Suchen

Hohe Anforderungen an CISOs Warum CISOs gute Psychologen sein müssen

| Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Die Fähigkeiten eines CISO müssen breit gefächert sein. Technisches Know-how, Security-Expertise, Management-Qualitäten und Wissen im Bereich Recht und Compliance gehören dazu. Doch auch Psychologie spielt eine große Rolle bei den Aufgaben eines CISOs. Das gilt nicht nur für Führung und Motivation von Beschäftigten, es betrifft nahezu jede Tätigkeit eines CISOs.

Firma zum Thema

Ein CISO sollte psychologische Grundkenntnisse besitzen. Nicht nur, weil es ihm beim Umgang mit seinen Mitarbeitern hilft, sondern auch wenn man Angreifer von außen und von innen verstehen will.
Ein CISO sollte psychologische Grundkenntnisse besitzen. Nicht nur, weil es ihm beim Umgang mit seinen Mitarbeitern hilft, sondern auch wenn man Angreifer von außen und von innen verstehen will.
(Bild: gemeinfrei)

Die Arbeit eines IT-Sicherheitsverantwortlichen, bzw. eines CISO ist zweifellos anstrengend, wegen der Fülle und Dynamik der Aufgaben, den steigenden Risiken, sowie den immer neuen Verfahren bei Angriff und bei Abwehr. Nicht zuletzt aber auch deshalb, weil CISOs nicht immer alle Befugnisse und Budgets haben, die sie bräuchten. So kommt es auch, dass mancher CISO zwar IT-Sicherheitsverantwortlicher genannt wird, aber die letzte Verantwortung für Security gar nicht bei ihr oder ihm liegt.

Eine solche Situation kann unzufrieden machen. Wie die Studie „ISACA’s State of Cybersecurity 2019 Survey: Retaining Qualified Cybersecurity Professionals Increasingly Challenging for Organizations“ zeigt, haben Unternehmen zunehmend Schwierigkeiten, ihre Security-Experten zu halten. Während 57 Prozent der Befragten angeben, dass ihre Organisationen mehr Schulungen anbieten, um Anreize für die Verbleib von Personen innerhalb der Organisation zu schaffen, geben 82 Prozent an, dass die meisten Personen ihr Unternehmen wegen finanzieller und beruflicher Anreize verlassen, wie beispielsweise höhere Gehälter, Boni und Beförderungen.

Viel Verständnis für Mitarbeiterinnen und Mitarbeiter

Über die „Schwachstelle Mensch“ wird viel berichtet, und tatsächlich lassen sich viele IT-Sicherheitsvorfälle auf Fehlverhalten, Unwissenheit und mangelnde Vorsicht zurückführen. Trotz einer Vielzahl an Sicherheitstrainings und Awareness-Maßnahmen machen die Mitarbeiterinnen und Mitarbeiter immer noch diese Fehler, die teilweise für einen Security-Experten wie „blöde Fehler“ erscheinen.

Ein Beispiel aus der fünften jährlichen CISO Benchmark Studie von Cisco: Mitarbeiter und Nutzer stellen demnach weiterhin eine der größten Herausforderungen für viele CISOs dar. Nur 51 Prozent sind mit ihren Prozessen für die Sicherheit der Mitarbeiter sehr zufrieden. Nun gilt es zum einen, dass man als CISO nicht etwa verzweifelt an der scheinbaren Unbelehrbarkeit der Mitarbeiterinnen und Mitarbeiter, ein weiteres Thema für Eigenmotivation. Aber man muss auch verstehen, warum die Beschäftigten so reagieren und selbst die besten Tipps und Tools zu versagen scheinen.

Security hat viel mit Unternehmenskultur zu tun, mit Einfühlungsvermögen und einer guten Portion Verständnis für die Probleme des normalen Nutzers. Auch hier kann es hilfreich sein, wenn man sich als CISO auch im psychologischen Bereich informiert, um das Rüstzeug zu haben.

Angreifer und Innentäter verstehen

Psychologie gehört auch dazu, wenn man die Angreifer von außen und die von innen verstehen will, im Sinne von durchschauen. Als CISO muss man fast schon ein Bauchgefühl für neue Attacken haben und wissen, wie ein Angreifer tickt, was er vorhat, was die Motive sind.

Das gilt ganz besonders für die Innentäter, denn hier soll es nicht zu unbegründeten Verdachtsmomenten kommen, sondern die wirklichen kriminellen Insider müssen erkannt und enttarnt werden. Hier gilt es, die notwendigen Kontroll- und Überwachungsmaßnahmen so zu erklären, dass die Mitarbeiterinnen und Mitarbeiter nicht denken, sie stehen unter Generalverdacht. Gleichzeitig muss man als CISO ein Gefühl dafür entwickeln, warum jemand zum Innentäter wird. Wichtige Antworten liefert auch hier die psychologische Forschung.

Andere Führungskräfte erreichen

Studien wie „Securing the C-suite“ haben die Situation im Management beleuchtet. Besonders schwierig ist es oftmals, im Management selbst für mehr Security zu sorgen, denn trotz der hohen Risiken ist hier der Wunsch nach Ausnahmen bei IT-Sicherheitsrichtlinien besonders hoch. Dann stellt sich die Frage, wie man am besten den anderen Führungskräften klar macht, dass die Vorgaben nicht nur auch für sie, sondern ganz besonders für sie gelten.

Die Treffen im Kreis der Führungskräfte sind häufig ein entscheidender Ort, um den notwendigen Rückenwind für Security-Vorhaben zu bekommen. Wenn man die Kolleginnen und Kollegen im Management nicht für sich und für die Security gewinnt, dann wird es wirklich schwierig. Deshalb hilft es zu wissen, wie man die Manager sensibilisiert, denn Argumente wie „Dein Vorgesetzter will das so“ greifen hier nicht. Man muss die Motive des Managements, die Ziele und die täglichen Probleme kennen, um den richtigen Zugang zu finden.

Auch die Partner und Dienstleister nicht vergessen

Eine weitere Personengruppe steht häufig im Austausch mit den CISOs, die Anbieter und Dienstleister für Security und die verschiedenen Projektpartner in der IT und in Fachbereichen, in denen die Digitalisierung Einzug hält. Für die Suche, Auswahl, Kontrolle und regelmäßige Zusammenarbeit im Bereich Partner ist neben fachlichen Wissen und organisatorischen Geschick auch Fingerspitzengefühl gefragt. Das gilt generell, doch für CISOs noch einmal besonders. Der Grund: Verantwortliche für IT-Sicherheit setzen vor allem auf die Konsolidierung der Anbieter in komplexen Sicherheitsumgebungen. Das zeigt die fünfte jährliche CISO Benchmark Studie von Cisco. Entsprechend setzt sich der Trend zur Anbieter-Konsolidierung fort: Während 2017 noch 54 Prozent der Befragten weniger als 11 Anbieter nutzten, sind es jetzt 63 Prozent.

Dann stellt sich die Frage: Wer sind die richtigen Anbieter? Wie trenne ich mich von den anderen, die ich vielleicht später aber doch einmal brauche? Das hat nicht nur mit Vertragsrecht, sondern ebenso mit Psychologie zu tun, denn es geht auch hier immer um Menschen und die richtige Kommunikation mit ihnen.

(ID:45860496)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst, Influencer und News Analyst / Commentator bei Insider Research