top of page

Wer zahlt den CISO und wem dient er wirklich?

  • 3. Mai
  • 2 Min. Lesezeit

Aktualisiert: 3. Mai

Ist es eigentlich sinnvoll, dass ein interner CISO gleichzeitig unabhängig kontrollieren und vom Management abhängig sein soll?


Unternehmen erwarten von ihrem CISO, Risiken offen anzusprechen, Sicherheitsprobleme transparent zu machen und auch unbequeme Wahrheiten klar zu benennen.

Gleichzeitig hängen Budget, Einfluss und oft sogar die eigene Position genau von den Personen ab, deren Entscheidungen hinterfragt werden müssten.


Kann echte Unabhängigkeit unter diesen Bedingungen überhaupt funktionieren?


Denn die Realität ist häufig klar:

  • Der CISO soll kritische Risiken sichtbar machen – aber bitte ohne Unruhe zu erzeugen.

  • Er soll Transparenz schaffen – aber möglichst ohne Konsequenzen.

  • Er soll unabhängig beraten – bleibt jedoch organisatorisch abhängig.


In anderen Bereichen würden wir ein solches Modell kaum akzeptieren, daher ist es dort anders:


  • Der Wirtschaftsprüfer berichtet nicht an den CFO.

  • Externe Rechtsberater sind bewusst unabhängig.

  • Aufsichtsräte verlassen sich auf neutrale Bewertungen.


Warum glauben wir also ausgerechnet in der Cybersecurity, dass Kontrolle und Abhängigkeit gleichzeitig funktionieren?


Der interne CISO steckt oft in einem strukturellen Interessenkonflikt:

  • Wer zu kritisch ist, gilt schnell als unbequem.

  • Wer Risiken klar benennt, gefährdet Budgets, Projekte oder Managemententscheidungen.

  • Und wer dauerhaft schlechte Nachrichten liefert, bleibt selten lange in seiner Rolle.

  • Wer sich zu viel in der Technik aufhält, ändert zu wenig bei Organisation und Prozessen, wer sich zu wenig mit Technik befasst, kommt ggf. mit der - für Rolle in der Regeln unpassende - Erwartungshaltung an technologische Kompetenz in Konflikt


Das Problem ist deshalb nicht der CISO selbst.

Das Problem ist die Konstruktion der Rolle.


Genau deshalb sprechen immer mehr Gründe für unabhängige oder externe CISOs beziehungsweise Cybersecurity Advisor mit einem weniger technischen Ansatz:


  • Fokus der Rolle auf mehr Management und weniger Technik,

  • objektivere Bewertung der Sicherheitslage,

  • weniger politische Einflussnahme,

  • direkter Blick auf tatsächliche Risiken,

  • größere Glaubwürdigkeit gegenüber Aufsicht, Kunden und Partnern,

  • und vor allem: mehr Freiheit, unbequeme Wahrheiten auszusprechen.


Cybersecurity ist heute zu kritisch geworden, um Sicherheitsbewertungen ausschließlich von internen Abhängigkeiten bestimmen zu lassen!


Vielleicht braucht die Branche nicht einfach „bessere CISOs“.

Vielleicht braucht sie andere (vielleicht auch mehr weibliche) CISOs und endlich unabhängigere Strukturen.

 
 
bottom of page