Soft- und Hardskills sind gefordert

Welche Fähigkeiten CISOs mitbringen sollten

Laut einer weltweiten Kaspersky-Studie stiegen die durchschnittlichen, aufgrund eines Datenlecks versursachten Kosten für Großunternehmen um 24 Prozent auf bis zu 1,23 Mio. US-Dollar. Doch wie gut sind Unternehmen vor Cyberattacken gewappnet? Und welche Rollen spielen CISOs?

Hand wirft Schlösser in die Luft

Nur mit den entsprechenden Budgets und Sicherheitslösungen können CISOs Cyberattacken erfolgreich abwehren.

Die internationale Studie „Was macht einen CISO aus: Erfolg und Führungsverhalten im Bereich IT-Sicherheit in Unternehmen“ ebenfalls von von Kaspersky zeigt, dass IT-Sicherheitsverantwortliche bzw. Chief Information Security Officers (CISOs) Schwierigkeiten haben, die erforderlichen Budgets zur Bekämpfung von Cyberkriminalität zu erhalten – und vor allem zu rechtfertigen.

Dafür gibt es Gründe:

  • IT-Sicherheit wird oft als Teilbereich eines größeren IT-Budgets geführt, in dem Trendprojekte wie beispielsweise die Cloud oder andere IT-Projekte priorisiert werden. Diese Priorisierung rührt meist daher, dass die Entscheidungsträger sich der brisanten IT-Sicherheitslage nicht bewusst sind.
  • Der häufigste Grund ist jedoch, dass CISOs nicht garantieren können, dass das eigene Unternehmen nicht Opfer von Cybersicherheitspannen werden wird. Der Return on Invest (ROI) ist schwer an die Vorgesetzten vermittelbar; denn bei Budgetverhandlungen geht es um tatsächliche Resultate. Investitionen in etwas, bei dem der Wert nicht wirklich sichtbar ist, gestalten sich für CISOs schwierig.

Aus betriebswirtschaftlicher Sicht ist diese Strategie nachvollziehbar, als Geschäftsführer zählt schließlich das Endergebnis. Es gibt also keinen Grund, ein Budget für einen Kampf zu bewilligen, der offensichtlich nicht hundertprozentig gewonnen werden kann. Investiert wird dort, wo eine Rendite zu erwarten ist. Dennoch: Ausgaben für Cybersicherheit dürfen nicht nach ihrem ROI berechnet werden. Sie sind eine Investition in die Zukunft. Ähnlich einer Risikoprämie einer Versicherung gegen Cybersicherheitsvorfälle.

Neben Investition und dem Einsatz innovativer technischer Lösungen zum Schutz des Unternehmensnetzwerk hängt die IT-Sicherheit einer Organisation heute allerdings von weiteren Fähigkeiten und Kompetenzfeldern ab – dies zeigt die Kaspersky-Studie deutlich auf.

Krisenmanagement-Kompetenz

Als Führungskraft müssen IT-Sicherheitsverantwortliche mit dem Management (C-Level) und dem Verwaltungsrat interagieren. Die Herausforderung: nur wenige Top-Manager verfügen über fundiertes Cybersicherheitsfachwissen. CISOs sollten daher nicht nur mit IT-Fachbegriffen um sich werfen, wenn sie den Vorstand über mögliche Cybergefahren in Kenntnis setzen möchten. Vielmehr müssen sie in der Lage sein, mit der Chefetage auf Augenhöhe zu kommunizieren.

Die Fähigkeit, komplexe Sachverhalte verständlich zu vermitteln, wird schon lange als Top-Anforderung in Stellenausschreibungen angeführt. Es gilt, den Sicherheitsfachjargon in Geschäftssprache zu übersetzen. Vor allem wenn es um unternehmensinterne Verhandlungen von Cybersicherheitsbudgets geht, profitieren CISOs von ausgeprägten Kommunikations- und Präsentationsfähigkeiten.

Budgets für IT-Sicherheit sind häufig Teil der gesamten IT-Ausgaben. Wenn die Sicherheitsverantwortlichen an der richtigen Stelle in der richtigen Sprache überzeugende Argumente auf den Tisch legen (z.B. Strafen für die Nichteinhaltung von Vorschriften oder geschäftsmindernde Schäden durch frühere Angriffe), erhalten die Themen IT-Sicherheit und Datenschutz auch aus Sicht des hierfür nötigen Budgets den Stellenwert, der für die Gewährleistung von Geschäftsgewinnen und Kapitalrentabilität (ROI) nötig ist. Auch der Einsatz und die Vermittlung anschaulicher Reports – zum Beispiel über Cybersicherheitsvorfälle und deren offensichtliche Konsequenzen für den Unternehmenserfolg – sind Teil der von CISOs benötigen Softskills.

Aufsichts- und Führungsqualitäten

Die Studien zeigen, dass Unternehmen zunehmend mit dem Mangel an Sicherheitsexperten zu kämpfen haben. Dieses Problem wird dadurch verstärkt, dass es laut 62 Prozent der CISOs zu wenige Cybersicherheitstalente gibt. Das hat Auswirkungen auf das Thema Mitarbeiterbindung. Denn ein Mangel an Sicherheitsfachkräften und -talenten erhöht deren Nachfrage. Experten werden zunehmend von anderen Unternehmen umworben. Ein CISO erklärt die heikle Situation: „Ich manage sehr talentierte Cybersecurity-Spezialisten, auf die es verstärkt Headhunter abgesehen haben.“ Hinzu kommt, dass der Fachkräftemangel auch das Arbeitspensum des aktuellen Sicherheitsteams erheblich erhöht.

Die IT-Sicherheitsverantwortlichen sollten daher einen Führungsstil pflegen, dem ihre Mitarbeiter gerne folgen. Sie sollten das Team unterstützen und ein Händchen für Mitarbeitermotivation haben. Die Motivation beschränkt sich nicht nur auf monetäre Anreize. Sie kann durch Entscheidungsverantwortung, Lern- und berufliche Entwicklungsmöglichkeiten oder schlichtweg durch Anerkennung der harten Arbeit ermöglicht werden. Was für die eine Person zutrifft, mag für die andere möglicherweise nicht das Richtige sein. Um ihr Team effektiv zu managen, müssen die Sicherheitsverantwortlichen individuelle Anreize bzw. die richtige Motivationsquelle finden.

Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok