Americas

Asia

Europe

Oceania

Populäre Themen

Themen

About

Policies

Our Network

More

Rosalyn Page
von
Contributing writer

Weibliche CISOs geben Karrieretipps: “Bei einem Mann wäre das kein Thema gewesen”

Tipp
27 März 20249 Minuten
Karriere

Warum sind Sicherheitsentscheider so selten weiblich? Und wie lässt sich das in Zukunft ändern? Wir haben mit vier Frauen gesprochen, die es wissen müssen.

Weibliche IT-Sicherheitsprofis sind immer noch eher rar gesät - insbesondere in Entscheiderpositionen.

Weibliche IT-Sicherheitsprofis sind immer noch eher rar gesät – insbesondere in Entscheiderpositionen.

Foto: Gorodenkoff | shutterstock.com

Laut einer Studie der australischen University of Queensland (PDF) haben Frauen an der globalen Workforce im Bereich Cybersecurity lediglich einen Anteil zwischen 11 und 24 Prozent. Verschwindend gering ist entsprechend der Anteil weiblicher Sicherheitsentscheider. Die Gründe dafür sind laut dem Report vielfältig:

  • Der technische Fokus des Berufs schreckt Frauen möglicherweise ab.

  • Da die Branche männlich dominiert ist, kann unbewusster Bias im Einstellungsprozess verhindern, dass weibliche Kandidaten eingestellt werden.

  • Eine vielerorts etablierte “Boys Club”-Mentalität, die auch auf manche Frauen übergreift und dazu beiträgt, dass sich technisch Versierte von “Unwissenden” abgrenzen.

  • Zu wenige Vorbilder und ermutigende Signale, um das Berufsfeld für Frauen attraktiv zu machen.

  • Lange Arbeitszeiten, ein oft wenig emphatisches Arbeitsumfeld sowie männlich dominierte Teams.

Wir haben uns mit vier erfolgreichen Cybersecurity-Entscheiderinnen unterhalten, um herauszufinden, wie das Geheimnis für weiblichen Karriereerfolg in der Cybersicherheit aussieht und wie sich die Zukunft diesbezüglich besser gestalten lässt.

“Leute zu entlassen, ist einfacher”

Die Probleme beginnen bereits in der Ausbildung: MINT-Fächer sind an Schulen und Universitäten weltweit oft immer noch eine Männerdomäne, wie Kate Raulings, CISO der Umweltschutzbehörde des australischen Bundesstaats Victoria, bestätigen kann: “Der Frauenanteil in diesen Studiengängen ist gering. Es ist ein ganz wesentliches Hindernis für den Einstieg von Frauen in die Security, dass Bewerber mit klassischen Studienabschlüssen in Informatik regelmäßig bevorzugt werden – während andere Qualifikationen und Berufserfahrung oft mangelnde Wertschätzung erfahren. Viele Frauen haben – wie ich auch – keinen IT-Hintergrund. Das vorauszusetzen, kann zu institutionellem Bias führen und eine Eintrittsbarriere schaffen. Zudem kann es eine echte Herausforderung sein, in so einem Umfeld zu arbeiten, wenn man kein Informatiker ist. Leute zu entlassen, ist einfacher.”

Deshalb ist die CISO auch davon überzeugt, dass das Spektrum relevanter Fähigkeiten erweitert werden müsse – insbesondere mit Blick auf Governance-, Risikomanagement- und Kommunikations-Knowhow. Schließlich werde es für Sicherheitsentscheider immer wichtiger, der Belegschaft technische Informationen möglichst effektiv zu vermitteln, so Raulings.

