Security-Verantwortliche unter Druck: CISOs am Rand einer stressbedingten Krise

Foto: Kaspars Grinvalds – shutterstock.com

In den vergangenen 20 Jahren habe ich als CISO in verschiedenen Branchen gearbeitet. In diesen Funktionen trug ich die Verantwortung für den Schutz der einzelnen Unternehmen vor einer Vielzahl von sich schnell entwickelnden Bedrohungen der Cybersicherheit. Ich habe aus erster Hand erfahren, welch hohem Stress Sicherheitsverantwortliche tagtäglich ausgesetzt sind.

Gespräche mit vielen Kollegen haben gezeigt, dass der hohe Stresslevel im Bereich der Cybersicherheit ein Problem ist, das alle betrifft. Die Rolle des CISO zählt zu den anspruchsvollsten in jedem Unternehmen. Der gesamte Berufszweig, der in allen Unternehmenstypen und Branchen eine entscheidende Rolle spielt, steht am Rand einer stressbedingten Krise.

Was die Rolle des CISO so besonders macht

Natürlich: Das Sicherheitsteam ist nicht das einzige, das unter Druck steht. Auch andere Unternehmensbereiche und Führungskräfte müssen hohen und manchmal unrealistischen Erwartungen gerecht werden. Das Besondere an der Rolle des CISO ist jedoch, dass sie relativ neu ist. Die meisten Positionen in modernen Unternehmen gibt es schon seit Jahrzehnten, sie sind also genau definiert. Die Betriebe hatten jahrelang Zeit, um die Verantwortlichkeiten und Zuständigkeiten des CEO, CFO und COO zu definieren und Prozesse zu entwickeln, die ein reibungsloses Funktionieren dieser Positionen gewährleisten.

Im Vergleich dazu ist der IT-Sicherheitsbereich noch so etwas wie der “Wilde Westen”. Vom CISO bis zum Security-Analysten sind die Positionen noch recht neu und wenig ausgereift. Oft wird der CISO am Ende für alles verantwortlich gemacht, was mit der digitalen Präsenz eines Unternehmens schiefläuft. Die ihm zugeschriebene übergreifende Verantwortung bedeutet, dass der CISO oft ein erstaunlich breites Aufgabengebiet hat.

Wenn Kundendaten kompromittiert werden, kann der CISO für alle daraus resultierenden Auswirkungen auf die Compliance, den Kundenservice und die Marke verantwortlich gemacht werden. Wenn auf betrügerische Weise Gelder abfließen, kann der CISO für die finanziellen Folgen verantwortlich sein. Wenn durch Ransomware oder einen anderen Angriff Maschinen beschädigt oder Prozesse gestört werden, fällt das ebenfalls auf den CISO zurück.

Wenn Mitarbeiter Unternehmensdaten in einem Cloud-basierten System ablegen, trägt der CISO wahrscheinlich die Verantwortung, auch wenn die Sicherheitsteams gar nicht wissen, dass die Datenübertragung stattfindet. Und wenn eine neue und bisher unbekannte Art von Bedrohung die Systeme auf eine Art und Weise kompromittiert, die niemand vorhersehen konnte, gilt auch hier: Es liegt am CISO.

Einzelne Cybersecurity-Ereignisse haben das Potenzial, die strategischen Ziele eines Unternehmens zu gefährden. Trotzdem haben die meisten CISOs keinen klaren Plan, wie sie ihr Unternehmen auf die unzähligen Bedrohungen vorbereiten können, denen es ausgesetzt sein könnte. Sie haben oft nicht einmal eine einheitliche Aufgabenbeschreibung: In einem Unternehmen fällt die Zugangskontrolle vielleicht in den Bereich des CISO, während in einem anderen Betrieb das Netzwerkteam zuständig ist.

Da jedes Unternehmen die Rolle und die Verantwortlichkeiten auf seine eigene Art und Weise definiert, haben die CISOs keinen allgemeinen Sicherheitsansatz, nach dem Motto “Jeder macht das so”. Unternehmen handhaben IT-Sicherheit auf unterschiedliche Art und Weise. Jeder CISO ist auf sich allein gestellt, wenn es darum geht, die sich wandelnde Infrastruktur gegen die immer neuen Bedrohungen zu schützen.

Erwartungen von außen

Erschwerend kommt hinzu, dass viele Unternehmensleitungen nicht realistisch einschätzen können, in welchem Ausmaß ihr Sicherheitsteam den Schutz der Unternehmensdaten und -anwendungen gewährleisten kann. CEOs, CFOs, COOs und andere Führungskräfte verstehen IT-Sicherheit oft als mathematische Gleichung. Sie denken, dass ein guter CISO in der Lage ist, alle Lücken zu identifizieren und zu schließen. Sie glauben, das sei ein einfaches Unterfangen. In Wirklichkeit ist der Schutz einer umfangreichen und dynamischen Unternehmensinfrastruktur aber alles andere als trivial.

Manche Führungsteams und Vorstände erwarten auch, dass der CISO auf aufkommende Sicherheitsfragen sofort eine Antwort parat hat. Obwohl das Unternehmen Hunderte Anwendungen und Tools verwendet, die sich im Laufe der Jahrzehnte angesammelt haben, soll der CISO alle Schritte zum Schutz jeder einzelnen Applikation kennen. Wenn er nicht sofort weiß, was los ist, wird seine Qualifikation und Arbeitsleistung mitunter direkt oder indirekt in Frage gestellt. Und dann ist da noch das regulatorische Umfeld: Oft sollen CISOs die Sicherheit des Unternehmens in bestimmten Bereichen gegenüber allen relevanten Aufsichtsbehörden nachweisen können.

