Der Report mit dem schönen Namen "Aus der Abwehr in den Beichtstuhl - qualitative Wirkungsanalyse CISO & Co" blickt in die Psyche der IT-Experten und ist ein Gemeinschaftswerk von ENBW, Known-Sense, Pallas, SAP, Sonic-Wall, Steria Mummert Consulting und Trend Micro. Er zeigt die paradoxe Anforderung, mit der CISOs in ihrer Arbeit konfrontiert werden. Sicherheitsverantwortliche agieren gespalten: sie müssen Sicherheitsrisiken eingehen, um insgesamt für eine stabilere Sicherheitskultur zu sorgen.
Wie der aktuelle Forschungsbericht aufdeckt, produzieren gerade Entsicherungen Sicherheit. An welcher Stelle jedoch Entsicherung vertretbar ist, hängt von der jeweiligen Strategie der CISOs ab. Also ob eher der Typus "Columbo", "Mutter Theresa" oder "Fräulein Rottenmeier" beim Security-Spezialisten ausgeprägt ist.
Weniger wert als die Putzfrau
Als Schwierigkeit ihrer Aufgabe sehen viele CISOs, selber nichts Konkretes zu produzieren, das vorzeigbar ist und an dem man die eigene Wirksamkeit erleben und demonstrieren kann. IT-Sicherheit ist zwar notwendig, bietet aber keinen offenkundigen Mehrwert. Die frustrierte Aussage eines der Befragten steht für die generelle Auffassung: "Selbst die Putzfrau trägt mehr bei, indem sie dafür sorgt, dass das Gebäude nicht schmutzig ist und die Kunden sich wohl fühlen."
Diese Unzufriedenheit kommt nicht von ungefähr: CISOs werden als Vertreter einer anderen, unbekannten und unfassbaren Welt mit eigener Sprache und Ordnung betrachtet. Diese Sonderstellung geht mit einer gewissen Form der Entrückung vom Unternehmensbetrieb einher. Die Herkunft der Fachleute bezeichnet die Studie als "digitalen Untergrund". Die Tätigkeit als CISO und damit das Abtauchen in den Untergrund führt in Teilen zu einer Digitalisierung menschlich-paradoxer Verhaltens- und Erlebensweisen. Spontanes, Impulsives, Hitziges, Triebhaftes oder Menschliches hat hier offenbar kaum noch Platz.
Während die anderen Mitarbeiter in Wirkungen, Bildern und Geschichten denken und dadurch ein "analoges Prinzip" pflegen, ist der CISO beauftragt, die Gesamtheit der Unternehmensprozesse in die Sparten "Sicheres" und "Gefährliches" zu ordnen. Was aus seiner Sicht wie zum Beispiel das Zwischenmenschliche ein Risiko darstellt, bedeutet umgekehrt für den User Inspiration und Förderung der Arbeitsfähigkeit.
Der CISO sieht sich mit der Aufgabe konfrontiert, eher ein digitales Prinzip umzusetzen und zugleich einen Umgang mit den gegensätzlichen, menschlich-paradoxen Tendenzen zu finden. Das führt zu einer inneren Spaltung, so dass die anderen Mitarbeiter zu ihm entweder verängstigt auf Distanz gehen oder aber ihn und sein Anliegen nicht ernst nehmen. Der Security-Verantwortliche hat dann häufig das Gefühl, wie ein Sonderling behandelt zu werden. Einer der Befragten klagte: "Ich bin die ärmste Sau im Betrieb. Freunde habe ich nicht."
Austausch mit Mitarbeitern ist das Problem vom CISO
Die Sicherung gegen Angreifer von außen scheint für den CISO weniger ein Problem darzustellen. Der gleichberechtigte Austausch mit den eigenen Mitarbeitern ist schon ein anderes Kaliber. Das Grundproblem des Security-Spezialisten ist nicht das Leben im digitalen Untergrund, sondern der Austausch mit der analogen Wirklichkeit.
Die Studie beschreibt unterschiedliche Strategien der Betroffenen, die wiederum unterschiedliche Wirkungen im Unternehmen hinterlassen und zahlreiche bekannte Images und Typen zu Tage fördern. Das digitale Prinzip wird durch den eher divenhaften Typus "Zentrale Kontroll-Instanz" oder auch "Fräulein Rottenmeier" repräsentiert. Das analoge Prinzip dagegen zeichnet sich als "Helfer-Syndrom" oder "Mutter Theresa" durch den Sicherheits-Service aus.
Der dritte Typus "Streetworker" oder auch "Columbo" versetzt sich in die Lage der Mitarbeiter und versucht, seine Interessen auf dieser Ebene ohne Fachchinesisch zu vermitteln. Er entsichert sich sogar selbst, weil er durchaus bereit ist, Risiken in Kauf zu nehmen, um der analogen Sichtweise der Mitarbeiter zu begegnen - er lebt das Paradox.
Anders als die beiden anderen Strategien setzt letztere nicht auf eine Spaltung, sondern auf ein Verzahnen der beiden Prinzipien "Analog" und "Digital". Das vermittelnde Verhalten erzeugt Eigenart und Profil, Akzeptanz und Loyalität. Denn IT-Security steht auf drei Beinen: Technik, Organisation und Unternehmenskultur, wobei gerade die kulturelle Komponente das Wirken des CISO prägt.
Die Psychologen wünschen sich für die Konstruktion wie auch für die Vermittlung von Sicherheitskultur einen stärkeren Austausch und Wandel zwischen analogen und digitalen Prinzip. Außerdem betonen sie die Notwendigkeit von Führung, Involvement und einer Übersetzung von Sicherheitsthemen für ein breiteres Verständnis auf Seiten der Mitarbeiter. Den CISOs empfehlen sie deshalb einen Blick von außen.
Sicherheit ist nicht nur Compliance
Wirksame und nachhaltige Sicherheit heißt nicht nur, dass man vorher festgelegte Richtlinien einhält. CISOs müssen es schaffen, in ihrem Unternehmen eine Marke zu bilden.
Für die Studie "Aus der Abwehr in den Beichtstuhl" wurden 30 CISOs befragt. Dabei ging es um Kennzahlen und weniger um das Technische oder Organisatorische der IT-Sicherheit, sondern mehr um das Menschliche und Unternehmenskulturelle. Die Probanden hatten ein Jahreseinkommen von mindestens 54.000 Euro und verantworteten jeweils einen Etat für die Sicherheit in ihrem Unternehmen.