Report: Damit CISOs nicht zum Sicherheitsrisiko werden

Kündigungen verschärfen Fachkräftemangel

Fast die Hälfte der Cybersecurity-Führungskräfte wird bis 2025 den Job wechseln, 25 Prozent davon wechseln den Beruf, so eine Prognose des Marktforschungshauses Gartner. Bedenkt man, wie groß bereits der Fachkräftemangel in der Cybersicherheit ist, ist dies eine dramatische Entwicklung, die zu einem ernsthaften Risiko für die Security  werden wird.

Es ist deshalb mehr als wichtig, dass sich das Management mit den Gründen für die Überlastung und den Stress unter den Verantwortlichen für Security befasst. Man könnte sagen, dass Stress und Überlastung sonst zu einer „Backdoor in die Security“ werden könnten.

Mögliche Gegenmaßnahmen sollten sogar als Teil des Security-Konzeptes verstanden werden, denn dort sollten bekanntlich alle relevanten Maßnahmen gegen IT-Sicherheitsrisiken zu finden sein und damit auch Maßnahmen für ein Stressmanagement.

Hoher Stress-Level bei CISOs ist nicht neu

Wenn Unternehmen nun überrascht davon sind, dass sie womöglich den Kopf ihrer wenigen Security-Fachkräfte verlieren könnten, dann haben sie die schwierige Lage der CISOs bisher nicht ernst genug genommen.

So wird schon seit länger Zeit darüber berichtet, dass der Druck auf die IT-Sicherheitsverantwortlichen viel zu hoch ist. Seit Jahren belegen dies Umfragen wie die „IAMokay Mental Health Survey“ von OneLogin oder die Studie „Life Inside the Perimeter: Understanding the Modern CISO“. Doch Konsequenzen daraus waren bislang oftmals Fehlanzeige.

In einer derartig dynamischen und verschärften Cyberbedrohungslage, wie wir sie inzwischen haben, kann sich dies aber keine Organisation mehr leisten. CISOs und die Security-Abteilungen müssen entlastet werden.

Wie die hohen Belastungen bei CISOs entstehen

Es sind nicht nur die vielen möglichen Cyberattacken, die rund um die Uhr erfolgen können.

Es gibt eine Vielzahl von Ursachen für den enormen Druck, der auf den Security-Verantwortlichen und der gesamten Security-Abteilung lastet. So sagt man zum Beispiel: „Sicherheit ist kein Einzelsport, keine einzelne Gruppe oder Organisation kann die Flut von Sicherheitsbedrohungen eindämmen. Wir sind alle zusammen gefordert“. Doch wie sieht die Realität aus? Umfragen zeigen immer wieder, dass sowohl die Fachbereiche als auch das Management das Thema Security als Aufgabe von Security-Abteilung und CISO sehen. Diese können es aber nicht alleine schaffen.

Die Idee hinter einer Security-Abteilung ist nicht, dass dort für die ganze Security gesorgt wird. Vielmehr gibt es hier die Expertise, damit die anderen bei ihren Security-Aufgaben unterstützt werden können. Stimmt aber diese Aufgabenverteilung nicht, führt dies ganz automatisch zu einer Überlastung. Aber nicht nur das Fehlen an einer Security-Kultur im Unternehmen ist eine mögliche Ursache, auch ein Zuviel an Security-Lösungen.

Die Vielzahl der IT-Sicherheitslösungen, die zum Einsatz kommen, hat gleich mehrfache Konsequenzen für die CISOs. Zum einen belastet die hohe Komplexität der Security und macht den Verantwortungsbereich schwer überschaubar, eine typische Ursache für Stress. So berichtet das Analystenhaus IDC: „Die Umsetzung der (Security-)Maßnahmen wird allerdings von zahlreichen Herausforderungen begleitet. Eine zentrale ist die Security-Komplexität, die für gut jedes vierte Unternehmen ein Problem darstellt und nun im zweiten Jahr in Folge am häufigsten als Sicherheitsherausforderung genannt wird.“

Eine weitere Herausforderung durch die Security-Technologie liegt darin begründet, dass die Erwartung im Unternehmen herrschen kann, dass dank der doch teuren Security-Ausstattung die Security fast von selbst laufen müsste. Doch weit gefehlt, eine vollautomatische Security ist nicht in Sicht. Im Gegenteil, Fehler bei Security-Lösungen können sogar noch zusätzlich belasten.

Was sich nun dringend ändern muss

Keine Frage, der Mangel an Security-Fachkräften und Security-Expertise erhöht die Stressbelastung für Security-Verantwortliche, sie können die Aufgaben auf viel zu wenig Schultern verteilen. Aber es wäre falsch zu denken, dass Unternehmen deshalb insbesondere Schulungen für Security anbieten sollten. Der Bedarf für solche Security-Schulungen versteht sich von selbst.

Wichtig sind zusätzliche Maßnahmen: Gute Werkzeuge, die die Transparenz in der Security erhöhen und die das Reporting vereinfachen, können eine Entlastung für den Alltag der CISOs bieten. Notwendig sind aber auch Schulungen für ein Stressmanagement, gerade für die CISOs und die Security-Abteilungen. Wie für jeden anstrengenden Beruf gilt auch bei CISOs, dass gesunde Ernährung und Bewegung nicht zu kurz kommen dürfen, auch hier sollten die Unternehmen aber Unterstützung anbieten.

Nicht zuletzt benötigen CISOs ein Ventil, um auf ihre Sorgen, Probleme und Herausforderungen aufmerksam machen zu können, sie müssen wissen und erfahren, dass man sie ernst nimmt. Hier können offene Kommunikationsformen zwischen Management und CISO, Fachbereichen und CISO und auch Security-Abteilung und CISO sehr wertvoll sein.

Es zeigt sich: Es braucht nicht nur ein Security-Konzept, sondern auch ein CISO-Konzept, damit Security-Verantwortliche eine bessere Arbeitsumgebung bekommen, die Belastungen mindert, Überlastungen erkennt und die hohe Verantwortung erträglicher macht. Kümmert sich ein Unternehmen nicht darum, kann aus den CISOs ungewollt ein großes Security-Risiko werden, denn überlastete CISOs, die innerlich gekündigt haben, sorgen nicht für Sicherheit, sondern für gefährliche Scheinsicherheit.