Foto: known sense
CISOs haben gegenüber ihren Chefs keinen leichten Stand. Das legen die Ergebnisse einer tiefenpsychologischen Studie nahe. 17 Vorstände, Vorstandsvorsitzende, Geschäftsführer und andere Führungskräfte aus den Branchen Beratung, Energie und Finanzdienstleistung sowie IT, Medien und Telekommunikation wurden dafür in bis zu zweistündigen Tiefeninterviews zu ihrer Sicht auf Informationssicherheit befragt. Schildern die Manager ihre Sicherheitschefs auf den ersten Blick sehr respektvoll, treten bei näherem Hinsehen oft Machtkonflikte zutage.
Die Umfrage ist der dritte Streich in dieser Form des Kommunikationsunternehmens "Known Sense" zum Thema Sicherheit. 2006 befragte "Known Sense" zunächst Angestellte tiefenpsychologisch, 2008 mussten CISOs auf der Couch Auskunft über ihr Selbstbild geben. Dieses Jahr waren nun Vertreter aus der Führungsebene dran.
Sie erwiesen sich nicht gerade als einfache Klientel, glaubt man den Autoren der Studie. Die Gespräche mit den Sicherheitsbeauftragten im Vorjahr seien wesentlich einfacher gewesen, heißt es. Offenbar gehe es Führungskräften vor allem um ihre eigene Sicherheit und nicht um die des Unternehmens, merken die Verfasser an.
Von ihren CISOs zeichneten die Führungskräfte anfangs häufig ein Idealbild. Sie betonten deren fachliches Können und ihre große Bedeutung fürs Unternehmen. Bohrten die Interviewer tiefer, stießen sie allerdings oft auf ganz andere Wahrnehmungen der Sicherheitsbeauftragten. Indem er die Sicherheitskultur prägt, gestaltet der CISO auch die gesamte Firmenkultur mit. Und das führt offenbar häufig zum Konflikt.
Chefs halten sich kaum an Sicherheitsregeln
Vor allem unangenehme Aufgaben delegieren Chefs gerne an den CISO. Wenn der bei deren Umsetzung dann auf sicherheitskonformes Verhalten pocht, wird er auf der Führungsebene häufig nur als Kontrolleur oder Bestrafer wahrgenommen.
Dass sich die Chefs ungern Sicherheitsregeln unterwerfen, konnten die Studienautoren bei ihren Interviews an den Arbeitsstätten der Befragten selbst feststellen. Ein Psychologe fand Unterlagen aus einer vorangegangenen Besprechung offen herumliegen, als er eine Führungskraft in ihrem Büro aufsuchte. Ein anderer wurde nach dem Gespräch unbegleitet zum Ausgang geschickt. Eine Moderatorin fand beim Gang Richtung Toilette einen Schlüsselanhänger samt USB-Stick. Chefs schafften sich selbst eine "Lex CEO", so die Schlussfolgerung der Interviewer.
Das zwiespältige Bild zwischen Respekt vor der Kompetenz und einer gewissen Abscheu vor dem konkreten Handeln des CISOs zeigt sich in den vier Typen, die Sicherheitsverantwortliche der Studie zufolge in den Augen ihrer Chefs verkörpern.
CISOs gelten als paranoid
-
Der Streiter der Sicherheit: Er ist einerseits eine anerkannte Instanz, die Vertrauen schafft und für die "sichere Seite" bei Entscheidungen steht. Andererseits sehen Manager ihn häufig als Bremser, der der Schnelligkeit des Markts hinterherhinkt.
-
Der mahnende Kontrolleur: Er gilt als wachsam und fürsorglich. CISOs mit diesem Image entwickeln Standards und bieten Schulungen an. Andererseits hält der Chef sie für paranoid und findet, der Sicherheitschef übertreibe Risiken.
-
Der kompetente Sicherheitsspezialist: Mit seiner hohen Fachkompetenz unterstützt er Kollegen und Führungsebene. Allerdings steht er im Ruf, Insellösungen zu entwickeln und nicht gerade stark ausgeprägte kommunikative Fähigkeiten zu haben.
-
Der selbstbewusste Vermittler: Er besitzt neben Fachwissen auch Kommunikationsgeschick und agiert auf Augenhöhe mit der Firmenleitung. Allerdings fürchten die Chefs seine Machtansprüche und sehen sich in Konkurrenz zu ihm.
CISO-Ausbildung muss soziale Kompetenzen schulen
Als Fazit aus der Studie zieht Known Sense, dass in der Ausbildung von Sicherheitsverantwortlichen die Eigenschaften des Managers stärker betont werden müssten. Neben Fachwissen seien Kompetenzen in Kommunikation und Psychologie wichtig.
Die Ergebnisse der Befragungen wurden unter dem Titel "Sicher von oben - Qualitative Imageanalyse CISO & Co." veröffentlicht. Mitherausgeber sind EnBW und paulus.consult. Zu den Förderern gehört außerdem die Munich Re.