1. Top-Themen
  2. IT-Sicherheit & Kritis
  3. Das Leben eines CISO – im Visier, ausgebrannt und streng kontrolliert

Das Leben eines CISO – im Visier, ausgebrannt und streng kontrolliert

CISO

Veröffentlicht 18.08.2023 07:10, Kim Wehrs

Nach dem Chaos und Stillstand im ersten Jahr der Pandemie befanden sich CISOs in einer Übergangsphase. Ihre Zuversicht in Homeoffice Umgebungen wuchs ebenso wie das Wissen über die Bedrohungslandschaft nach der Pandemie. Sie glaubten an ihre Fähigkeit, ihre Unternehmen in der „neuen Normalität“ schützen zu können. Für CISOs gab es nichts Neues mehr an der mittlerweile normalen Arbeitsweise. Nachdem die anfänglichen Wirren bewältigt waren und sie zwei weitere Homeoffice-Jahre gemeistert hatten, kehrte die Realität zurück – und mit ihr ein vertrauter Zustand großer Sorge.

CISOs machen sich keine Illusionen über die Risiken, die von den Mitarbeitern ausgehen. Allerdings ist der Optimismus mancher, was den Schutz von Daten anbelangt, fehl am Platz. Insider-Bedrohungen sind ein zunehmendes Problem. Und angesichts der Tatsache, dass die Mitarbeiterfluktuation in vielen Branchen keine Anzeichen von Verlangsamung zeigt, dürfte das noch eine ganze Weile der Fall sein. Hinzu kommt, dass sich die Rezession auf die Sicherheitsbudgets niederschlägt. Möglicherweise reichen die bereits vorhandenen Kontrollen aus, um das Lieferkettenrisiko zu minimieren, Bedrohungsakteure zu erkennen und auszuschalten und potenzielle Verluste durch Ransomware zu verhindern. Wie lange das der Fall sein wird, kann jedoch nicht vorhergesagt werden. Die Rückkehr in die harte Realität katapultiert viele CISOs an den Rand ihrer Belastbarkeit. Kein Wunder, dass sich die meisten durch wachsende Erwartungen und die Bürde der persönlichen Haftung unter Druck gesetzt  fühlen und sogar von Burnout betroffen sind. Es besteht jedoch Grund zur Hoffnung. Die Tatsache, dass CISOs ihre Sorgen zur Sprache bringen, ist ein großer Schritt in die richtige Richtung. Da die Mehrheit auch eine Annäherung an die Geschäftsführung wahrnimmt, besteht durchaus eine solide Grundlage für das Herbeiführen von Veränderungen. Die Frage lautet: Werden CISOs angesichts der schrumpfenden Budgets und des langfristigen Fachkräftemangels über die dafür erforderlichen Ressourcen verfügen? 

Anhaltend hoher Druck 

Die Mitwirkung von Cybersicherheitsexperten bei der Bewältigung der Pandemie hat zweifellos einige Vorteile mit sich gebracht. CISOs können heute bei Vorstandsentscheidungen mehr mitreden. Nie zuvor ist es ihnen so überzeugend gelungen, die Bedeutung von effektiver Sicherheit für den Erfolg der Geschäftsstrategie zu demonstrieren. Es gibt jedoch auch schlechte Nachrichten. Nachdem sie während der Krise quasi über Nacht auf breiter Ebene Homeoffice- und hybride Arbeitsmodelle ermöglicht haben, empfinden viele CISOs den anhaltend hohen Druck als unerträglich. Fast zwei Drittel (61 %) der CISOs betrachten die an sie gestellten Erwartungen als überzogen – eine Steigerung gegenüber 2022 (49 %) und 2021 (57 %). Hintergrund für die Zunahme des Problems könnte die Rückkehr zur Normalität sein. Nachdem die Hektik um die Absicherung ihrer Homeoffice und Hybridumgebungen nachgelassen hat, kürzen viele Unternehmen ihr Budget für Cybersicherheit. Somit gelten für CISOs zwar weiterhin dieselben Ziele – ihnen stehen jedoch weniger Ressourcen zur Verfügung, um sie zu erreichen. Im Branchenvergleich werden die Erwartungen im Einzelhandel (69 %) und im Bereich IT, Technologie und Telekommunikation (69 %) als besonders hoch wahrgenommen. Am wenigsten unter Druck sehen sich CISOs in Transportunternehmen (48 %) und im Gesundheitswesen (42 %). Die Unterschiede lassen vermuten, dass die Last der Sicherheit in sicherheitskritischen Branchen breiter verteilt ist. 

