Security-Leadership-Material?: 5 Anzeichen, dass Sie nicht zum CISO taugen

Foto: Master1305 – shutterstock.com

Die Rolle des CISO gewinnt zunehmend an Bedeutung. Um als Sicherheitsentscheider erfolgreich zu sein, sind technisches Knowhow und Erfahrung natürlich von Vorteil. Ein effektiver Chief (Information) Security Officer ist in der Lage:

• Sicherheitstechnologien zu evaluieren und auszuwählen,

• mit technischen Mitarbeitern zu kommunizieren und

• wichtige Entscheidungen über die Sicherheitsinfrastruktur und -architektur zu treffen.

Die meisten CISOs bringen bereits Führungserfahrung mit, haben Connections zu wichtigen Stakeholdern innerhalb des Unternehmens aufgebaut und Krisensituationen durchlebt. Sie wissen, wie man schnelle Entscheidungen trifft und den Change in der Organisation vorantreibt.

Es gibt jedoch auch einige Eigenschaften, die dem Erfolg als CISO abträglich sind. Die folgenden fünf weisen gar darauf hin, dass Sie als CISO höchstwahrscheinlich ungeeignet sind.

1. Risiko scheuen

Definitionsgemäß ist es die Aufgabe eines CISO, Cyberrisiken zu managen. Dazu gehört, Risiken im gesamten Unternehmen zu bewerten und zu managen sowie Entscheidungen auf dieser Grundlage zu treffen. Wenn Sie sich nicht in der Lage sehen, risikobasierte Entscheidungen zu treffen oder es Ihnen schwerfällt, Bedrohungen zu priorisieren – insbesondere in Situationen, in denen Sie unter hohem Druck und Stress stehen – sollten Sie sich von der Rolle des CISO fernhalten. Gleiches gilt, wenn Sie dazu tendieren, für Ihre Entscheidungen und Handlungen keine Verantwortung übernehmen zu wollen.

Chris Pierson, Gründer und CEO des SaaS-Anbieters Blackcloak, erklärt: “Wenn Sie grundsätzlich eine feindliche oder risikoscheue Mentalität an den Tag legen, kann das Ihre Kollaborationsfähigkeit erheblich einschränken. Ein gemeinsames Ziel zu erreichen, rückt damit in weite Ferne. Als Sicherheitsentscheider sollte man sich zudem nicht davor scheuen, in schwierigen Zeiten harte Entscheidungen zu treffen.”

2. Alles machen wollen

CISOs sind dafür zuständig, Security-Teams zu leiten und zu managen. In dieser Rolle sollten Sie also in der Lage sein, Mitarbeiter zu führen, effektiv mit ihnen zu kommunizieren und das Feedback anderer “vertragen”. Oder, wie Pearson es ausdrückt: “Müssen Sie ständig ‘gewinnen’ und können abweichende Standpunkte und Positionen nicht akzeptieren beziehungsweise Kompromisse finden? Dann lassen Sie die Finger von einem Job als CISO.”

Stan Black, CISO bei Delinea, kennt ein weiteres Warnsignal das auf mangelnde Sicherheitsentscheider-Eignung hindeutet: “Eine mangelnde Bereitschaft, Verantwortlichkeiten zu delegieren oder anderen Sicherheitsverantwortlichen Befugnisse zu übertragen, weil Sie glauben, dass Sie es besser als alle anderen wissen. Wenn Sie nicht bereit sind, neue Mitarbeiter einzustellen, weil Sie denken, dass die Ihnen gefährlich werden könnten – sollten Sie sich vom CISO-Traum verabschieden.” Der Manager fügt süffisant hinzu: “Wenn Sie es trotzdem durchziehen, werden staatlich beauftragte Hacker Sie zum Frühstück verspeisen. Um mangelnde Aufmerksamkeit um Ihre Person müssen Sie sich dann auch keine Sorgen mehr machen.”

Laut Nicholas McKenzie, CISO bei Bugcrowd, sollten auch Menschen die Rolle des CISO meiden, die sich schwer damit tun, sich an Veränderungen anzupassen: “CISOs müssen agil und flexibel sein und ihre Strategien an die sich wandelnden Geschäftsanforderungen und die sich entwickelnde Bedrohungslandschaft anpassen. Wenn Sie stur Kontrollen implementieren, die Prozesse unterbrechen oder die Benutzer- oder Kundenerfahrung beeinträchtigen, sollten Sie kein CISO sein.”

