Chief Information Security Officer (CISO) – so lautet in meist größeren Organisationen der klangvolle Titel des IT-Sicherheitsbeauftragten. Und dieser hat dort einen oft heiklen Job zu erledigen. Soll er doch einerseits das sachlich notwendige und rechtlich geforderte Niveau an Informationssicherheit aufrecht erhalten. Und dabei möglichst wenig Geld ausgeben sowie die reguläre Geschäftstätigkeit nicht unnötig behindern.
Es liegt auf der Hand, dass unterschiedliche Persönlichkeiten von IT-Sicherheitsmanagern dabei auch unterschiedlich an ihre Aufgaben herangehen. Und so konnte die Markforschungsagentur known_sense bei einer Befragung etlicher oberer Führungskräfte deutscher Unternehmen im Laufe des letzten Jahres interessante Details über deren Sicht auf ihre CISOs zutage fördern.
Die CISOs sollen möglichst Entwicklungen gestalten, den permanenten Wandel im Unternehmen bewältigen, dabei Stabilität sowie die Einhaltung von Regeln und Abläufen gewährleisten. Dabei sollen sie auf Gefahren reagieren, sind jedoch durch notwendige Sicherheitsbestimmungen selbst eingeschränkt, sollten sich nicht auf eine rein blockierende „So geht’s nicht“-Position zurückziehen, müssen aber dennoch den Sicherheits-GAU stets vor Augen haben. Klingt nach einem jener Jobs, bei denen Widerspruchstoleranz, Belastbarkeit und Konfliktfähigkeit bereits in die Stellenbeschreibung hineingehören.
Zu solchen Positionen gehören notwendigerweise auch Macht und Befugnisse, welche geeignet sind, bei zielgerechtem Einsatz zur Durchsetzung sicherheitstechnischer Notwendigkeiten auch Konflikte mit Linienmanagern zu provozieren.
Dabei kristallisierten sich vier „Grundtypen“ von CISOs heraus, wobei jedoch in der Praxis die wenigsten IT- Sicherheitsmanager sich rein einem Typ zugehörig fühlen dürften. Die vier Grundtypen des CISOs:
Der selbstbewusste Vermittler
Er hat ein ausgeprägtes fachliches Know-how und ausgeprägte kommunikative Fähigkeiten. So kann er auf Augenhöhe mit der Geschäftsführung verhandeln. Allerdings gerät er so auch in Macht- und Konkurrenzsituationen hinein, die er für sich entscheiden muss, um nicht unterzugehen.
Der kompetente Sicherheitsspezialist
Er ist fachlich sehr kompetent und ein guter Berater und Unterstützer für Führungskräfte und Mitarbeiter. Allerdings fehlen ihm kommunikative Fähigkeiten. Außerdem neigt er dazu technische Insellösungen zu entwickeln, die auf längere Sicht hin unnötige Probleme und Kosten nach sich ziehen können.
Der mahnende Kontrolleur
Er ist ein wachsamer, verlässlicher und fürsorglicher IT-Sicherheitsmanager, der u.a. durch Mitarbeiterschulungen und das Etablieren von Standards zur Informationssicherheit im Unternehmen beiträgt. Allerdings gehören ein guter Schuss Paranoia sowie ein Hang zur Übertreibung (von Sicherheitsrisiken) zu seinem Handeln.
Der Streiter für die IT-Sicherheit
Er ist eine anerkannte Instanz im Unternehmen und tritt auch so auf. Er kann Vertrauen schaffen und steht für „die sichere Seite“. Allerdings ist er auch ein Bremser und Verzögerer. Innovationen sind nicht seine Stärke und Markttrends können ihn schon mal überholen.
Die Macher von known-sense ziehen daraus den Schluss, dass Manager und CISOs als Mit-Gestalter des Unternehmens sich kraft ihrer jeweiligen Befugnisse schon mal in die Quere kommen können.
Dabei können Führungskräfte und IT-Sicherheitsmanager jedoch auf Dauer nur gemeinsam und als Team erfolgreich auskommen. Zu groß sind – Stichworte Governance, Risk & Compliance – die gegenseitigen Abhängigkeiten inzwischen geworden.
In der Aus- und Weiterbildung von CISOs sollten daher auch deren Managementkompetenzen (Strategie, Taktik, Psychologie, soziale Kompetenzen) gestärkt werden, um ihnen ein erfolgreicheres Handeln auf Geschäftsführungs- und Vorstandsebene zu ermöglichen.
Eine Kurzzusammenfassung der Studie kann man sich bei known_sense kostenlos herunterladen (PDF, 1,3 MB), das vollständige Werk gibt es für 380 € dort zu bestellen.