Für einige IT-Sicherheitsverantwortliche kommt zum so entstehenden Stress noch das Gefühl der Verantwortung für das Allgemeinwohl hinzu, etwa wenn es um Ölpipelines, Regierungsstellen oder das Gesundheitswesen geht. Es hat sich gezeigt, wie Ransomware kritische Infrastrukturen lahmlegen kann. Plötzlich fühlen sich CISOs verantwortlich für die nationale Sicherheit. Obwohl sie dafür meistens nicht ausgebildet wurden, regiert die Macht des Faktischen.

Auswirkungen auf die psychische Gesundheit

All diese Faktoren führen dazu, dass sich viele CISOs und Sicherheitsteams latent unter hohem Druck fühlen. Die Angreifer testen ständig die Kompetenzen der Sicherheitsabwehr und suchen nach dem kleinsten Fehler, den sie zu ihrem Vorteil nutzen könnten. Aus der Perspektive der psychischen Gesundheit fordert dies einen hohen Tribut, zumal es den Sicherheitsfunktionen in Unternehmen oft an der Klarheit des Auftrags, einer ausreichenden Wissensbasis oder einer Unterstützungsstruktur fehlt, die andere Organisationen mit hohem Stressfaktor – zum Beispiel das Militär – über Jahrhunderte aufgebaut haben.

Es ist einfach, die Unternehmensleitung um mehr Personal oder zusätzliche Technologien und Tools zu bitten. Auch Analysen durchzuführen und Business Cases zu erstellen, ist gelernt. Den Wunsch nach mentaler Unterstützung zu äußern, ist dagegen für viele CISOs eine unüberwindbare Hürde. Einige CISOs haben das Gefühl, dass ein Gespräch über die eigene mentale Verfassung oder die des Teams als Schwäche oder Mangel an Kompetenz ausgelegt werden könnte. Sie befürchten, dass der Eindruck entstehen könnte, ihnen fehlten die Kompetenz und die Fähigkeiten, um ihre Aufgaben zu erfüllen.

Im Grunde wissen wir aber alle, dass es schlimme Folgen haben kann, wenn wir psychische Probleme nicht beheben. Eine dieser Folgen kann ein Burnout sein, unter dem nicht wenige Sicherheitsverantwortliche und auch Mitarbeiterinnen und Mitarbeiter ihrer Teams bereits leiden. Eine andere negative Folge ist, dass sich junge Menschen gegen eine Karriere im IT-Sicherheitsbereich entscheiden, weil sie den Stress nicht auf sich nehmen wollen. Beides verschärft den ohnehin großen Mangel an Security-Spezialisten.

Eine weitere alarmierende Folge ist, dass CISOs den Stress der Arbeit durch Selbstmedikation und Alkoholkonsum bewältigen. Anfang 2019, also noch vor der Pandemie, veröffentlichte “Forbes” die Ergebnisse einer Umfrage, nach der einer von sechs CISOs zu solchen Mitteln greift, um den Stress der Arbeit zu bewältigen. Wahrscheinlich liegt die tatsächliche Zahl sogar noch höher.

Durch die Pandemie mit der Folge hybrider Arbeitsszenarien und aktuell auch durch die Ukraine-Krise steigt der Stresslevel der CISOs weiter an. Das hat negative Auswirkungen auf die psychische Gesundheit und kann dazu führen, dass das Sicherheitspersonal im Krisenfall nicht so leistungsfähig ist, wie es sein sollte. Ein unkonzentrierter, beeinträchtigter CISO stellt ein großes Sicherheitsrisiko dar.

Wie sich die Situation verbessern lässt

Das mentale Wohlbefinden von CISOs und ihren Teams gehört in jedem Unternehmen auf die Tagesordnung, denn hier steht die Unternehmenssicherheit auf dem Spiel. Außerdem ist es eine Voraussetzung dafür, dass ein Betrieb für die besten Sicherheitstalente ein attraktiver Arbeitsplatz ist. Führungskräfte müssen erkennen, unter welchem Druck CISOs und ihre Teams tagtäglich stehen. Sie müssen eine gesunde Work-Life-Balance für Sicherheitsexperten fördern und dafür sorgen, dass Unterstützung für die psychische Gesundheit bereitsteht.

Außerdem ist es wichtig, dass Betrofffene das Wort ergreifen und ihre CEOs aufklären. Sie sollten deshalb keine Nachteile für ihre Karriere befürchten müssen. Unternehmensführungen sollten hier proaktiv und unvoreingenommen auf ihre CISOs zugehen. Die Vorstaände müssen verstehen, dass dieser Job äußerst hart ist und viele CISOs und Sicherheitsmitarbeiter psychische Probleme mit sich herum schleppen, über die sie nicht gerne reden.

Für CISOs, die mit dem großen Druck ringen und sich nicht trauen, um Hilfe zu bitten, gibt es geeignete Angebote. Da diese Aufgabe gleichzeitig komplex und absolut kritisch ist, wird ein CISO wohl immer unter hohem Druck stehen. Der Stress wird nie ganz verschwinden, aber es gibt Methoden, die helfen können, damit umzugehen. Die mentale Gesundheit ist ein Problem, das im Umfeld der IT-Sicherheit weit verbreitet ist und das wir dringend benennen und angehen müssen.

Lesetipps:

Kollektive Resilienz – Warum CISOs den Austausch brauchen

Gartner-Umfrage – Cybersicherheit ist Chefsache