Gastbeitrag
11.10.2022, 15:31 Uhr
Lehren für CISOs von der Front
CISOs mit Burnout sind keine Seltenheit. Die IT-Branche, die sich das wirklich nicht leisten kann, verliert erfahrene Mitarbeiter, die durch Müdigkeit, Stress und internes Gezänk an ihre Grenzen gestossen sind. Viele CISOs haben das Gefühl, dass ihr Job sie überfordert.
CISOs sind vor Burnout nicht gefeit. Zur Prophylaxe gehört auch die Selbstfürsorge
(Quelle: Shutterstock/Kaspars Grinvalds)
Kürzlich habe ich einen befreundeten CISO zum Mittagessen getroffen, nennen wir ihn «M». Im Schatten des Krieges gegen die Ukraine und vor dem Hintergrund der militärischen Erfahrungen M’s sprachen wir über die Analogien zwischen Cybersicherheit und militärischem Denken. Schliesslich geht es in beiden Fällen um die Kontrolle von Risiken, das Erreichen von Zielen und die Verwaltung von Ressourcen in einer feindlichen Umgebung.
Die Rolle von Führung
Die Aufgabe einer Führungskraft besteht ganz offensichtlich darin, zu führen. Es gibt jedoch viele Möglichkeiten, dies zu tun – einige sind weniger stressig als andere.
Im Krieg gegen die Ukraine hat die russische Armee mehrerer Generäle verloren. Sie hatten sich in aktive Kampfgebiete begeben, um ein besseres Bild der Lage zu erhalten, Aktivitäten zu lenken und die Moral zu heben. Keines dieser Ziele haben sie erreicht.
Man könnte sich fragen, warum sie sich in die Schusslinie begeben mussten. Die Antwort offenbart ein tieferes Problem. Die Kultur der russischen Streitkräfte besteht darin, auf detaillierte Befehle zu warten. Dies unterscheidet sie deutlich von vielen anderen Streitkräften, denen sowohl Ziele vorgegeben werden als auch die Erlaubnis, sich an die Umstände vor Ort anzupassen. Das Fehlen dieser lokalen Befugnisse und entsprechenden Vertrauens erforderte die Anwesenheit der russischen Führung an der Front.
Wenn wir das Thema aus der Perspektive der Cybersicherheit betrachten, sollten wir uns fragen, ob es möglich ist, dass sich die CISOs in ähnlicher Weise in eine gefährliche Lage begeben. Auch bei CISOs können Stress und Überforderung die Fähigkeit zu strategischem Denken und Handeln beeinträchtigen. Dies ist oft darauf zurückzuführen, dass sie in die operativen Aspekte ihrer Rolle eingebunden sind und sich mit der Reaktion auf Vorfälle, der Beaufsichtigung von Problemlösungen und den Kleinigkeiten vieler sicherheitsrelevanter Entscheidungen beschäftigen.
Könnten CISOs ihre Lebensqualität verbessern, wenn sie sich von der Cyberfront distanzieren und ihren Mitarbeitern die Freiheit geben würden, innerhalb bestimmter Grenzen unabhängig zu operieren? Dazu müssten Erwartungshaltungen und Vorgehensweisen sowohl «nach oben» als auch «nach unten» geändert werden.
Nach oben muss zum Beispiel der Druck gemindert werden, der von CIOs/COOs/CEOs ausgeht, die ständig über alles Mögliche informiert werden wollen, indem man einen praktikablen Zeitplan aufstellt, an dem sich die Mitarbeiter orientieren können.
Nach unten müssen Parameter für unabhängiges Handeln und Eskalationsprozesse festlegt werden. Zudem müssen Beziehungen zwischen Management und operativen Mitarbeitern etabliert werden, die letzteren die nötige Rückendeckung bei Interaktionen mit den Abteilungen im Unternehmen geben.
Diese Ziele sind nicht einfach zu erreichen, aber ohne sie wird ein CISO ständig in lokale Feuergefechte hineingezogen. Das erhöht den Stress und untergräbt seinen Status im Management, indem es die Wahrnehmung des CISOs als Macher und nicht als Führungskraft fördert.
