So sehr sie sich damit wohlfühlen, eine übergeordnete Funktion in einem überaus wichtigen Themenfeld zu bekleiden, so sehr hadern die CISOs mit ihrer geringen Akzeptanz und vielen Bremsern um sie herum. Zu diesen Erkenntnissen kommt eine Erhebung des Fachverbands CISO Alliance im deutschsprachigen Raum.
Ihre größte Motivation für diesen Job resultiert für fast drei Viertel der Befragten aus der Faszination des fachlichen Umfelds. Auch dass dies mit einer übergeordneten Funktion mit unternehmensweiter Ausrichtung einher geht, gehört für etwa zwei Drittel zu den attraktiven Aspekten dieses Jobs. Ebenso werden die aktiven Gestaltungsmöglichkeiten von 62 Prozent der fast 200 befragten CISOs als Pluspunkt genannt.
Etwas anders sieht es mit Blick auf die Verantwortung der CISOs aus, sie wird interessanterweise nur von 53 Prozent zu den positiven Merkmalen ihrer Position gezählt. Dies lässt sich leicht erklären: Ihnen fehlt es bei der Umsetzung von Konzepten und Maßnahmen häufig an Durchgriffsmöglichkeiten gegenüber den Organisationsbereichen, so dass sie nicht für Probleme verantwortlich gemacht werden wollen, wenn andere vorher Lösungen unterlaufen haben.
Tatsächlich hadern viele CISOs in dieser Hinsicht. 63 Prozent beklagen eine geringe Durchsetzbarkeit, weil sie eine rein fachliche Funktion ohne disziplinarische Möglichkeiten innehaben. Gleichzeitig empfinden sie mehrheitlich Defizite in ihrer Akzeptanz und erleben viele Widerstände. „In dieser Gesamtkonstellation ist nur zu verständlich, wenn die CISOs zwar in der IT-Sicherheit eine verantwortliche Rolle einnehmen, sich dem alleinigen Verantwortungsdruck aber etwas entziehen wollen“, urteilt Heun.
Allerdings ist nach den Eigenbewertungen auch sonst offenbar nicht alles Gold, was an der Funktion als CISO glänzt. Nicht nur, dass sie mit unzureichenden Budgets zu kämpfen haben und es 62 Prozent der Befragten an einem klaren Berufsbild fehlt. Auch der große Wissens- und Fortbildungsbedarf belastet sie. Dabei beschränkt sich ihre Rolle keineswegs auf fachliche Themen. Vielmehr sehen sich die IT-Sicherheitsverantwortlichen darüber hinaus vor vielfältige weitere Anforderungen gestellt. Auf die Frage, welche Qualitäten ein CISO über das sicherheitsfachliche Wissen hinaus erfüllen sollte, nennen drei Viertel die Konzeptionsstärke. Fast ebenso viele sehen sich aber auch in einer Ratgeberfunktion gegenüber den Organisationsbereichen und der Geschäftsleitung, sie müssen zudem über Fähigkeiten zur internen Vernetzung verfügen. Und weil sie mit ihrem Sicherheitsthema nicht immer auf Zuspruch in den Unternehmensabteilungen stoßen, sind Moderationsfähigkeiten und Durchsetzungsvermögen als weitere Softskills gefragt.