Der hohe Druck auf CISOs kann zum Sicherheitsrisiko werden. Was sollten Unternehmen dagegen tun? Wir haben Ron Kneffel vom CISO Alliance e.V. befragt.

Fast die Hälfte der Cybersecurity-Führungskräfte wird bis 2025 den Job wechseln, 25 Prozent davon wechseln den Beruf, so eine Prognose des Marktforschungshauses Gartner. Entspricht dies auch Ihrer Erwartung / Befürchtung?

Ron Kneffel: Ich kann bestätigen, dass solche Vorhersagen im Bereich der Cybersecurity und der IT-Branche im Allgemeinen nicht ungewöhnlich sind. Die rasche Entwicklung von Technologie und das sich ständig ändernde Bedrohungsumfeld können zu einer hohen Fluktuation in der Führungspositionen führen. Viele Fachkräfte in der IT-Branche streben auch danach, ihre Fähigkeiten und Erfahrungen in verschiedenen Unternehmen und Branchen zu erweitern, was zu häufigem Stellenwechsel führen kann.

Jedoch kann ich keine Prognose abgeben, ob die genannten Zahlen von Gartner eintreffen werden oder nicht, da es von vielen Faktoren abhängt, die schwer vorherzusagen sind. Es gibt auch andere Prognosen, die ähnliche Trends vorhersagen. Laut einer Studie von (ISC)² wird die Anzahl der unbesetzten Stellen im Bereich Cybersecurity bis 2022 weltweit auf 1,8 Millionen steigen.

Diese Lücke zwischen Angebot und Nachfrage von qualifizierten Sicherheitsfachkräften kann dazu führen, dass Unternehmen Schwierigkeiten haben, ihre Systeme und Daten ausreichend zu schützen. Es ist daher wichtig, dass Unternehmen und Regierungen in Ausbildung und Entwicklung von Cybersecurity-Experten investieren, um den steigenden Bedarf an Fachkräften zu decken und die Sicherheit in der digitalen Welt zu erhöhen.

Würden Sie die hohe Belastung der CISOs in der aktuellen Lage als besonders kritisch ansehen?

Ja, die hohe Belastung der Chief Information Security Officers (CISOs) in der aktuellen Lage kann als besonders kritisch angesehen werden. Die Cyberbedrohungen werden immer anspruchsvoller und die Angriffe auf Unternehmen und Organisationen nehmen zu. CISOs müssen daher sicherstellen, dass ihre Unternehmen ständig auf diese Bedrohungen vorbereitet sind und dass ihre Sicherheitsstrategien immer auf dem neuesten Stand sind.

Die COVID-19-Pandemie, der furchtbare Angriffskrieg auf die Ukraine und die weltweiten politischen Spannungen haben diese Situation noch verschärft. Zusätzlich zu diesen Herausforderungen haben CISOs auch mit einem Mangel an qualifizierten Sicherheitsfachkräften zu kämpfen, was die Belastung noch weiter erhöht. Es ist daher wichtig, dass Unternehmen und Organisationen ihre CISOs unterstützen, indem sie ihnen ausreichend Ressourcen und Unterstützung zur Verfügung stellen, um ihre Aufgaben effektiv zu erfüllen.

Welche Gründe sehen Sie für den Stress / die hohe Belastung bei CISOs?

Es gibt verschiedene Gründe, warum CISOs unter Stress und hoher Belastung stehen können:

Bedrohungslage: Die Bedrohungslage im Bereich der Cybersecurity wird immer anspruchsvoller, da Cyberkriminelle immer ausgefeiltere Angriffsmethoden entwickeln und Unternehmen zunehmend ins Visier nehmen. CISOs müssen daher ständig auf dem neuesten Stand bleiben, um ihre Organisationen vor diesen Bedrohungen zu schützen.

Mangel an qualifizierten Sicherheitsfachkräften: Es besteht ein Mangel an qualifizierten Sicherheitsfachkräften, was bedeutet, dass CISOs oft ein begrenztes Team zur Verfügung haben, um die Sicherheit ihrer Organisationen zu gewährleisten. Dies kann zu Überlastung und Stress führen.

Komplexität der IT-Infrastruktur: Die IT-Infrastruktur von Unternehmen wird immer komplexer und umfasst eine Vielzahl von Systemen, Anwendungen und Daten. CISOs müssen sicherstellen, dass alle diese Systeme sicher sind und dass die Sicherheitsstrategie der Organisation alle Bereiche abdeckt.

Verantwortung für Sicherheitsverletzungen: CISOs tragen die Verantwortung für die Sicherheit ihrer Organisationen und werden für Sicherheitsverletzungen zur Rechenschaft gezogen. Diese Verantwortung kann zu hohem Druck und Stress führen.

Schnelle Veränderungen: Die IT-Branche entwickelt sich schnell weiter, und es können jederzeit neue Technologien und Bedrohungen auftreten, die CISOs berücksichtigen müssen. Diese schnellen Veränderungen können zu Stress führen, da CISOs immer auf dem neuesten Stand bleiben müssen.

