Editorial : Spagatkünstler, Akrobaten, Leistungssportler*
CISOs jonglieren täglich mit widersprüchlichen Anforderungen – gefragt sind technisches Know-how, Führungsstärke und umfassende Unterstützung.
„Ideale“ CISOs brauchen viele Standbeine, um sich im turbulenten Unternehmensalltag sicher positionieren zu können: technisches Wissen und Managementfähigkeiten, berufsbedingte Paranoia und innovationsförderndes Denken, Verantwortungsgefühl und Risikobereitschaft, Idealismus und Realismus, weitblickende Strategie und reaktionsschnelles Krisenmanagement, lückenlose Deckung und Mangelverwaltung, Fachsprache und allgemeine Kommunikationsfähigkeiten und so weiter und so fort. Und mit allen diesen vielen Standbeinen möge er oder sie dann bitte kräftig in den Spagat gehen, um den allseitigen Anforderungen gerecht zu werden.
Wer in einer komplexen Umgebung sowie unter Zeit- und Ressourcendruck bei der allzu üblichen Erwartung eines dreifach geschraubten Salto Mortale rückwärts dann auf den Füßen statt auf dem Bauch landen will, benötigt auch als gut trainierte(r) Super(wo)man jedes Quentchen interner Unterstützung, die möglich ist. Denn von außen ist wenig Hilfe zu erwarten: Die „dunkle Seite“ hat naturgemäß Interesse an einem Scheitern. Und selbst prinzipiell richtige und gut gemachte Regulierung verschärft im Übergang womöglich erst einmal die Lage, wo allzu lange das Prinzip Hoffnung (oder Mangel) regiert hat – von gelegentlich zu beobachtenden halbgaren oder unklaren Compliance-Anforderungen ganz zu schweigen.
Gefragt sind also einerseits so viel Ressourcen wie angemessen, erforderlich oder zumindest möglich, die notwendigen Entscheidungsbefugnisse oder zumindest ein immer offenes Ohr und Wohlwollen statt Misstrauen seitens der letztlich Verantwortlichen sowie nicht zuletzt die uneingeschränkte Unterstützung durch das Management – entweder institutionalisiert oder (besser: und) auf persönlicher Ebene. Teil 2 unserer Expertenbefragung (S. 24) führt deren Empfehlungen auf, wie sich CISO & Co. sowie die Sicherheitsorganisation im aktuellen Geschehen möglichst gut aufstellen können.
Gefragt sind andererseits aber auch eine organisationsweite Sicherheitskultur und ein grundlegendes Verständnis und Wohlwollen seitens aller Beteiligten (Mitarbeiter, Lieferanten, Partner, Aufsichtsbehörden usw.), damit die akrobatischen Leistungssportler nicht auch noch zu Einzelkämpfern mutieren müssen. Ansonsten drohen ein vorzeitiges Karriereende durch Burn-out und eine weiter verminderte Verfügbarkeit entsprechender Kräfte (vgl. S. 76 sowie 2025# 1, S. 3 und S. 69), die dann letztlich zur weiteren Verschärfung der Sicherheitslage beiträgt.
Wie in jedem Leistungssport sind zudem aber auch in der Security nachvollziehbare Bewertungskriterien gefragt, um Schwierigkeitsgrade (Bedrohungen), Training (Maßnahmen), Erfolge (Abwehr) et cetera messbar zu machen. Hierzu dient sich der frisch überarbeitete „Measurement Guide for Information Security“ (SP 800-55) des US-amerikanischen NIST an – mehr dazu ab S. 58.
Norbert Luckhardt