Chief Information Security Officer

Der CISO verdient eine halbe Million Dollar im Jahr

Heinrich Vaske ist Editorial Director von COMPUTERWOCHE und CIO. Seine wichtigste Aufgabe ist die inhaltliche Ausrichtung beider Medienmarken - im Web und in den Print-Titeln. Vaske verantwortet außerdem inhaltlich die Sonderpublikationen, Social-Web-Engagements und Mobile-Produkte und moderiert Veranstaltungen.
Chief Information Security Officers (CISOs) sind echte Großverdiener - zumindest in den USA. Das zeigt eine Analyse der weltweiten Personalberatung Heidrick & Struggles, die CIO.de exklusiv vorliegt.
Nur wenige CISOs wollen CIO werden.
Nur wenige CISOs wollen CIO werden.
Foto: Gorodenkoff - shutterstock.com

Die für IT-SicherheitIT-Sicherheit zuständigen Führungskräfte verdienen demnach in den Vereinigten Staaten durchschnittlich 509.000 US-Dollar, wobei das Grundgehalt sich auf 326.000 Dollar und die Bonuskomponente auf 153.000 Dollar beläuft. Das zeigt der "2021 Global Chief Information Security Officer (CISO) Survey" von Heidrick & Struggles, in dessen Rahmen im März und April dieses Jahres weltweit 354 CISOs interviewt wurden. Von diesen stammen 259 aus den Vereinigten Staaten, wo die Position des CISO etablierter ist als in vielen anderen Ländern. Alles zu Security auf CIO.de

Die in den vergangenen Jahren nur in den USA vorgenommene Erhebung wurde 2021 erstmals auch auf andere Länder in Asien, Kontinentaleuropa und Großbritannien sowie Afrika ausgedehnt. Damit stand nun auch eine Gruppe von CISOs deutscher Unternehmen Rede und Antwort. Kristin van der Sande, Partnerin der globalen Technology & Services Practice von Heidrick & Struggles, stellt fest, dass die Bedeutung der CISO-Funktion stark wachse, was sich in den steigenden Gehältern widerspiegele. "In Europa und Deutschland erreichen die Einkommen aber noch nicht dieses hohe Niveau, obwohl wir auch hier feststellen, dass Führungskräfte, die im Feld der Cybersecurity gute Fähigkeiten nachweisen, exzellente Karrierechancen besitzen, die dann auch an ein hohes Einkommen gekoppelt sind."

An wen CISOs in ihrem Unternehmen idealerweise berichten sollten, ist noch immer umstritten. Momentan sind sie zu 38 Prozent beim CIO aufgehängt. Weitere 16 Prozent berichten an den Chief Technology Officer (CTO), zwölf Prozent an den Chief Operating Officer (COO) und elf Prozent direkt an den CEO. Der große Rest (23 Prozent) berichtet an andere Funktionen. Van der Sande findet das nicht überraschend, IT-Sicherheit sei traditionell im IT-Ressort aufgehängt und nehme dort eine immer wichtigere Rolle ein. In Ausnahmefällen, wenn nämlich die IT-Sicherheit eine übergeordnete Rolle spiele oder es sich um kleinere Betriebe handele, berichte der CISO auch schon mal direkt an die Geschäftsführung.

CISO-Karriere

Der Karriereweg des CISO ist relativ klar vorgezeichnet. Zu 68 Prozent hat er eine Laufbahn im IT-Bereich absolviert, wenige IT-Sicherheitschefs kommen auch aus dem Software Engineering (sieben Prozent) oder dem Finanzbereich (zwei Prozent). Zudem handelt es sich um eine vornehmlich männliche Domäne: 87 Prozent der von Heidrick & Struggles Befragten sind Männer, neun Prozent Frauen, alle anderen gaben zu dieser Frage keine Auskunft.

Die Personalberater wollten auch wissen, auf welche Bereiche sich die IT-Sicherheitsexperten konzentrieren. Dabei waren Mehrfachnennungen möglich. 47 Prozent nannten als erste Priorität die Netzwerk- und Cloud-Sicherheit, 38 Prozent das Identitäts- und Zugangsmanagement (IAM). Es folgen Datensicherheit (35 Prozent), Anwendungssicherheit (27 Prozent) und Endgerätesicherheit (13 Prozent).

Fokus auf Identitäts- und Zugangsmanagement

In Kontinentaleuropa, so berichtet Kristin van der Sande, seien andere Prioritäten festzustellen: "Der Fokus liegt hier eindeutig auf dem Identitäts- und Zugangsmanagement vor der Netzwerk- und Cloud-Sicherheit sowie an dritter Stelle der Datensicherheit." Die beiden letzteren Kategorien genießen demnach eine ähnliche Priorität.

Wer berichtet an den CISO? Laut der Studie sind es in jeweils 90 Prozent der Fälle die Verantwortlichen für Penetration Testing, die Security-Architektur und den Security-Betrieb. Die Zuständigen für Governance, Risk und Compliance sind dem CISO in 88 Prozent der Unternehmen unterstellt, die für Produkt- und Anwendungssicherheit in 85 Prozent. Allerdings steigt die Bedeutung des letzten Punkts derzeit signifikant. Das sind die mit Abstand meistgenannten Rollen. Andere Funktionen wie beispielsweise Business Continuity (37 Prozent) oder Datenschutz (21 Prozent) liegen weit dahinter zurück.

Welche weiteren Karrierepläne hegen CISOs? Den Personalberatern zufolge erhoffen sich 47 Prozent einen Sitz im Vorstand. Die Personalberater halten das keineswegs für vermessen, da die Bedeutung der Cybersicherheit mit der Zunahme digitaler und vernetzter Produkte, Services und Infrastrukturen permanent steige - und damit auch die Verantwortung des CISO. Außerdem säßen die Sicherheitschefs schon jetzt häufig in den wichtigsten Gremien und Beiräten, der letzte Schritt sei nicht mehr so groß.

Interessant ist, dass nur wenige CISOs ihre Zukunft in der Rolle des CIO sehen. Obwohl - wie gesagt - immerhin 38 Prozent an den CIO berichten, halten nur zwölf Prozent die Position des CIO für sich als erstrebenswert. Tatsächlich wissen die meisten CISOs gar nicht so genau, wie ihr nächster Karriereschritt aussehen kann, da die CISO-Funktion noch sehr jung und einem ständigen Wandel unterworfen ist. Viele (44 Prozent) können sich vorstellen, nicht nur die Informations-, sondern auch die physikalische Sicherheit in einem Konzern zu verantworten.

Zur Startseite