Auch Clea von Ostendorf, CISO beim IT-Sicherheitsanbieter Code42, ist davon überzeugt, dass es eine Möglichkeit wäre, den historisch bedingten Bias aufzulösen, indem der Kreis der Bewerber für technische Positionen um diejenigen erweitert wird, die die nötigen Skills für den gesuchten Job mitbringen: “Wenn Sie jemanden brauchen, der Untersuchungen durchführt, suchen Sie jemanden, der neugierig ist. Wenn Sie ein Programm im Bereich Weiterbildung aufbauen wollen, fahren Sie möglicherweise mit einem Kandidaten am besten, der einen pädagogischen Hintergrund mitbringt.”

Olivia Rose, Dozentin bei IANS Research, CISO und Gründerin der Rose CISO Group, empfiehlt, hinsichtlich des Skill-Fokus von IT-Sicherheitsentscheidern künftig besser abzugrenzen: “Es gibt eben eher technisch orientierte CISOs und solche, die sich mehr mit Strategie, Risiko und Governance befassen – Skills, die Frauen sehr gut beherrschen und die wertgeschätzt werden müssen. Mit den gestiegenen Anforderungen an die Rolle des CISO wird eine größere Bandbreite an Fähigkeiten und Fachwissen benötigt, die über die rein technischen hinausgeht.”

An der strikten Trennung zwischen technischen und nicht-technischen Bereichen festzuhalten, könne auch aus der Befürchtung resultieren, dass Sicherheitsvorfälle zum Problem werden, so Rose und führt als Beispiel den massiven Datendiebstahl beim US-Finanzdienstleister Equifax an: “Die Tatsache, dass die CISO keinen traditionellen IT-Hintergrund vorweisen konnte, wurde von einigen Medien zur Story aufgeblasen. Dabei hatte das nichts mit dem Vorfall zu tun. Bei einem Mann wäre das kein Thema gewesen”, ist Rose überzeugt.

Fachkräftemanagel, notorisch knappe Budgets – die Burnout-Gefahr für CISOs ist real. Dabei stehen weibliche Sicherheitsentscheider oft vor zusätzlichen Herausforderungen, wenn sie neben ihrer Job-Rolle auch Mutter sind. Einen so einnehmenden Job wie den des CISO mit einem (funktionierenden) Familienleben zu vereinbaren, ist eine echte Herausforderung, wie Rose konstatiert: “Man kann gute Leute einstellen, die einem ein bisschen Luft zum Atmen verschaffen oder auf ein Security Operations Center setzen, um auf bestimmte Vorfälle zu reagieren. Wenn man allerdings weder die Ressourcen noch das Budget dafür hat, wird es problematisch.”

In der Praxis sei es für berufstätige Mütter logistisch enorm schwierig, an Events teilzunehmen, die frühmorgens oder über mehrere Tage hinweg stattfinden, wenn sie sich auch um die Kinderbetreuung kümmern müssten. Damit sich das ändere, seien die Organisatoren der Events gefragt, meint Rose. Sie selbst gründete kurzerhand ihr eigenes Beratungsunternehmen, um für sich selbst eine bessere Work-Life-Balance zu schaffen: “Die Art der Veranstaltung sollte auf die Zeitpläne und Interessen aller Beteiligten abgestimmt werden. Ich werde auf Events von den Veranstaltern oft auf den Mangel an Frauen unter den Teilnehmern angesprochen. Dann erkläre ich regelmäßig, dass Terminplan und Agenda nicht berücksichtigen, dass berufstätige Mütter auch andere Verpflichtungen haben.”

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

“Eine verpasste Chance”

Daniela Fernandez, Head of Information Security bei Paypal Australien, verfügt über einschlägigen IT-Hintergrund, war also nicht mit Herausforderungen in Bezug auf technologisches Knowhow konfrontiert. Unproblematisch war ihr Aufstieg zur IT-Sicherheitsentscheiderin dennoch nicht: “Ich war mit einigen unbewussten Vorurteilen konfrontiert, die auf meine Identität als Latino-Frau und die Tatsache, dass Englisch nicht meine Muttersprache ist, zurückzuführen waren“, so Fernandez. Die Managerin ermutigt andere Frauen ausdrücklich, sich zu vernetzen und sich für Vielfalt und Integration einzusetzen: “Ich selbst habe mich bemüht, möglichst sichtbar zu sein und die Fahne der Frauen hochzuhalten – auch wenn sich das zunächst ungewöhnt angefühlt hat. Es mangelt an weiblichen Vorbildern, was es vor allem für junge Frauen schwierig macht, sich eine erfolgreiche Cybersecurity-Karriere vorstellen zu können.”

