Die Rolle des Chief Information Security Officer (CISO)

Eine Analyse des Paradigmenwechsels in Bezug auf Verantwortlichkeiten und Qualifikationen

Im Rahmen einer laufenden Studie analysieren wir die Rolle des Chief Information Security Officer (CISO) anhand einer qualitativen Auswertung öffentlicher Stellenausschreibungen. In diesem Zusammenhang wurden zwischen Juli und September 2023 mehr als 400 Stellenanzeigen in den DACH-Regionen und den USA untersucht. Die resultierende Analyse legt ein Anforderungsprofil offen, welches einerseits eine umfassende technische Expertise in den Bereichen Informationstechnologie, IT- und Informationssicherheit erfordert, während andererseits vermehrt auf Schlüsselqualifikationen in den Bereichen Führung und Kommunikation hingewiesen wird. Diese Erkenntnisse spiegeln den Paradigmenwechsel wider, der sich in Bezug auf die Rolle und Verantwortung des CISO in Organisationen vollzieht, hin zu einer verstärkten Integration in organisationsstrategische Prozesse¹. Diese Entwicklung findet auch Unterstützung in der Studie von van Yperen Hagedoorn et al., welche die Anforderungen an überfachliche Qualifikationen des CISO beleuchtet. Hierbei werden neben fachlicher Expertise auch Eigenschaften wie Integrität, Anstand, eine positive Grundhaltung, zwischenmenschliche Fähigkeiten und eine ausgeprägte Arbeitsethik als essentielle Eigenschaften hervorgehoben².

Ungeachtet dieser Veränderungen und Anpassungen verlangen viele der untersuchten Stellenausschreibungen akademische Abschlüsse in technischen Fachrichtungen wie Cybersecurity oder Informatik sowie spezialisierte Zertifizierungen, darunter CISA, CISM oder CISSP. Überfachliche Qualifikationen und Kompetenzen stehen in diesen Ausschreibungen häufig nicht im Vordergrund. Dies lässt sich möglicherweise auf ein begrenztes Verständnis seitens der Unternehmen bezüglich der sich wandelnden Rolle des CISO zurückführen und könnte auch zu verzerrten Erwartungshaltungen bei den Bewerbern führen.

Diese Veränderungen und die damit einhergehenden Spannungen können mit der allgemeinen Wahrnehmung der Rolle des CISO in Organisationen zusammenhängen.

Sowohl aus Sicht der oberen Führungsebene als auch aus der Perspektive der CISOs wird die Cybersecurity oft mit negativen Nachrichten assoziiert, wodurch die Rolle des CISO als Überbringer solcher Nachrichten geprägt wird. Zugleich nutzen einige CISOs bewusst eine Form der Rhetorik, die Ängste bei der Unternehmensleitung auslösen kann, etwa durch den Einsatz von Kriegs-Metaphern. Solche Interaktionen können zur Abgrenzung und Entfremdung des CISO von der Organisation beitragen³. Gleichzeitig dient diese Rhetorik u.a. zur Beschreibung neuer Technologien. Die Diskussion über den Umgang mit Cybersicherheitsproblemen ist dabei von Metaphern des “Cyberkriegs” dominiert, welche im Rückschluss auch die Zusammenarbeit in Organisationen einschränken, indem sie Ängste verstärken, anstatt die proaktive Maßnahmenergreifung zu fördern⁴.

Im Hinblick auf die sich verändernde Rolle des CISO wird deutlich, dass dieser Wandel auch den Erwerb neuer Kompetenzen erfordert, die möglicherweise nicht durch die derzeit geforderten Schulungen, Zertifizierungen oder akademische Abschlüsse abgedeckt werden. Die Anforderungen an eine positive Einstellung und eine angemessene Kommunikation könnten mitunter im Konflikt mit der tatsächlich verwendeten Sprache stehen. Eine erfolgreiche Anpassung erfordert daher eine kritische Reflexion seitens des CISOs hinsichtlich seiner Identität und seiner Rolle innerhalb des eigenen Unternehmens.