Insgesamt ist die Rolle des CISOs sehr anspruchsvoll und erfordert eine hohe Konzentration und Belastbarkeit. Um den Stress und die Belastung zu reduzieren, ist es wichtig, dass CISOs von ihren Unternehmen und Organisationen unterstützt werden, indem ihnen ausreichende Ressourcen und Unterstützung zur Verfügung gestellt werden.

Was würden Sie Unternehmen empfehlen, damit sich die Situation verbessert?

Um die Situation für CISOs zu verbessern und die Sicherheit der Organisation zu gewährleisten, können Unternehmen folgende Maßnahmen ergreifen:

Ressourcen bereitstellen: Unternehmen sollten sicherstellen, dass CISOs ausreichende Ressourcen zur Verfügung haben, um ihre Aufgaben effektiv zu erfüllen. Dies kann die Bereitstellung von ausreichend Personal, Budgets und technologischen Ressourcen umfassen.

Sicherheitsstrategie überprüfen: Unternehmen sollten sicherstellen, dass ihre Sicherheitsstrategie regelmäßig überprüft und aktualisiert wird, um sicherzustellen, dass sie den neuesten Bedrohungen und Risiken gerecht wird. CISOs sollten in diesen Prozess einbezogen werden, um sicherzustellen, dass ihre Expertise und Erfahrung genutzt wird.

Schulungen und Sensibilisierung: Unternehmen sollten sicherstellen, dass alle Mitarbeiter über die Bedeutung der IT-Sicherheit informiert sind und über die Sicherheitsrichtlinien und -verfahren auf dem Laufenden gehalten werden. Schulungen und Sensibilisierungsmaßnahmen können dazu beitragen, das Bewusstsein für IT-Sicherheit im Unternehmen zu erhöhen.

Mangel an qualifizierten Sicherheitsfachkräften beheben: Unternehmen sollten aktiv Maßnahmen ergreifen, um den Mangel an qualifizierten Sicherheitsfachkräften zu beheben, indem sie beispielsweise die Ausbildung von Nachwuchskräften fördern und attraktive Arbeitsbedingungen und Karrieremöglichkeiten bieten.

Unterstützung bereitstellen: Unternehmen sollten sicherstellen, dass ihre CISOs ausreichend Unterstützung erhalten, um ihre Aufgaben effektiv zu erfüllen. Dazu gehören beispielsweise Unterstützung bei der Bewältigung von Stress und Belastungen sowie eine angemessene Anerkennung und Wertschätzung ihrer Arbeit.

Was empfehlen Sie den CISOs? Und bieten Sie in der CISO Alliance auch Unterstützung?

CISOs sollten sich kontinuierlich weiterbilden und auf dem neuesten Stand bleiben, was die aktuellen Bedrohungen und Technologien betrifft. Dazu können Online-Schulungen, Webinare oder Konferenzen hilfreich sein. CISOs sollten auch eng mit anderen IT-Sicherheitsfachkräften und Abteilungen zusammenarbeiten und sich gut vernetzen, um ihre Arbeit effektiver zu gestalten und das Risiko von Sicherheitsverletzungen zu minimieren. Hier bietet der CISO Alliance e.V. eine breite Palette von Unterstützungsmöglichkeiten für CISOs und Informationssicherheitsverantwortlichen an.

Ron Kneffel

ist Vorstandsvorsitzender der CISO Alliance und bereichert den Verband als innovativer Vordenker, der sich bereits seit mehreren Jahren intensiv mit Themen rund um Informationssicherheit und IT Security auseinandersetzt und in diesem Bereich viele namenhafte Kunden betreut. Darüber hinaus ist er durch diverse Veranstaltungen, wie u.a. den BSI IT-Grundschutz-Tag, dem Security Monday des AGV Braunschweig und dem IT Security Club der Bitkom Akademie bundesweit bekannt.

Der CISO Alliance e.V.

bietet verschiedene Möglichkeiten der Unterstützung für CISOs und Sicherheitsverantwortlichen an. Hier sind einige Beispiele:

Netzwerkaufbau: Die CISO Alliance e.V. bietet eine Plattform für den Austausch von Best Practices, Erfahrungen und Wissen zwischen CISOs und IT- Sicherheitsverantwortlichen. Durch den Aufbau eines Netzwerks können CISOs von den Erfahrungen und dem Wissen anderer profitieren und ihre eigenen Fähigkeiten und Kenntnisse erweitern.

Schulungen und Trainings: Die CISO Alliance e.V. vermittelt Schulungen und Trainings zu verschiedenen Themen der IT- und Informationssicherheit.

Events und Konferenzen: Die CISO Alliance e.V. organisiert regelmäßig Events und Konferenzen, auf denen CISOs und Sicherheitsverantwortlichen zusammenkommen und sich über aktuelle Themen und Trends austauschen können.