Um das zu ändern, wünscht sich Fernandez entsprechende Förderprogramme im Bildungsbereich. Diese könnten bereits früh dafür sorgen, dass mehr Frauen sich für technische Berufe interessieren. Zudem fordert die Paypal-Managerin auch mehr Support für die Frauen, die bereits im Bereich IT-Sicherheit tätig sind – sowohl von Seiten von Mentoren als auch von allen anderen, die diesbezüglich Einfluss nehmen könnten: “Stereotypen, Vorurteile und mangelnde Repräsentanz sind die größten Herausforderungen, denen sich Frauen gegenübersehen. Vielfalt und Gleichberechtigung durchzusetzen, ist nicht nur ein Frauenproblem, sondern erfordert die Zusammenarbeit aller, die diese Initiativen unterstützen”, konstatiert Fernandez.

Das sieht Raulings ähnlich und empfiehlt Unternehmen deshalb, Initiativen zur Optimierung der Geschlechterbeteiligung in umfassendere Diversity-Programme zu integrieren: “Wenn Sie Innovation fördern wollen, ist eine Vielfalt an Perspektiven sinnvoll. Menschen mit unterschiedlichen Backgrounds, die ein Problem aus verschiedenen, einzigartigen Blickwinkeln betrachten, können gemeinsam auch unkonventionelle Lösungen erarbeiten.”

Das erfordere laut der Managerin jedoch, dass die jeweiligen Organisationen dieses Konzept auf sämtlichen Ebenen, bei jeder Gelegenheit und in jedem Prozess umsetzten. Wer das schaffe, werde am Ende belohnt: “Die Organisationen, die das gut machen, sind die, die ihre Konkurrenten in Sachen KPIs – von der finanziellen Performance bis hin zur Kundenzufriedenheit – hinter sich lassen werden”, ist die CISO überzeugt.

Code-42-CISO Ostendorf kann da nur beipflichten. Angesichts der Vielfalt unter den Technologienutzern sei es unerlässlich, diverse Perspektiven und Meinungen beim Thema Cybersecurity zu berücksichtigen. “Wenn man sich nur auf das konzentriert, was man immer schon getan hat, ist das eine verpasste Chance”, hält die Managerin fest.

Cybersecurity-Karrieretipps für Frauen

Für Frauen, die sich vorgenommen haben, künftig die Cybersicherheit – als Entscheiderin oder in einer anderen Position – zu erobern, haben unsere Gesprächspartnerinnen folgende Tipps auf Lager:

  • Daniela Fernandez: “Glauben Sie an sich und ihre Fähigkeiten. Sehen Sie sich Kurse oder Schulungen an und lesen Sie Bücher, um sich in Bereichen wie Präsentationen zu verbessern und Selbstvertrauen aufzubauen. Knüpfen Sie Kontakte über Networking-Events, Online-Foren oder Schulungen.”

  • Kate Raulings: “Erwerben Sie die relevanten Cybersicherheits-Zertifizierungen und gehen Sie von dort aus weiter. Suchen Sie nach Frauen, die sich an einem Punkt in ihrer Karriere befinden, den Sie anstreben. Das sind Kandidatinnen, die Sie um Rat, Einblicke oder sogar ein Mentoring bitten können. Insbesondere, wenn sie eine Führungsposition anstreben, ist es außerdem wichtig, Ihr Selbstvertrauen und Ihre Support-Netzwerke auszubauen.”

