertrat ein Fünftel der befragten IT-Führungskräfte (20 Prozent) die Ansicht, dass CISOs überlastet und unterbezahlt seien. 16 Prozent waren wiederum der Meinung, dass die IT-Sicherheitsverantwortlichen zu wenig Leistung für ihr Gehalt erbrächten.

“Durch die Zunahme gezielter Cyberangriffe bei immer größer werdender, digitaler Angriffsfläche sind Unternehmen gezwungen, in den Schutz ihrer komplexen Infrastrukturen, Netzwerke und sensiblen Daten zu investieren”, kommentiert Marshall Erwin, CISO von Fastly, die Ergebnisse. “Entsprechend haben Chief Information Security Officer entscheidend an Bedeutung gewonnen, und auch in Deutschland ist die Verantwortung für Cybersicherheitsstrategien längst nicht mehr ‘Nebenjob’ der IT-Abteilung, sondern mehrheitlich Aufgabe hochqualifizierter Experten.” Dass dabei das Rollen- und Aufgabenverständnis noch unscharf erscheint, sei angesichts der sich rasant und ständig verändernden Anforderungen nicht verwunderlich.

War die Rolle der CISOs traditionell auf IT und Risikomanagement beschränkt, geht Erwin davon aus, dass CISOs jetzt zunehmend als Führungskräfte angesehen werden, die für die strategische Ausrichtung der Cybersicherheitsstrategie eines Unternehmens verantwortlich sind und gleichzeitig über ein hohes Maß an Geschäftskenntnis verfügen müssen, um die Gratwanderung zwischen Innovation und Sicherheit zu meistern, ohne das Wachstum zu bremsen.

Im Rahmen der Studie wurden im DACH-Raum 205 IT-Entscheider aus Unternehmen mit mehr als 500 Mitarbeitern in Deutschland, Österreich und der Schweiz befragt.