top of page

Quo vadis, CISO 2024?

Der CISO im Jahr 2024: Wird es „das Jahr des CISO“ oder gar das Jahr der Transformation der Rolle?

 

Zum Eingang des Jahres 2024 wollen wir versuchen, eine Prognose zur Rolle des CISO abzugeben, vor allem auf Basis der komplexen Herausforderungen im Bereich der Cybersicherheit, mit denen wir aktuell weltweit konfrontiert sind.



Denn dank wirtschaftlicher und politischer Entwicklungen, bewaffneter Konflikte oder technologischer Trends und auch dem bahnbrechenden – mit umfassendem Einfluss und hoher Geschwindigkeit eintretenden - Vormarsch der KI ist auch 2024 keine „Ruhe“ zu erwarten.


Konkret das Thema CISO wird unserer Einschätzung nach einer Veränderung unterworfen sein, die Rolle wird eine Aufteilung erfahren müssen! Die Schwierigkeit der Position liegt in der sehr breiten Basis, steigenden Anforderungen und zunehmenden Überlappung der Regulatorik mit IT-Sicherheitsthemen.


Denn einerseits braucht man im CISO

  • eine geschäftsorientierte Führungskraft, die sich auf Risikomanagement und die Einhaltung gesetzlicher Vorschriften konzentriert, und

  • eine technisch orientierte Führungskraft, die sich auf die Prävention, Erkennung und Reaktion auf Bedrohungen konzentriert.


Ersterer sollte dem CEO und dem Vorstand Bericht erstatten; Letzterer sollte eine geteilte Berichtslinie zum geschäftsorientierten CISO und an den CIO haben. Diese Teilung wird aus unserer Sicht nicht funktionieren.


Denn die Regulatorik wird sich weiter ausdehnen, die Verbindungen zum Kapitalmarkt werden den Druck erhöhen, somit werden Unternehmen ggf. Cybervorfälle berichten müssen, mit teils gigantischen Auswirkungen auf den Aktienkurs. Firmen wie Solarwinds und deren Management hatten in dem Zuge gewaltige Schwierigkeiten, das Ende ist noch nicht ausgemacht. So wurde Tim Brown, CISO bei SolarWinds, von der US-Börsenaufsicht SEC angeklagt, Fakten zu einem Sicherheitsvorfall verschwiegen zu haben, die den Aktionären zur Kenntnis gebracht hätten werden müssen, da der Vorfall Auswirkungen auf den Wert des Unternehmens und den Kurs hat. Was ist, wenn das Schule macht? Wann ist was zu melden, wann nicht? Hier herrscht Unsicherheit.


Andererseits ist der CISO kein wandelndes „Technologie-Lexikon“ oder Allheilmittel für IT-Sicherheitsprobleme, der sich als einzelne Person neben der Regulatorik und Organisation in allen technischen Themen in Breite UND Tiefe laufend auf dem Stand der Technik halten kann (individuelle Ausnahmen kann es geben), der Spagat zwischen den Rollen bei laufend neuen Entwicklungen wird Jahr für Jahr größer.


Und es gibt weitere Entwicklungen und Wahrnehmungen, denn einerseits wird der Bedarf an leistungsfähigen CISO´s immer weiter wachsen, andererseits wird das Berufsbild so herausfordernd, daß sich mancher aus der Rolle wieder verabschieden will.


Laut einer Umfrage bei CISOs geben fünfundsechzig Prozent an, dass sie aufgrund des hohen Stresses, der mit einem Job im Bereich Cybersicherheit verbunden ist, einen Ausstieg in Betracht gezogen haben. 43 % geben an, dass sie frustriert sind, weil ihr Unternehmen die Cybersicherheit nicht ernst nimmt. An der Bezahlung kann es nicht liegen, die CISO-Rolle wird (zumindest in großen Unternehmen) gut entlohnt.


Und laut einer Gartner-Analyse kommt es zunehmend zu einer hohen Fluktuation bei CISO und InfoSec-Führungskräften. Die Daten prognostizieren, dass 50 % der Führungskräfte im Bereich Cybersicherheit bis 2025 den Arbeitsplatz wechseln wollen, und mindestens 25 % werden aufgrund des ständigen Drucks und Stresses bis 2025 versuchen, das Feld vollständig zu verlassen.


Unsere Erwartung ist daher, dass sich die Rolle auf die regulatorischen und organisatorischen Themen fokussieren muss und die spezifische IT-Security innerhalb der IT verantwortet werden wird. Eine andere Trennung ist vermutlich nicht zielführend oder führt zu doppelten Strukturen.


Ob die Annahme stimmt, wird die Zeit zeigen.

 

Quellen: John Oltsik, Jason Lau

bottom of page