Die Bürde der persönlichen Haftung

Ein weiterer wichtiger Faktor, der den weltweit von den CISOs wahrgenommenen Druck zusätzlich erhöht, ist das omnipräsente Risiko der persönlichen Haftung. 62 % der Befragten bereitet dieser Aspekt Sorgen. Nur 15 % gaben an, dass persönliche Haftung in ihrer derzeitigen Rolle kein Problem darstellt. Die größere Verantwortung der CISOs ruft verstärkt die Aufsichtsbehörden auf den Plan. Das Versäumnis des ehemaligen CISO von Uber, eine Datenschutzverletzung zu melden, hat zu einer strafrechtlichen Verurteilung geführt. CISOs sind sich der Tragweite eines solchen Urteils durchaus bewusst und möchten
sich gegen derartige Risiken absichern. Die meisten CISOs (61 %) geben an, dass sie nicht für ein Unternehmen arbeiten würden, das seinen Direktoren und Führungskräften keine Versicherung oder ähnliche Absicherung anbietet, um sie vor Schadensersatzansprüchen infolge eines erfolgreichen Cyberangriffs zu schützen. Nur 14 % sind anderer Meinung. Verständlicherweise wünschen sich CISOs in Branchen mit großen Mengen an vertraulichen Daten oder unter starker behördlicher Kontrolle am häufigsten eine Versicherungsabdeckung, z. B. in den Bereichen Einzelhandel (69 %), Finanzdienstleistungen (65 %) und Fertigung (65 %). Der Anteil der CISOs, die nicht für ein Unternehmen arbeiten würden, das seinen Direktoren und Führungskräften keinen Versicherungsschutz (oder eine ähnliche Absicherung) anbietet, um sie vor Schadensersatzansprüchen infolge eines erfolgreichen Cyberangriffs zu schützen. Leider bleiben die Folgen von erhöhtem Druck, Behördenprüfung und persönlicher Haftung nicht aus. Stressbelastete Umgebungen, knappe Budgets und steigende Erwartungen schlagen sich weltweit auf die Lebensqualität der CISOs nieder. Ganze 60 % geben an, in den letzten 12 Monaten von Burnout betroffen gewesen zu sein. Nur 15 % stimmen der Aussage nicht zu. Ein bedenkliches Resümee am Ende eines weiteren Jahres, das Cybersicherheitsverantwortliche vor zahlreiche Herausforderungen stellte. Die Zahlen unterstreichen einmal mehr, wie wichtig es ist, beruflich wie privat festen Boden unter den Füßen zu behalten. Die Tragweite des Problems kann nicht oft genug betont werden. Forrester prognostizierte kürzlich, dass ein Global 500-Unternehmen 2023 aufgrund der gesundheitlichbedenklichen Arbeitsbedingungen seiner Cybersicherheitsmitarbeiter gefährdet sein wird. Die Aufgabe sicherzustellen, dass dies nicht unter ihrer Verantwortung geschieht, liegt bei den für Cybersicherheit zuständigen Führungskräften. Dies ist jedoch nur dann möglich, wenn CISOs die Gelegenheit gegeben wird, Bedenken zu äußern, und Zeit eingeräumt wird, sich zu erholen und ihre Widerstandskraft zu stärken.

