4 Fragen vor dem CISO-Job

Der Bewerbungsprozess ist nicht für Unternehmen eine Gelegenheit, den passenden Kandidaten zu finden. Auch die Job-Aspiranten sollten abwägen, ob die in Aussicht stehende Stelle beziehungsweise das dazugehörige Unternehmen wirklich zu ihnen passt.

Das ist für CISOs umso wichtiger, schließlich zeigen aktuelle Studienerkenntnisse, dass die Job-Zufriedenheit der Sicherheitsentscheider sinkt: So sind laut dem “State of the CISO 2023/2024“-Report ganze 75 Prozent der befragten CISOs offen für einen Jobwechsel – im Vorjahr lag dieser Wert noch bei 67 Prozent. Als wesentlichen Grund dafür nennen die Studienautoren neue und erweiterte Anforderungen an die CISO-Rolle.

Sicherheitsentscheider in spe tun also gut daran, sich beziehungsweise ihrem potenziellen Arbeitgeber die richtigen Fragen zu stellen, bevor sie einen Job antreten. Nur so lassen sich rote Flaggen erkennen und aufreibende Erfahrungen vermeiden. Die folgenden vier Fragestellungen sind dafür ein guter Anfang.

1. “Warum suchen Sie einen CISO?”

Geht es nach George Kauye, Regional Director beim Personaldienstleister Michael Page, sollten CISO-Jobkandidaten vor allem hinterfragen, warum ihr potenzieller neuer Arbeitgeber einen CISO einstellen möchte: “Wird ein Nachfolger für den bisherigen CISO gesucht oder handelt es sich eventuell um eine Reaktion auf einen Sicherheitsvorfall? Sind Sie möglicherweise als erster CISO überhaupt vorgesehen? Aus der Reaktion auf diese Fragestellungen lässt sich bereits einiges über den Reifegrad des Unternehmens und seine Herangehensweise an die IT-Sicherheit ablesen.”

Cybersecurity-Expertin und Ex-McKinsey-Beraterin Julie Chatman warnt CISOs insbesondere davor, bei Unternehmen anzuheuern, deren Ziel es ist, mit einer CISO-Rolle ein Security-Lippenbekenntnis abzugeben. Um dem entgegenzuwirken, empfiehlt sie: “Es lohnt sich, die Geschichte eines Unternehmens in Bezug auf Cybersecurity und entsprechende Vorfälle in diesem Bereich zu durchleuchten. Dabei sollten Sie insbesondere darauf achten, wie das Unternehmen in der Vergangenheit mit problematischen Situationen im Bereich Cybersichrheit umgegangen ist – und wie das in der Öffentlichkeit wahrgenommen wurde.”

2. “Geht das grundsätzlich zusammen?”

Möglicherweise beißen sich die strategischen Vorstellungen eines CISO-Kandidaten sowie seine allgemeine Einstellung zu Cybersicherheit mit denen eines einstellenden Unternehmens. Laut Manager Kauye ist ein Bewerbungsgespräch die optimale Gelegenheit, um Diskrepanzen dieser Art zu Tage zu fördern: “An dieser Stelle die Unterschiede zu erkennen und zu verstehen, kann eine gute Perspektive darüber eröffnen, mit welchen potenziellen Herausforderungen CISO-Aspiranten in ihrer Rolle konfrontiert werden. Mögliche ideologische Differenzen zu erkennen, ist angesichts kommender Compliance-Vorschriften inzwischen noch wichtiger.”

Die geplante NIS2-Richtlinie der Europäischen Union wird Unternehmen beispielsweise zusätzliche Anforderungen an die Cybersicherheit auferlegen, die auch Vorstand und Führungskräfte mit einbeziehen. Bob Zukis, CEO und Gründer der C-Level-Plattform Digital Directors Network, empfiehlt CISO-Aspiranten deshalb, sich den Vorstand des potenziellen Arbeitgebers genauer anzusehen und herauszufinden, wie es um dessen Cyber-Knowhow bestellt ist: “Verfügt der Vorstand überhaupt über Cyberfachwissen? Falls nicht, würde ich empfehlen, am besten direkt zu flüchten. Darüber hinaus ist die Frage wichtig, wer die Cybersicherheit auf Vorstandsebene regelt und sicherstellt, dass der CISO nicht zum Sündenbock verkommt. Wenn Vorstand oder Führungsteams Sicherheitsentscheidern nicht den Rücken stärken, sind diese auf sich allein gestellt.”

Für Sicherheitsexpertin Chatman ist für die langfristige Job-Zufriedenheit von CISOs vor allem von Bedeutung, ob der Security-Ansatz des Unternehmens mit dem eigenen in Einklang steht: “Der Job als CISO kann ungemein herausfordernd sein. Um das auch in Extremsituationen durchzuhalten, sollte man als CISO das Gefühl haben, einen Beitrag leisten zu können.”

3. “Wie sieht das Security-Team aus?”

Darüber hinaus sollten CISOs in spe natürlich auch ihr künftiges Team beziehungsweise dessen Struktur und Umgebung durchleuchten. Laut Chatman könne das dazu beitragen, die allgemeine Kompatibilität abzuklopfen: “So erhalten Sie Anhaltspunkte darüber, wie effektiv sich die Zusammenarbeit gestalten wird, welche Ressourcen zur Verfügung stehen und ob es Raum für Wachstum gibt.”

Die Ex-Beraterin empfiehlt darüber hinaus, auch den Reifegrad des Sicherheitsteams, seine Kompetenzen und die konkrete Zusammensetzung zu erfragen: “Handelt es sich um eine gute Mischung aus erfahrenen und jungen Mitarbeitern? Wenn die Leute im Team schon viele Jahre oder Jahrzehnte dabei sind, kann sich das ebenso negativ auswirken wie ein Team, das nur aus Greenhorns besteht.”

4. “Handelt es sich um eine echte C-Level-Rolle?”

Ohne Frage rückt das Thema Cybersicherheit weltweit zunehmend in den Fokus. Trotzdem haben viele CISOs allerdings immer noch Mühe, einen Platz am Vorstandstisch zu “ergattern”: Die eingangs zitierte Studie zeigt beispielsweise auch, dass 27 Prozent der befragten Sicherheitsentscheider den Job wechseln würden, wenn sie keine aktiven Board- oder Geschäftsleitungsmitglieder wären.

“Die Rolle des CISO ist insofern einzigartig, als sie das Wort ‘Chief’ im Titel trägt, es sich aber in vielen Fällen nicht um eine echte C-Level-Rolle handelt. Stattdessen berichten Sicherheitsentscheider oft an eine andere C-Level-Führungskraft”, konstatiert Chatman und fügt hinzu: “Das ist ein bisschen so, als säße man als Erwachsener beim Weihnachtsessen am Kindertisch.” (fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Die Top CISOs in Deutschland

Foto: Kuka

Nach seiner Tätigkeit in verschiedenen Sicherheitsbehörden des öffentlichen Dienstes hat Thomas Franke bei ZF im Bereich der Unternehmenssicherheit und anschließend in der Informationssicherheit verschiedene globale Projekte verantwortlich durchgeführt. 2017 hat er die Position des CISO und DPO in der Kuka Group übernommen.

Foto: KEB Automation

Gernot Zauner ist seit 2023 als CISO für die Informationssicherheit bei KEB Automation zuständig. Bereits zuvor war er in verschieden Positionen im IT-Security-Bereich tätig.

Foto: Häfele

Daniel Feinler ist bereits seit mehr als elf Jahren bei Häfele für den IT-Bereich zuständig. Im Mai 2023 hat er die Rolle des CISO übernommen.