Schutz und Zuweisung von Ressourcen
M hatte auch zum Ressourcenmanagement Aufschlussreiches zu berichten. Aus militärischer Sicht, so M, sei es immer wichtig, eine Reservetruppe zu haben, um flexibel zu sein. Die Reserve kann feindliche Durchbrüche verhindern, Löcher in der Linie stopfen oder Erfolge konsolidieren. Ihr Fehlen bringt den Kommandeur in eine schwierige Lage.
Wenn etwas wider Erwarten passiert (was, wie wir alle wissen, so ziemlich immer der Fall ist), muss die Führungskraft Ressourcen umverteilen. Dies kann sich in mehrfacher Hinsicht negativ auswirken: Die Umsetzung geplanter Aktivitäten wird beeinträchtigt, die Umverteilung erfordert Zeit, bestehende Initiativen werden geschwächt und die neu zugewiesenen Mitarbeiter werden unter Stress gesetzt, da sie von ihren Spezialgebieten abgezogen werden, um einen unmittelbaren Bedarf zu decken.
Auch hier sind die Parallelen zur Cybersicherheit offenbar. Wie viele von uns setzen tagtäglich all ihre Ressourcen ein, sowohl persönlich als auch organisatorisch, und halten nichts zurück, um sich auf Veränderungen einstellen zu können, mit unerwarteten Zwischenfällen umzugehen oder strategisch zu denken? Mir ist das Szenario sicher vertraut. Meine ganze Energie und Zeit floss in die unmittelbaren Anforderungen der Aufgabe, sodass die Wochenenden meine einzige Insel der Ruhe waren. Ich erkannte nicht, wie wichtig die Reserve war, weder für mein Team noch für mich selbst.
Den Vorteil planen
Mein Gespräch mit M hat mich zum Nachdenken angeregt, und er hat mir verschiedene Ratschläge mit auf den Weg gegeben, die es wert sind, wiederholt zu werden, so offensichtlich sie auch sein mögen. Wenn wir eine lange Karriere als Sicherheitsverantwortliche anstreben, müssen wir den Stress, der mit dieser Rolle verbunden ist, in den Griff bekommen. Nehmen Sie die Selbstfürsorge deshalb ernst:
- Ermächtigen Sie Ihre Mitarbeiter, unabhängig zu handeln. Geben Sie ihnen die Werkzeuge, die Beziehungen und das Vertrauen, die sie benötigen, um im besten Interesse der Organisation zu handeln. Und lassen Sie ihnen dann den Raum zum Lernen, indem sie die Verantwortung für ihre eigenen Urteile und Handlungen übernehmen. Auch wenn es dabei zu Problemen kommen kann, bauen Sie ein viel fähigeres Team auf und identifizieren künftige Führungskräfte.
- Lassen Sie nicht zu, dass Sie ständig für operative Aufgaben eingespannt werden. Nutzen Sie die eingesparte Zeit für Ihre persönliche Entwicklung, für tiefere Einsichten in das Geschäft und für den Aufbau von Beziehungen, die die Fähigkeiten Ihres Teams für künftige Herausforderungen stärken werden.
- Kümmern Sie sich schliesslich um Ihr eigenes körperliches und geistiges Wohlbefinden. Lange Arbeitszeiten, stressige Vorstandspräsentationen und die Gewährleistung der Sicherheit eines Unternehmens beanspruchen einen Menschen stark. Planen Sie Zeit für Sport und Bewegung ein. Nehmen Sie sich Zeit für eine Auszeit vom Büro. M hat einen neuen Personal Trainer, und er hat sich sogar mit mir zum Mittagessen verabredet. Wenn er das kann, können Sie das auch!
Der Autor
Andrew Rose ist Resident CISO EMEA bei Proofpoint. Er bringt praktische Erfahrung, Wissen und eine frische Perspektive in das Risikomanagement und die Verbesserung der Cybersicherheitslage in komplexen Unternehmen ein. www.proofpoint.com