Mitarbeiterfluktation und Haftung: Das sollten CISOs 2024 beachten

Foto: Peera_stockfoto – shutterstock.com

Tätigkeiten in der IT-Sicherheit beispielsweise als Security Analyst, Security Administrator oder Forensiker weisen eine hohe Mitarbeiterzufriedenheit auf. Nicht zuletzt die dieses Jahr erschienene Workforce Studie des Information System Security Certification Consortium (ISC2) belegt dies. 70 Prozent der in der Online-Umfrage befragten Fachleute gaben dies an.

Allerdings sinkt dieses Gefühl im Vergleich zum Vorjahr um vier Prozent. Gründe sind die Entlassungswellen bei den großen Tech Konzernen sowie Startups in den USA und der daraus resultierende Stress der verbliebenden Fachkräfte. Die Unzufriedenheit im Job und die wachsenden Anforderungen führen dazu, dass mehr und mehr Fachkräfte einem Wechsel positiv gegenüberstehen.

Dies wirkt sich besonders auf die Positionen mit hoher Verantwortung aus. Laut einer Studie von Gartner wird bis 2025 fast die Hälfte der Führungskräfte im Bereich Cybersicherheit den Arbeitsplatz wechseln. Die Marktanalysten gehen davon aus, dass sogar 25 Prozent aufgrund von Mehrfachbelastungen am Arbeitsplatz eine völlig andere Rolle übernehmen werden. Diese Wechselbereitschaft ist für Unternehmen keine gute Entwicklung.

Geographie als künstliche Barriere

Darüber hinaus nimmt der geographische Standort Einfluss auf die künftige Wertigkeit der CISO-Position. In den USA werden CISOs aktuell mit Anklagen konfrontiert, weil die dort vorherrschende Rechtsprechung solche Ansätze zulässt.

In Europa hingegen haben unsere diversen Rechtssysteme solche Ansätze aktuell nicht. Gleichwohl ist das kein Freifahrtschein für vorgeschobenes Managementversagen. Das Kernargument hier ist jedoch zweigeteilt: Da aktuell der CISO als Berater für das Management dient, ist er ergo nicht Teil des Teams, welches Kernentscheidungen trifft und die Haftbarkeit dafür trägt. Daher wäre ein Zuwachs an Europa-basierten CISOs, auch für US-stämmige Unternehmen, nicht verwunderlich. Vor allem dann nicht, falls sich der in den USA vorherrschende Trend fortzusetzen droht und sich die Haftbarkeitsfrage als Entscheidungskriterium für künftige CISOs etabliert.

Lesetipp: Standpunkt zur Haftungsdiskussion – CISO statt Sündenbcock

Der Weg führt zu den eingangs aufgeführten Entwicklungen: Immer mehr Führungskräfte in der Cybersecurity wechseln schneller, als dass sie einen Impact hinterlassen können. Wichtige Entwicklungen und Maßnahmen werden dann nicht gut genug ausgeführt oder bleiben auf der Strecke.

Angesichts der zunehmenden Komplexität der technologischen Landschaft, nicht zuletzt durch generative KI sowie die dynamische Bedrohungslage, sind dies Herausforderungen, die von motivierten und selbstsicheren Führungskräften bewältigt werden. Ein CISO der bei jeder Entscheidung das eigene Wohl und seinen Ruf bedenken muss, wird es möglicherweise vor die eigene Firma stellen.

Verantwortung vs. Haftung

Stattdessen sollte ein CISO das große Ganze im Blick behalten und die Verantwortung für das Team übernehmen. Dies hat Folgen für das Selbstverständnis von CISOs. Sie werden aus der tagesaktuellen Umsetzung herausgenommen und in eine Position versetzt, die dazu führt, dass sie strategische Entscheidung treffen und verantworten müssen, die auch Auswirkungen auf ihn selbst haben.

So weit folgt diese Empfehlung dem aktuellen Trend. Der entscheidende Faktor bleibt jedoch, dass er aus der Haftung herausgenommen wird. Er bleibt ein Berater im eigenen Unternehmen. Das Team, dass dieser Rolle zuarbeitet, muss dies allerdings noch intensiver tun als zuvor. Ein CISO in dieser Funktion hat noch weniger Zeit für das Tagesgeschäft und braucht noch mehr Informationen über die Vorgänge in seiner Abteilung.