  • Clea Ostendorf: “Frauen sollten wissen, dass es verschiedene Wege gibt, um in die Cybersicherheit einzusteigen – und die Chancen steigen. Es gibt immer mehr weibliche IT-Sicherheitsexperten, die ihre Stimme auf diversen Plattformen erheben. Die Branche ist zwar immer noch männerdominiert – aber das ändert sich langsam. Und das Bewusstsein für Diversity steigt.”

  • Olivia Rose: “Ich würde es begrüßen, wenn die Stimmen und Beiträge von Frauen mehr Gehör fänden, sei es in Online- oder Live-Diskussionen, Meetings oder im Rahmen von Networking-Events. Das bedeutet auch, ein Risiko einzugehen, indem man sichtbarer wird – etwas, mit dem Männer eher vertraut sind. Wir haben oft Angst, als dumm oder unwissend betrachtet zu werden.”

Auch die Autoren der eingangs genannten Studie haben noch einige Vorschläge, wie sich in Zukunft mehr Mädchen und Frauen für eine Cybersecurity-Karrieren begeistern lassen – und zwar auf drei verschiedenen Ebenen:

  • Individuelle Ebene: Frauen, die derzeit in der Branche tätig sind, sollten ermutigt und unterstützt werden, indem sie die Möglichkeit erhalten, sich selbst weiterzubilden und Netzwerke aufzubauen. Dazu gehört auch eine stärkere Förderung durch Männer und eine Aufklärung der männlichen Belegschaft und Personalverantwortlichen, wenn es um Unconscious Bias geht.

  • Organisatorische Ebene: Unternehmen beziehungsweise Branchen sollten entsprechende Partnerschaften, Mentorship-Programme, Marketing-Kampagnen, Leadership-Pipelines sowie Schulungs- und Entwicklungsprogramme entwickeln. Darüber hinaus sind diskriminierungsfreie HR-Prozesse und Diversity-Programme unerlässlich. Außerdem sollten Maßnahmen ergriffen werden, um Frauen am Arbeitsplatz, Berufsrückkehrerinnen und berufstätige Mütter zu unterstützen.

  • Regierungsebene: Die Lehrpläne in Schulen und Universitäten sollten entsprechend angepasst werden, um Themen wie Datenschutz, IT-Sicherheit und kritisches Denken zu fördern und so möglichst früh technologisches Selbstvertrauen bei jungen Mädchen zu unterstützen. Zudem sollte eine größere Diversity im Cybersicherheits-Bereich auch durch Workforce Plannung, Richtlinien sowie kulturelle Best Practices gefördert werden.

(fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Rosalyn Page
von
Contributing writer

Rosalyn Page has been writing about technology long enough to remember when the only thing to worry about was Y2K. Since then, the dot-com boom became the dot-com bubble, technology fundamentally altered our lives, and everything has become about security. With a particular interest in privacy, data, and security, Rosalyn has covered social media, AI, IoT, deepfakes, marketing tech, the cloud, enterprise tech, consumer tech, and digital transformation. Her side gig is an arts and culture blog, ‘Some Notes from a Broad’. And when not wrangling bits and bytes into words, Rosalyn enjoys low-fi hobbies like reading books, walking her Whippet Sketch, and having one too many coffees at her favourite café.

Mehr von diesem Autor

Mehr anzeigen

News-Analyse

Mangelhafte Cybersicherheit im Gesundheitswesen

Von Julia Mutzbauer
07 März 20253 Minuten
CyberangriffeGesundheitswesen
Bild
News

BSI veröffentlicht neue Sicherheitsanforderungen für Datenbanksysteme

Von Tristan Fincken
07 März 20252 Minuten
Sicherheit
Bild
Feature

11 ruinöse Ransomware-Bedrohungen

Von John Leyden
06 März 20259 Minuten
CyberkriminalitätRansomware
Bild