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

3. Business nicht verstehen

Für eine Nicht-Eignung als Sicherheitsentscheider spricht darüber hinaus, dass Sie die Anforderungen und Ziele des Business nicht genau verstehen. In diesem Fall können Sie nämlich auch keine Sicherheitsstrategie entwickeln, die auf die Geschäftsziele einzahlt. Der Gedanke daran, unternehmensweite Sicherheitsprozesse zu entwickeln und zu implementieren, sollte Sie nicht in Angst und Schrecken versetzen – und der Gedanke an Compliance-Anforderungen und einschlägige Datenschutzgesetze keine Migräneanfälle hervorrufen.

“Wenn Sie die Geschäftssprache und -prozesse Ihres Unternehmens nicht verstehen und nicht wissen, wie und wo Sicherheitskontrollen diese unterstützen können, haben Sie in einer CISO-Rolle nichts zu suchen”, konstatiert McKenzie. Gleiches gilt laut Pierson, wenn Sie nicht in der Lage oder willens sind, regelmäßig mit Anbietern zu sprechen: “Das wäre kontraproduktiv, denn das ist ein wichtiger Teil Ihres Aufgabengebietes als CISO.” Der Manager fügt hinzu: “Wenn Sie zu der Sorte Mensch gehören, die dazu neigt, die Ziele des Sicherheitsteams über die Ziele des Unternehmens zu stellen, dann ist der CISO-Job nichts für Sie. Ein Teamplayer zu sein bedeutet, dass Sie Ihre Rolle im Unternehmen verstehen, um Kunden, Mitarbeiter und Unternehmensdaten zu schützen. Aber das muss sich in das große Ganze einfügen.”

4. Security nicht verkaufen können

Sicherheitsentscheider sollten in der Lage sein, der Geschäftsleitung – beziehungsweise den Geldgebern – Cybersecurity-Belange richtig zu verkaufen. Es gilt, insbesondere in schwierigen Zeiten, Budgets für Sicherheitsinitiativen argumentativ zu untermauern beziehungsweise zu verteidigen. “Wenn Sie nicht der Typ sind, der überzeugend begründen kann, warum man Geld für etwas ausgeben sollte, das nicht direkt zu den Einnahmen beiträgt, sollten Sie kein CISO sein”, meint Delinea-Sicherheitsentscheider Black.

Eines der größten Hindernisse für CISOs die effektiv sein wollten, ist laut Larry Larsen, Security-Experte im Finanzwesen, ein Mindset, das zu stark auf die Einhaltung von Budgets fokussiert: “Wenn Sie davon ausgehen, dass CISOs alle erforderlichen Mittel erhalten, die Sie benötigen, steht Ihnen ein böses Erwachen bevor. Wenn Sie nicht selbstbewusst vor dem Vorstand auftreten und die von Ihnen vorgeschlagenen Ausgaben zur Abwehr immer raffinierterer Bedrohung verteidigen können – und zwar so, dass es auch verstanden wird -, sind Sie für den Security-Chefsessel ungeeignet.”

5. Technologie überfokussieren

Technische Skills sind für ein gutes Cybersicherheitsniveau unerlässlich. Auf der anderen Seite kann das zum Nachteil gereichen, wenn der Fokus zu sehr auf Technologie liegt. Ein CISO, der jede Challenge mit Technologie bewältigen will, wird scheitern. Schließlich besteht Ihre wesentliche Aufgabe als Sicherheitsverantwortlicher darin, Cyberrisiken zu bewältigen und gleichzeitig dafür zu sorgen, dass Ihr Unternehmen seine Geschäftsziele weiterhin erreichen kann.

“Wer es für ein Allheilmittel hält, ein Tool zu implementieren oder eine Compliance-Checkliste abzuhaken, empfiehlt sich nicht als CISO”, unterstreicht McKenzie. “Gleiches gilt, wenn Sie nicht in der Lage sind, Ihr Denken und Ihre Strategie anzupassen, um mit der sich wandelnden Bedrohungslandschaft und Geschäftsausrichtung Schritt zu halten.”

Laut Larsen ist ein übermäßig technischer Fokus auch in anderer Hinsicht eine Disqualifikation: “Das kann dazu führen, dass die verhaltensbezogenen Aspekte und die Motivation der Angreifer verkannt werden. Was wollen die wirklich? Warum greifen sie meine Organisation an? Mit wem arbeiten sie zusammen? Diese und viele andere Variablen sollten Berücksichtigung finden, wenn man der Bedrohung einen Schritt voraus sein will.”

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.

Die Top CISOs in Deutschland

Foto: Kuka

Nach seiner Tätigkeit in verschiedenen Sicherheitsbehörden des öffentlichen Dienstes hat Thomas Franke bei ZF im Bereich der Unternehmenssicherheit und anschließend in der Informationssicherheit verschiedene globale Projekte verantwortlich durchgeführt. 2017 hat er die Position des CISO und DPO in der Kuka Group übernommen.

