Für Keith, einen erfahrenen Cybersecurity-Profi aus New York City in seinen 40ern, gab es mehr als einen Grund, seinen Job hinzuwerfen - und vor allem seinen CISO hinter sich zu lassen. Dieser hatte den Security-Profi so unnachgiebig gepiesakt, bis dieser am Ende jede seiner E-Mails vierfach überprüfte, bevor er sie abschickte. Keith (dessen Name ein Pseudonym ist) gibt Einblicke: "Bis zu einem gewissen Grad war es Mikromanagement. Dazu kam dann noch eine unmögliche Art und Weise, mit Menschen umzugehen. Verbale Degradierungen waren an der Tagesordnung. Und dabei kann keine Rede von allgemeinem Frust sein: Beleidigungen und Schuldzuweisungen waren spezifisch an einzelne Teammitglieder gerichtet. Zudem war er ein Spalter und bevorzugte einzelne Personen mit 'Spezialaufträgen', während er die anderen im Dunkeln ließ. Wir waren auf dem Papier ein Team und doch fühlten sich alle isoliert."

Jinan Budge ist Principal Analyst bei Forrester Research in Australien und hat sich über Jahre hinweg mit dem Thema toxische Cyberkultur auseinandergesetzt. Auf Grundlage ihrer Recherchen führt die Analystin die Zustände auf verschiedene Faktoren zurück: "Cybersecurity ist immer noch ein relativ junges Feld, in dem viele darum kämpfen, gehört und respektiert zu werden. Einige versuchen dann ihre Unsicherheiten mit einer Art 'Messias-Komplex' zu überspielen. Zudem wird SecuritySecurity von vielen Unternehmen intern als eine Art 'notwendiges Übel' wahrgenommen, was sich negativ auf die Moral von Cybersecurity-Teams und -Entscheidern auswirkt."

Darüber hinaus, so die Analystin, seien Teams im Security-Bereich im Regelfall deutlich kleiner als die in den übrigen Abteilungen - was sich in einer engeren Zusammenarbeit zwischen Team und Führungskraft niederschlage: "Die Mitarbeiter bekommen deswegen den Frust ihres CISOs wesentlich ungefilterter und direkter zu spüren. Und in der Cybersicherheit haben emotionale Kompetenzen - im Gegensatz zu technischen SkillsSkills - oft keine Priorität. People Skills - was ist das?"

Toxische Führung - und ihre Konsequenzen

Diverse Studien dokumentieren den negativen Impact einer toxischen Arbeitsatmosphäre auf Produktivität, RecruitingRecruiting und MitarbeiterbindungMitarbeiterbindung.

In einer Umfrage des Softwareanbieters Tines unter mehr als 1.000 Security-Profis in den USA und Europa gaben etwas mehr als 60 Prozent an, dass ihr Stresspegel im letzten Jahr gestiegen ist und ihre psychische Verfassung die Ausübung ihrer Tätigkeit beeinträchtigt.

Eine Studie von MIT Sloan (die nicht speziell auf Cybersecurity gemünzt ist), kommt zum Ergebnis, dass eine toxische Arbeitskultur unter anderem negative Bewertungen auf Arbeitgeberportalen sowie eine überdurchschnittliche Fluktuation nach sich zieht.

Das kann auch Keith bestätigen, der das Verhalten seines Chefs als zeitweise hinterlistig und beängstigend kategorisiert: "Es war einfach demütigend. Egal, wie viel Zeit und Mühe man auch in seine Aufgaben investiert hat, es war nie genug." Die Zustände trieben den Cybersecurity-Profi an den Rand des Burnouts - die Probleme aus der Firma verfolgten ihn auch nach Feierabend und wirkten sich nach einiger Zeit auch negativ auf sein Familienleben aus, wie er preisgibt: "Mir ging es gesundheitlich sehr schlecht. Ich war depressiv. Als ein Familienmitglied dann schwer erkrankte, habe ich das zum Anlass genommen, mich krankschreiben lassen - einfach, um nicht mehr dort sein zu müssen."

An seinem Tiefpunkt angekommen, verließ Keith das Unternehmen im Jahr 2023 - nachdem er sich zuvor einen neuen Security-Job gesucht hatte. Eine Erkenntnis aus der Erfahrung mit einem toxischen CISO: "Ich nehme lieber 20 oder 30 Prozent weniger Gehalt in Kauf, als noch einmal unter einer solchen Führungskraft zu arbeiten."