Celeste Low

Celeste Lowe, Group Director, IT Security, Nine:
„Die Aufgaben der CISOs waren schon immer
mit Stress verbunden, aber zusätzlicher Druck hat
für viele von ihnen zu einer nicht mehr tragbaren
Situation geführt.“


Am selben Strang ziehen

Knappe Budgets, durch Menschen bedingte Risiken und die wachsende Bedrohungslandschaft sind für CISOs nichts Neues. Die meisten dieser Herausforderungen gab es schon früher. Die positive Entwicklung der Beziehungen zur Vorstandsebene bedeutet für CISOs, dass sie neue Verbündete gewonnen haben. Gemeinsam haben Vorstände und CISOs eine gute Chance, ihre risikobasierten Strategien zu verbessern
und wirksame Veränderungen herbeizuführen. Für CISOs und ihre Verbündeten im Vorstand bietet es sich mitunter an, Hilfestellung und finanzielle Unterstützung für Geschäftssegmente zu leisten, die die erforderliche Kapazität und Priorisierung zur Implementierung dieser Veränderungen nicht so leicht aufbringen bzw. leisten können. In der dynamischen Cybersicherheitsumgebung wird es immer wieder neue Herausforderungen geben. Diese lassen sich allerdings viel einfacher bewältigen, wenn beide Seiten am selben Strang ziehen, um ein gemeinsames Ziel zu erreichen. Die Aufgaben der CISOs waren schon immer mit Stress verbunden, aber zusätzlicher Druck – etwa durch Vorstandserwartungen an eine schnellere Risikominimierung, die herausfordernde Überzeugungsarbeit bei der mittleren Führungsebene, Budgetkürzungen und Fachkräftemangel – hat für viele von ihnen zu einer nicht mehr tragbaren Situation geführt. Deshalb wechseln mehr CISOs die Stelle oder kehren der Cybersicherheit vollends den Rücken.
Das Herstellen von mehr Ausgewogenheit mag zwar angesichts der mit der Rolle verbundenen Dauerbereitschaft unmöglich erscheinen, dennoch ist sie eine absolute Notwendigkeit, um genügend Widerstandskraft zum Schutz vor Burnout aufzubauen.


Quelle: Krankenhaus-IT Journal, Ausgabe 03/2023


Lesen Sie mehr zum Thema "IT-Sicherheit & Kritis"

6 Schritte für mehr Cyber-Resilienz im Gesundheitswesen
IT-Sicherheit & Kritis
Tipps

6 Schritte für mehr Cyber-Resilienz im Gesundheitswesen

Imperva DDoS Threat Landscape Report 2024: Angriffe auf Organisationen im Gesundheitswesen steigen um 236 Prozent
IT-Sicherheit & Kritis
DDOS

Imperva DDoS Threat Landscape Report 2024: Angriffe auf Organisationen im Gesundheitswesen steigen um 236 Prozent

IT Störung im Klinikum Stuttgart behoben
IT-Sicherheit & Kritis
IT

IT Störung im Klinikum Stuttgart behoben

Globaler IT-Ausfall: UKSH sagt alle geplanten Operationen ab
IT-Sicherheit & Kritis
Ausfall

Globaler IT-Ausfall: UKSH sagt alle geplanten Operationen ab

Zukunftsweisende Cybersecurity-Innovationen beim Final Pitch Day
IT-Sicherheit & Kritis
Abschluss

Zukunftsweisende Cybersecurity-Innovationen beim Final Pitch Day

„Schäden durch Cyberkriminalität“: Auf dem Weg zu einer cyberresilienten Gesellschaft
IT-Sicherheit & Kritis
Projekt

„Schäden durch Cyberkriminalität“: Auf dem Weg zu einer cyberresilienten Gesellschaft

Lesen Sie hier die neuesten Beiträge

Verirrt im digitalen Wunderland
Digitalisierung
Tech

Verirrt im digitalen Wunderland

Diagnose-Fähigkeiten von Large Language Models getestet: Eignen sich KI-Chatbots fürs Krankenhaus?
Künstliche Intelligenz
LLM

Diagnose-Fähigkeiten von Large Language Models getestet: Eignen sich KI-Chatbots fürs Krankenhaus?

Nutzererfahrung bei DiGAs
Digitalisierung
Diga

Nutzererfahrung bei DiGAs

Diese Webseite verwendet Cookies.   Mehr Info.      oder