Foto: Versicherungskammer Bayern

Bodo Dobronski und Heike Tschabrun sind seit 2017 die CISOs des Konzerns Versicherungskammer. Bodo Dobronski hat einen Universitätsabschluss der TU Dresden als Informatiker, Heike Tschabrun einen Abschluss als Sozialwirtin der Fachhochschule Ravensburg.

Foto: Henkel

Stefan Braun ist bereits seit 2008 bei Henkel. Als CISO ist er seit 2021 für die IT-Sicherheit zuständig. Zuvor war er im IT Audit, der IT und im Konzerncontrolling tätig. Seine Berufslaufbahn begann er bei Accenture und Procter & Gamble nach einem Studium der Informatik an der RWTH Aachen und dem INSA Lyon.

Foto: Schufa Holding AG

Seit Ende 2022 ist Christopher Ruppricht als CISO für die IT-Sicherheit bei der Schufa verantwortlich. Zuvor war er als als CISO für paydirekt zuständig.

Foto: Max Imbiel

Zum 1. Oktober trat Max Imbiel seine neue Stelle als Deputy Group CISO bei der Online-Bank N26 an. Seine Aufgabe im CISO Office von N26 ist es, das Unternehmen bestmöglich gegen Cyberbedrohungen aufzustellen und die Daten und Informationen von Kunden sowie Mitarbeitern zu schützen. Imbiel hat einen Computer Science and Economics Bachelor-Abschluss in Computer Science and Economics.

Foto: Holger Bajohr-May

Holger Bajohr-May begann seine Karriere bei den Technische Werke Ludwigshafen am Rhein bereits vor 25 Jahren mit der Ausbildung zum Industriekaufmann. Vom PC-Techniker über den SAP-Anwendungsbetreuer arbeitete er sich hoch und ist seit diesem Jahr CISO.

Foto: GEA Group

Iskro Mollov ist seit 2020 der Group CISO und Vice President Security, Business Continuity and Crisis Management bei GEA Group. In seiner Funktion berichtet er an den Vorstand sowie an den Prüfungsausschuss der Aufsichtsrates und verantwortet ganzheitlich die Sicherheitsbereiche: Informationssicherheits-Governance, IT-Sicherheit, OT-Sicherheit, Produkt-Sicherheit, Physische Sicherheit, HR Sicherheit, Sicherheit in der Lieferkette, Sicherheit digitaler Medien sowie übergreifend Business Continuity Management (BCM) und Krisenmanagement.

Foto: Vorwerk Gruppe

Seit Juli 2021 ist Florian Jörgens CISO der Vorwerk Gruppe. Neben dieser Tätigkeit ist er seit seinem Master-Abschluss 2015 unter anderem an diversen Hochschulen als Dozent, Autor und wissenschaftlicher Mitarbeiter tätig. Weiterhin hält er Fachvorträge rund um die Themen Informationssicherheit, Awareness und Cyber-Security. Florian Jörgens wurde im September 2020 vom CIO-Magazin mit dem Digital Leader Award in der Kategorie „Cyber-Security“ ausgezeichnet.

Foto: Bauer Global Technology

Hendrik Janssen zeichnet seit Juli 2016 als CISO und Global Technology Director Security bei Bauer Global Technology verantwortlich. Er war 12 Jahre lang Soldat auf Zeit bei der Bundeswehr im Bereich Cybersicherheit.

Foto: Ralf Kleinfeld

Begonnen hat Ralf Kleinfeld bei Otto vor über elf Jahren als Teamlead Network and Security. Seit neun Jahren ist er nun als Department Manager Information Governance für die Informationssicherheit verantwortlich. Kleinfeld hat Abschlüsse vo der Quadriga University of Applied Sciences in Berlin und der Technische Universität Kaiserslautern.

Foto: Allianz Technology

Fabian Topp ist CISO bei Allianz Technology. Er ist ISO 27001 Lead Implementer, Lead Auditor und CISM zertifiziert. Er besitzt Universtätsabschlüsse in Politologie wie auch Rechtswissenschaften.