Oft berichtet der CISO an den CIO, aber längst nicht immer. Viele Unternehmen haben erkannt, dass eine solche Abhängigkeit zu Interessenskonflikten führen kann. IT-Sicherheit darf keine Kompromisse eingehen, auch dann nicht, wenn der CIO dies wünschen sollte.
Das Aufgabenspektrum des CISO unterscheidet sich von Branche zu Branche und Unternehmen zu Unternehmen. Große Unterschiede finden sich auch in den Gehältern. So lohnt es sich für einen CISO ganz besonders, in einer Großbank an der amerikanischen Westküste zu arbeiten und sich dabei inhaltlich möglichst breit aufzustellen.
Diese und viele andere Resultate erbrachte eine groß angelegte Erhebung der Personalberatung Heidrick & Struggles (2021), die das Berufsbild des Chief Information Security Officer (CISO) analysiert hat. Befragt wurden weltweit 354 CISOs und deren Stellvertreter, außerdem Chief Security Officers und Senior Information Security Officers. Die meisten Befragten stammen aus den USA. Auf der Grundlage dieser Untersuchung beantworten wir die wichtigsten Fragen zum Berufsbild CISO.
1. An wen berichtet der CISO?
Die größte Gruppe der CISOs (38 Prozent) ist dem Chief Information Officer (CIO) unterstellt. Ansonsten zeigt sich ein buntes Bild der Berichtswege: 16 Prozent berichten an den Chief Technology Officer, zwölf Prozent an den Chief Operating Officer (COO) oder Chief Administrative Officer und elf Prozent direkt an den CEO. Manchmal ist auch ein Chief Risk Officer oder Senior Regulatory Executive der Vorgesetzte (fünf Prozent) oder es gibt im Unternehmen noch einen übergeordneten Global CISO.
2. Welche Unternehmen beschäftigen einen CISO?
Vier von fünf CISOs arbeiten in Unternehmen, deren Jahresumsatz mehr als eine Milliarde Dollar beträgt. Bezogen auf Branchen gibt es eine auffällige Häufung bei Finanzdienstleistern und Fintechs (31 Prozent) sowie bei ITK-Unternehmen (29 Prozent). Vor diesem Hintergrund überrascht es nicht, dass viele der befragten Sicherheitsexperten selbst in den vergangenen zwei Jahren im Finanz- und im Technologiesektor beschäftigt waren. In Großbritannien beträgt der Anteil derer, die bei Finanzdienstleistern gelernt haben, 86 Prozent, in den anderen europäischen Ländern durchschnittlich 50 Prozent.
Die meisten CISOs haben vormals in der IT-Abteilung gearbeitet (68 Prozent), einige wenige auch im Software-Engineering (sieben Prozent). Die Umfrage nennt nur wenige Beispiele von CISOs, die aus der Finanz- oder Rechtsabteilung kommen. Auffällig ist außerdem, dass CISOs zu 87 Prozent männlich sind und zu 84 Prozent eine weiße Hautfarbe haben. Immerhin könnte sich das Bild bald ändern: Viele Unternehmen geben sich derzeit große Mühe, in Sachen Diversität Fortschritte zu erzielen.
3. Welche Aufgaben haben CISOs?
Das Aufgabenspektrum der CISOs ist recht breit, derzeit halten mit 47 Prozent (Achtung, Mehrfachnennungen waren möglich!) die meisten Netzwerk- und Cloud-Sicherheit für ihre wichtigste Aufgabe. Das dürfte im Wesentlichen dem Home-Office-Trend und dem lebhaften Online-Kundenkontakt geschuldet sein. An zweiter Stelle liegt das Identity und Access-Management (IAM) (38 Prozent). Weitere wichtige Themen sind Datensicherheit (35 Prozent), Anwendungssicherheit (27 Prozent) und Endpoint Security (13 Prozent), das vor wenigen Jahren noch klar an der Spitze der Prioritäten lag. Mit dem Cloud-Trend ist offenbar die Plattformsicherheit in den Mittelpunkt der Bemühungen getreten, während die Endpoint-Sicherheit als Routineaufgabe untergewichtet wird.
