Die digitale Transformation führt auch zu einer Öffnung von Volkswirtschaften, Unternehmen und Informationssystemen. Dadurch werden sie zwar agiler und vernetzter, aber auch anfälliger für Bedrohungen. Die Rolle des Chief Information Security Officer (CISO) wird daher in Unternehmen immer wichtiger. Doch was braucht es, um ein erfolgreicher IT-Security-Chef zu sein? Dieser Frage ging die weltweite Studie «What It Takes to Be a CISO: Success and Leadership in Corporate IT Security» nach, die das zur CXP Group gehörende Marktforschungsinstitut PAC für den IT-Sicherheitsspezialisten Kaspersky Lab durchgeführt hat.

Welche Fertigkeiten und Fähigkeiten benötigt daher ein CISO, um erfolgreich zu sein? Gemäss den Antworten der befragten CISO sind dies nach wie vor hauptsächlich technische Fähigkeiten im IT-Umfeld generell und in der Cyber-Security im Besonderen. Immerhin: Ein gerüttelt Mass an Business-Fähigkeiten sollten CISO nach deren eigener Meinung ebenfalls mitbringen sowie genügend Einfühlungsvermögen, um die Bedürfnisse der Geschäftseinheiten zu erkennen und gute Beziehungen zu diesen aufbauen zu können (vgl. Grafik). Nur 2 Prozent der CISO erachten dagegen Menschenführungsfähigkeiten als wichtigste Skill und niemand fand, dass das Erreichen von Kosteneffizienz zu den wichtigsten Fähigkeiten eines CISO gehöre.

Generell stellte die Studie fest, dass viele CISOs weniger in unternehmerische Entscheidungen eingebunden werden. Auch was die Position in der Firmenhierarchie anbelangt, sind die CISO noch tief angesiedelt und weit weg von der Teppichetage. «Normalerweise würde man davon ausgehen, dass ein Chief Information Security Officer Mitglied der Geschäftsleitung ist. Es sitzen jedoch nur 26 Prozent der befragten CISOs im Vorstand und nehmen an allen Sitzungen teil», erläutert Wolfgang Schwab, Principal Consultant bei PAC. In der Regel findet man CISOs auf Geschäftsleitungsebene nur in Unternehmen mit hohem Digitalisierungsgrad oder in sensiblen Sektoren, sowie in sehr grossen Firmen. Dies ist häufig gleichbedeutend mit einem hohen Reifegrad bei der Cyber-Sicherheit. Nur 58 Prozent der befragten CISOs sind der Ansicht, angemessen in unternehmerische Entscheidungen eingebunden zu sein.

Allerdings glauben nur 25 Prozent der befragten CISOs, die nicht Mitglied der Geschäftsleitung sind, dass sie dies sein sollten. Der Rest ist zufrieden mit der aktuellen Position. In Europa denken aber schon 41 Prozent der CISOs, sie sollten eigentlich Teil der Geschäftsleitung sein.

Eine weitere Erkenntnis aus der Studie ist, dass sich ein Grossteil der CISOs selbst nicht als Business-Manager sieht – was normalerweise ein wesentliches Element einer Position auf CxO-Ebene ist – sondern eher als Fachexperten.

Insbesondere CISOs, die stärker mit den Geschäftsbereichen zusammenarbeiten möchten, werden von der Geschäftsleitung häufiger um Rat gefragt als CISOs, die hier kein Interesse zeigen. CISOs, die in ihrem Unternehmen gut vernetzt sind und bereit sind, mit den verschiedenen Geschäftsbereichen zu kooperieren, werden als wertvollere Ratgeber wahrgenommen als Kollegen, die sich hier nicht engagieren. Dieser Trend weist in eine Zukunft, in der CISOs mehr auf die Belange des Business achten und sich auf Geschäftsrisiken konzentrieren müssen. In einigen grossen Unternehmen kommt der CISO bereits nicht mehr aus der IT-Abteilung.