Cybersicherheitschefs benötigen also Mitarbeiter, die sich in ihren jeweiligen Fachbereichen auskennen und ihnen zuarbeiten. Diese Mitarbeiter sollten Fragen belastbar beantworten und im Zweifel auch Verantwortung für ihre Entscheidungen übernehmen können. Daraus folgt jedoch auch, dass Verantwortung nach unten abgegeben und entsprechend be- und entlohnt werden muss. Hieraus ergeben sich sowohl Risiken als auch Vorteile.

Fünf Maßnahmen als Lösungsansatz

Auf diese Weise entstehen zwar Chancen für Mitarbeiter. Diese müssen jedoch motiviert werden, um die Entwicklungsmöglichkeiten zu erkennen und für sich zu nutzen. Mitarbeitermotivation, die – und dies ist gerade im Bereich Cybersecurity so wichtig – dazu führt, dass die Kollegen eben nicht nach zwei bis drei Jahren wechseln, sondern länger bleiben. Führungskräfte und die Geschäftsführung sollten die folgenden fünf Maßnahmen ergreifen, um dieses Ziel zu erreichen:

• Förderung von mehr Verantwortung im jeweiligen Fachbereich: Aus den Fachkräften werden Experten für ihre jeweiligen Teilbereiche. Sie treffen Entscheidungen über die Ausführung der Strategie, über die Technologien, die sie einsetzen und wie sich diese auf die Anwender auswirken. CISOs sollten hier mehr Autonomie gewähren, um die Langzeitmotivation zu erhöhen, sich selbst zu entlasten und die Mitarbeiter länger im Unternehmen zu halten.

• Innovation: Fachspezialisten müssen der Rolle des CISOs durch erworbene Kenntnisse helfen, geeignete Impulse zu setzen. Ein Beispiel wäre der zielgeführte Weg in beziehungsweise wieder aus Cloud-Computing-Architekturen heraus.

• Moderne Technik einführen: Technologien, die speziell zur Automatisierung von Administrationstätigkeiten konzipiert sind, entlasten das Team und sorgen für Abwechslung bei wechselwilligen Kolleginnen und Kollegen.

• Weiterbildungsangebote: CISOs sollten interne wie externe Weiterbildungsmöglichkeiten gewähren und Mitarbeiter entsprechend fördern. Hierfür bedarf es nicht nur reiner Finanzmittel, sondern auch Zeit. Denn Mitarbeiter, die auf Weiterbildung sind, können währenddessen keine Systeme betreuen.

• Sicherheitskultur fördern: Darüber hinaus gilt es die allgemeine Sicherheitskultur der gesamten Belegschaft zu fördern, um Sicherheitsrisiken durch das Einfallstor Mensch zu reduzieren. Auch dieser Schritt entlastet das Team und ermöglicht ihnen eine breitere Akzeptanz und Anerkennung im gesamten Unternehmen.

Lesetipp: Security-Schulungen richtig managen

Erkenntnisse aus dem vergangenen Jahr

Das Jahr 2023 brachte vielerlei Herausforderungen für die IT-Sicherheitsabteilungen. Stress und stetige Unruhe von innen wie außen sowie die dynamische Bedrohungslage führten zu einer sinkenden Jobzufriedenheit. Daraus resultierend erhöhte sich die Wechselwilligkeit sowohl von Führungs- als auch von Fachkräften.

Zu den zentralen Aufgaben eines CISO gehören dementsprechend die Ausübung der Rolle als Advisor für die Geschäftsführung und die Absicherung der Organisation. Beides gelingt nur mit einem Expertenteam, dass gefördert wie gefordert wird und Verantwortung übernimmt.

Dies sorgt auf der anderen Seite jedoch auch für eine höhere Mitarbeiterbindung, wenn Anerkennung und Wahrnehmung als Fachexperte stimmen. Dieses Spannungsfeld bietet Entwicklungsmöglichkeiten, die wahrgenommen und ausgestaltet werden sollten. Wenn sich auch die Haftungsfrage nicht stellen sollte, so bleibt doch die Erkenntnis, dass auch 2024 ein spannendes Jahr für CISOs wird. (jm)