Dabei gefährden toxische Sicherheitsentscheider jedoch nicht nur den Erfolg ihres Teams und treiben die Mitarbeiterfluktuation. Sie setzen durch ihr Verhalten auch ihre Organisationen erhöhten Risiken aus - argumentiert zumindest Forrester-Analystin Budge: "Wenn das Team mit gegenseitigen Schuldzuweisungen und internen Intrigen beschäftigt ist, bleibt Arbeit liegen. Man kann also durchaus davon sprechen, dass ein toxischer CISO auch ein Cyberrisiko darstellt."

Ein ganz wesentliches Problem bei toxischen CISOs: Das Kernproblem sind sie selbst - und das zu realisieren, fällt schwer. Nicole Turner, Gründerin und Spezialistin für Arbeitsplatzkultur und Führungscoaching, durfte diese Art der Kurzsichtigkeit im Rahmen eines ihrer Führungstrainings hautnah miterleben: "Ein Nicht-Security-Executive bekam das Gefühl, dass seine Abteilungsleiter Nachhilfe in Sachen Führung brauchen und hat mich für ein Seminar gebucht. Während das dann lief, stellte sich in Gesprächen seiner Mitarbeiter heraus, dass eigentlich dieser Executive ein viel größeres Problem als alles andere war. Die Ironie der Dinge…", erinnert sich die Inhaberin einer Beratungsagentur.

Sie zeigt jedoch auch Verständnis für CISOs, die für eigene Fehler blind werden: "Es stimmt, dass es an der Spitze einsam ist - ganz besonders in einem wettbewerbsintensiven Umfeld. Sicherheitsentscheider können sich kaum jemandem anvertrauen. Sie sind Führungskräfte und fühlen sich oft nicht wohl dabei, mit Problemen auf ihre Kollegen zuzugehen. Oft auch weil unklar ist, wem man vertrauen kann. An den CEO können sie sich ebenso wenig wenden - aus Angst, das könnte sich negativ auf ihr Standing auswirken."

Entgiftungsmaßnahmen für CISOs

Für die Beraterin stellen toxische CISOs deshalb eher ein Symptom für eine branchenübergreifende Problemstellung dar: "Diverse Unternehmen befördern Menschen mit spezifischem Fachwissen in Führungspositionen. Dabei vergessen sie allerdings, auch auf breiter angelegte Führungsqualitäten wie Kommunikation und emotionale Intelligenz zu achten." Eigentlich gehe es bei Führung im Kern darum, Mitarbeiter zu befähigen, zu inspirieren und zu motivieren. Aber die Organisationen betrachteten Leadership nicht auf diese Art und Weise und entwickelten auch ihre Führungskräfte nicht so, kritisiert Turner und fügt an: "Mit den richtigen Tools zur Karriereentwicklung ließe sich das ändern."

Sie empfiehlt Unternehmen deshalb, die Leadership-Skills ihrer Führungskräfte entsprechend zu schärfen - beispielsweise durch Coaching oder im Rahmen von Mentoring-Programmen. Nicht ganz uneigennützig ergänzt die Führungstrainerin, dass auch die Einbindung eines Dienstleisters den CISOs unter Umständen ein ehrlicheres Feedback zu ihrem Führungsstil liefern könne. Auch für die Sicherheitsentscheider selbst hat Turner noch einige "Entgiftungstipps" auf Lager. Demnach sollten CISOs, die nicht oder weniger toxisch werden wollen:

ihre Eigenwahrnehmung in den Fokus nehmen, um potenziell negative Muster zu erkennen.

Mentoren in ähnlichen Führungspositionen aufsuchen, die ehrliches Feedback und eine andere Perspektive bieten können.

Damit schließt sich der Kreis zu Keith. Wie der Security-Profi rückblickend feststellt, hat ihn seine persönliche Erfahrung mit einem toxischen CISO karrieretechnisch paradoxerweise sogar weitergebracht: "Ich habe inzwischen ein paar junge Leute unter mir, die gerade ihre erste Stelle angetreten haben. Von ihnen bekomme ich regelmäßig sehr gutes Feedback, sie fühlen sich gehört und verstanden. Ich habe also scheinbar tatsächlich gelernt, wie man sich als Führungskraft auf keinen Fall verhalten sollte."