Cybersicherheit: Strategien zur Arbeitsentlastung für CISOs

Wege aus der Überforderung in der IT-Sicherheit Die stille Krise der CISOs

19.06.2024 Ein Gastbeitrag von Mick Baccio 3 min Lesedauer

Anbieter zum Thema

Splunk Services Germany GmbH

PresseBox - unn | UNITED NEWS NETWORK GmbH

fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)

Fsas Technologies GmbH

FTAPI Software GmbH

CISOs stehen vor beispiellosen Herausforderungen und die Branche droht, sie zu verlieren. Entdecken Sie, wie Unternehmen der „großen Resignation“ entgegenwirken und die IT-Sicherheit stärken können. Erfahren Sie mehr über Strategien zur Arbeitsentlastung und die Bedeutung eines starken Teams für die Zukunft der Cybersicherheit.

Den CISOs geht die Puste aus – was Unternehmen erfolgreich gegen die „große Resignation“ ihrer Sicherheitsverantwortlichen tun können.(Bild: Dall-E / KI-generiert) — Den CISOs geht die Puste aus – was Unternehmen erfolgreich gegen die „große Resignation“ ihrer Sicherheitsverantwortlichen tun können.
(Bild: Dall-E / KI-generiert)

Die dunkle Seite der Cyberlandschaft lebt vom Einfallsreichtum der Hacker und dem Einsatz immer neuer Technologien. Die Anforderungen an CISOs wachsen damit ständig. Und führen zu Frustrationen: Eine kürzlich durchgeführte Gartner-Studie hat aufgedeckt, dass nahezu jeder zweite CISO plant, bis 2025 seinen Job zu wechseln. Ein Viertel zieht sogar in Betracht, in einen völlig anderen Bereich zu gehen. Dies sollte ein Weckruf für die Branche sein, besonders da schon heute ein großer Mangel an Cybersecurity-Experten besteht.

CISOs jonglieren nicht nur mit technischen Herausforderungen, sondern auch mit geschäftlichen Verantwortlichkeiten. (Bild: olly - stock.adobe.com)

Die „große Resignation“ der CISOs

Die Gründe für die sogenannte „große Resignation" der CISOs sind vielfältig. Globale Konflikte, Rezessionsängste und die Professionalisierung der Cyberangriffe tragen dazu bei. Hinzu kommt das rasante Voranschreiten der Digitalisierung. Diese wurde durch die COVID-Pandemie noch beschleunigt. Viele Teams arbeiten seither überwiegend im Homeoffice. Das erhöht die Sicherheitsanforderungen erheblich.

Diese Herausforderungen begannen schleichend und wuchsen dann dramatisch an. Sie waren bereits während der Pandemie 2021 sichtbar, seitdem hat sich die Lage noch verschärft: Eine Umfrage, durchgeführt vom Expertenclub CESIN im Pandemiejahr 2021, zeigt alarmierende Ergebnisse. Über die Hälfte der befragten CISOs gab an, ständig neuen IT-Bedrohungen ausgesetzt zu sein. Weitere 28 Prozent fühlten sich von der Intensität der Cyberangriffe überfordert.

Die Belastungen für Sicherheitsverantwortliche haben sich seitdem nicht verringert. Im Gegenteil. Denn die Verantwortung der CISOs erstreckt sich durch die wachsende Regulierung nicht nur auf fachliche, sondern immer mehr auch auf regulatorische Themen. Das Fehlen einer gemeinsamen D&O-Versicherung bei vielen CISOs steht beispielhaft für den Widerspruch zwischen wachsender Verantwortung und mangelnder eigener Risikoabsicherung.

CISOs kämpfen mit Hamsterrad, Worst Practices und Manipulationen. (Bild: Vogel IT-Medien)

Die durchschnittliche Amtszeit eines CISOs ist kurz. Sie liegt zwischen 18 Monaten und 4,5 Jahren. Hauptgrund für diesen schnellen Wechsel ist oft der Burnout. Und ein Weggang des CISOs wirkt sich stark auf das gesamte Unternehmen aus. Insbesondere die Teams leiden. Die Arbeitslast verteilt sich dann oft auf weniger Schultern. Längere Arbeitszeiten und hohe psychische Belastung sind die Folge. Ein Teufelskreis.

Angesichts dieser Realität müssen Unternehmen ihre Vorstellung von der Rolle des CISOs überdenken. Es geht nicht nur um eine Neuausrichtung der Aufgaben. Auch eine Reduktion der Arbeitsbelastung ist dringend notwendig. Zudem muss das Management verstehen, dass Cyberangriffe jederzeit passieren können. Der CISO kann nicht für jeden Angriff verantwortlich gemacht werden.

Es ist entscheidend, die Handlungsfähigkeit eines CISOs auf Grundlage seiner Expertise zu beurteilen. Die Verantwortung für die Sicherheit sollte nicht allein bei einer Person liegen. Ein starkes, kompetentes Team ist unerlässlich. Um die tägliche Arbeit zu erleichtern, sind KI-gestützte Tools notwendig. Sie können Routineaufgaben automatisieren und helfen, effizienter zu arbeiten.

Besprechungen sind dafür bekannt, viel Zeit zu verschwenden. Teamleiter sollten sicherstellen, dass jedes Mitglied im Anschluss an ein Meeting weiß, was es zu tun hat. (Bild: AnnaStills - stock.adobe.com)

Um den Druck auf die CISOs zu verringern, müssen Unternehmen ihren Ansatz überdenken. Eine Aufstockung des Personals, Auslagerung von Aufgaben und Neuorganisation der Arbeitszeiten sind mögliche Maßnahmen. Finanzielle Anreize und psychologische Unterstützung in Stresssituationen sind ebenfalls wichtig.

Angesichts des Fachkräftemangels und der hohen Belastung müssen Unternehmen jetzt aktiv werden. Es ist an der Zeit, dass die kritische Rolle des CISOs für den langfristigen Erfolg unternehmerischer Resilienz anerkannt wird. Unsere Zukunft in der Cybersicherheit hängt davon ab. Wir müssen aus der Überforderungsfalle ausbrechen und neue Wege gehen. Die geplante Aufstockung des Budgets für Cybersicherheit vieler Unternehmen im Jahr 2024 ist ein positiver Schritt in diese Richtung. Es ist eine Chance, die genutzt werden sollte.

Über den Autor: Mick Baccio ist Global Security Advisor bei Splunk.

Traumjob CISO? Die Zukunft eines anerkannten Ausbildungsberufes steht noch in den Sternen. (Bild: Vogel IT-Medien)

Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)

CISOs sollten die durch Rechts- und Compliance-Experten entstehenden Mehrwerte in einem unternehmensweiten Ansatz nutzen. (Bild: Murrstock - stock.adobe.com)

CISO-as-a-Service ist eine ideale Lösung für KMU oder Unternehmen mit begrenzter IT-Organisation, -Kompetenz oder –Bedarf. (Bild: Rido - stock.adobe.com)

(ID:50062474)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.