Foto: KEB Automation

Gernot Zauner ist seit 2023 als CISO für die Informationssicherheit bei KEB Automation zuständig. Bereits zuvor war er in verschieden Positionen im IT-Security-Bereich tätig.

Foto: Häfele

Daniel Feinler ist bereits seit mehr als elf Jahren bei Häfele für den IT-Bereich zuständig. Im Mai 2023 hat er die Rolle des CISO übernommen.

Foto: Versicherungskammer Bayern

Bodo Dobronski und Heike Tschabrun sind seit 2017 die CISOs des Konzerns Versicherungskammer. Bodo Dobronski hat einen Universitätsabschluss der TU Dresden als Informatiker, Heike Tschabrun einen Abschluss als Sozialwirtin der Fachhochschule Ravensburg.

Foto: Henkel

Stefan Braun ist bereits seit 2008 bei Henkel. Als CISO ist er seit 2021 für die IT-Sicherheit zuständig. Zuvor war er im IT Audit, der IT und im Konzerncontrolling tätig. Seine Berufslaufbahn begann er bei Accenture und Procter & Gamble nach einem Studium der Informatik an der RWTH Aachen und dem INSA Lyon.

Foto: Schufa Holding AG

Seit Ende 2022 ist Christopher Ruppricht als CISO für die IT-Sicherheit bei der Schufa verantwortlich. Zuvor war er als als CISO für paydirekt zuständig.

Foto: Max Imbiel

Zum 1. Oktober trat Max Imbiel seine neue Stelle als Deputy Group CISO bei der Online-Bank N26 an. Seine Aufgabe im CISO Office von N26 ist es, das Unternehmen bestmöglich gegen Cyberbedrohungen aufzustellen und die Daten und Informationen von Kunden sowie Mitarbeitern zu schützen. Imbiel hat einen Computer Science and Economics Bachelor-Abschluss in Computer Science and Economics.

Foto: Holger Bajohr-May

Holger Bajohr-May begann seine Karriere bei den Technische Werke Ludwigshafen am Rhein bereits vor 25 Jahren mit der Ausbildung zum Industriekaufmann. Vom PC-Techniker über den SAP-Anwendungsbetreuer arbeitete er sich hoch und ist seit diesem Jahr CISO.

Foto: GEA Group

Iskro Mollov ist seit 2020 der Group CISO und Vice President Security, Business Continuity and Crisis Management bei GEA Group. In seiner Funktion berichtet er an den Vorstand sowie an den Prüfungsausschuss der Aufsichtsrates und verantwortet ganzheitlich die Sicherheitsbereiche: Informationssicherheits-Governance, IT-Sicherheit, OT-Sicherheit, Produkt-Sicherheit, Physische Sicherheit, HR Sicherheit, Sicherheit in der Lieferkette, Sicherheit digitaler Medien sowie übergreifend Business Continuity Management (BCM) und Krisenmanagement.

Foto: Vorwerk Gruppe

Seit Juli 2021 ist Florian Jörgens CISO der Vorwerk Gruppe. Neben dieser Tätigkeit ist er seit seinem Master-Abschluss 2015 unter anderem an diversen Hochschulen als Dozent, Autor und wissenschaftlicher Mitarbeiter tätig. Weiterhin hält er Fachvorträge rund um die Themen Informationssicherheit, Awareness und Cyber-Security. Florian Jörgens wurde im September 2020 vom CIO-Magazin mit dem Digital Leader Award in der Kategorie „Cyber-Security“ ausgezeichnet.

Foto: Bauer Global Technology

Hendrik Janssen zeichnet seit Juli 2016 als CISO und Global Technology Director Security bei Bauer Global Technology verantwortlich. Er war 12 Jahre lang Soldat auf Zeit bei der Bundeswehr im Bereich Cybersicherheit.

Foto: Ralf Kleinfeld

Begonnen hat Ralf Kleinfeld bei Otto vor über elf Jahren als Teamlead Network and Security. Seit neun Jahren ist er nun als Department Manager Information Governance für die Informationssicherheit verantwortlich. Kleinfeld hat Abschlüsse vo der Quadriga University of Applied Sciences in Berlin und der Technische Universität Kaiserslautern.

Foto: Allianz Technology

Fabian Topp ist CISO bei Allianz Technology. Er ist ISO 27001 Lead Implementer, Lead Auditor und CISM zertifiziert. Er besitzt Universtätsabschlüsse in Politologie wie auch Rechtswissenschaften.