Geht es darum, die Bedeutung der einzelnen Aufgaben einzuschätzen, lohnt sich ein Blick auf die regionalen Unterschiede. Für CISOs in den USA und Großbritannien, wo die Cloud-Nutzung weiter fortgeschritten ist, spielen Netzwerk- und Cloud-Sicherheit eine wichtigere Rolle als in anderen Ländern. Europäische Länder (ohne Großbritannien) beschäftigen sich dagegen intensiver mit IAM. Das Thema Datensicherheit hat für CISOs aus dem asiatisch-pazifischen Raum höchste Priorität, während sich die US-Amerikaner derzeit auch stark mit Applikationssicherheit beschäftigen.
4. Wer berichtet an den CISO?
Befragt nach Unternehmensbereichen, die an den CISO berichten, nannten jeweils rund 90 Prozent die Verantwortlichen für:
Sicherheitsarchitektur,
Sicherheits-Betrieb und
Governance, Risc and Compliance (GRC).
Auch die für Produkt- und Anwendungssicherheit Zuständigen berichten zu 85 Prozent an den CISO. Andere Aufgaben liegen nicht mehr so selbstverständlich im Verantwortungsbereich des CISO. Das Thema Business Continuity und Desaster Recovery ist nur zu 37 Prozent beim IT-Sicherheitschef platziert, und zu jeweils nur 28 Prozent kümmern sich die CISOs um Trust, unternehmensweites Krisenmanagement und physikalische Sicherheit. Nur jeder fünfte Datenschutzbeauftragte berichtet an den CISO, nur je 18 Prozent der für Fraud und Safety Verantwortlichen.
5. Sitzt der CISO auf einem Schleudersitz?
Nein, 56 Prozent der CISO sind länger als drei Jahre in ihrer Position, die Hälfte davon sogar schon länger als fünf Jahre. Die Umfrage zeigt, dass es hier in den Regionen kaum Unterschiede gibt.
6. Wie groß sind die CISO-Teams?
Das hängt stark von der Unternehmensgröße und der Branche ab. In der Umfrage zählen 38 Prozent der Befragten weniger als 25 Mitarbeitende in ihrem IT-Sicherheitsteam. Andererseits beschäftigen 18 Prozent sogar mehr als 200 IT-Security-Profis in ihrem Bereich. Die drittgrößte Gruppe (17 Prozent) setzt sich aus 26 bis 50 Experten zusammen.
7. Sitzt der CISO im Vorstand?
Meistens nicht, nur vier Prozent der CISOs haben einen Platz im Vorstand. Aber dennoch ist die Sichtbarkeit des IT-Sicherheits-Chefs im obersten Entscheidergremium groß. 90 Prozent der Befragten berichten regelmäßig an das Board oder an den Aufsichtsrat, die meisten davon quartalsweise. Fast die Hälfte der CISOs hat einen Sitz in irgendeinem Aufsichtsrat, in der Regel allerdings nicht im eigenen Unternehmen.
8. Welche CISO-Typen gibt es?
Heidrick & Struggles unterscheidet zwischen dem "Everything CISO", der für Security, Risk und Trust gleichermaßen verantwortlich ist, und dem "Specialist", der nur eine oder zwei dieser Rollen einnimmt. Mit 55 Prozent kommt der Specialist etwas häufiger vor als der Everything CISO (45 Prozent), letzterer ist vor allem im Finanzsektor und der ITK-Branche zu finden.
Der Specialist hat oft eine Karriere in der IT hinter sich und legt seinen inhaltlichen Fokus tendenziell stark auf das Thema IAM. Er ist meist dem CIO unterstellt, während der Everything CISO oft an einen Vorstand berichtet, in 17 Prozent der Fälle sogar direkt an den CEO. Das macht sich auch im Portemonnaie bemerkbar: In den USA verdient der Allrounder mit Zugang zur Konzernspitze jährlich rund 113.000 Dollar mehr als der spezialisierte Kollege.
9. Welche Aufstiegschancen haben CISOs?
Befragt nach ihren weiteren Karriereplänen, sagten immerhin 47 Prozent der CISOs, dass sie eine Position im Vorstand anstrebten. Heidrick & Struggles hält das angesichts der Aufsichtsratsmandate, die CISOs häufig schon haben, und der sich zuspitzenden Cybersecurity-Herausforderungen für keineswegs vermessen.
Weitere 44 Prozent hegen den Plan, zum Chief Security Officer (CSO) aufzusteigen, also neben der Informations- auch die physikalische Sicherheit im Konzern zu verantworten. Den Job des CIO streben nur zwölf Prozent der Befragten an. Manche würden sich dann schon lieber als Gründer oder Berater versuchen (18 Prozent) oder zum Chief Risk Officer weiterentwickeln (16 Prozent). Verschwiegen werden soll nicht, dass sich immerhin drei Prozent der 354 Befragten auch den CEO-Posten zutrauen, während acht Prozent eine Karriere im Private-Equity-Sektor anstreben.
10. Würden CISOs auch in einem anderen Land arbeiten?
Die meisten CISOs (54 Prozent) wollen in ihrem Land bleiben und dort am liebsten auch den Standort nicht wechseln. Gut ein Drittel (36 Prozent) konzediert aber, ein Umzug im eigenen Land komme unter bestimmten Bedingungen durchaus in Frage. 41 Prozent wären auch offen dafür, für den nächsten Karriereschritt ihrem Heimatland den Rücken zu kehren. Die Umfrage zeigt generell, dass CISO-Teams oft geographisch weit verteilt arbeiten und die Verantwortlichen meist nicht mit anderen Executives an einem Standort lokalisiert sind.
11. Was verdient ein CISO?
Die erhobenen Daten geben vor allem zu den Vereinigten Staaten ein valides Bild ab, weil hier mit 259 CISOs die größte Gruppe befragt wurde. In den USA beläuft sich das durchschnittliche Zielgehalt (fixe und variable Bestandteile zusammengenommen) in diesem Jahr auf 509.000 Dollar (nach 473.000 Dollar im Vorjahr). Der Finanzsektor liegt mit im Mittel 656.000 Dollar CISO-Salär am deutlichsten über diesem Mittel, der Industriesektor mit 435.000 Dollar am weitesten drunter.
Unternehmen mit einem Jahresumsatz von über fünf Milliarden Dollar zahlen viel mehr als kleinere Firmen, Konzerne mit über 20 Milliarden Dollar Jahreseinnahmen legen noch einmal eine Schippe drauf. Letztere zahlen ihrem CISO im Durchschnitt 703.000 Dollar per annum. Wichtig für ein stattliches Gehalt ist die Größe des Teams: Vereint der CISO mehr als 100 Experten in seinem kleinen Reich, bringt er es im Mittel auf ein jährliches Einkommen von 778.000 Dollar. In den USA ist es außerdem von Vorteil, an der Westküste zu arbeiten, wo die CISO-Gehälter nochmal deutlich üppiger ausfallen.
In Europa veröffentlichen die Personalberater nur die CISO-Gehälter in Großbritannien, und dort standen auch nur 41 CISOs Rede und Antwort, die Ergebnisse sind also mit Vorsicht zu genießen. Demnach liegt das mittlere CISO-Jahreseinkommen auf der Insel mit 306.000 Pfund (knapp 420.000 Dollar) niedriger als jenseits des Atlantiks. Finanz- und ITK-Branche zahlen mit 324.000 beziehungsweise 351.000 Pfund am besten, während der Industriesektor mit 176.000 Pfund zurückbleibt. Im Vereinigten Königreich fällt außerdem auf, dass Konzerne mit mehr als fünf Milliarden Pfund Jahresumsatz teilweise zwei- bis drei Mal so hohe Gehälter zahlen wie mittelgroße Unternehmen.