Fünf Verhaltensweisen für einen effektiveren CISO-Job: Konflikte managen statt austragen
Die fachbereichsübergreifende Ausrichtung als Stabsstelle platziert CISOs an den Reibungspunkten verschiedenster Interessenlagen, wo Konflikte eher die Regel sind. Hier stehen sie vor weiteren Anforderungen, werden bei wichtigen Entscheidungen nicht rechtzeitig einbezogen und laufen Gefahr, zum gemeinsamen Feind der anderen Beteiligten zu werden.
Zwei grundlegende Erkenntnisse zur eigenen Rolle und drei Analogien aus dem Sport können CISOs helfen, ihren Job zielführender zu gestalten – und gleichzeitig sich das Leben leichter zu machen.
Die Rolle der Chief Information Security Officers (CISOs) in Unternehmen und Verwaltungen ist noch vergleichsweise jung. Seit den frühen Nullerjahren verzeichnet der Google Books Ngram Viewer einen drastischen Anstieg der Verwendung des Begriffs „CISO“. Während die englische und deutsche Wikipedia den Begriff seit 2006/2007 kennen, haben sich die Aufgaben der CISOs von einer rein technischen Tätigkeit in der IT-Sicherheit zu einer gehobenen Managementrolle weiterentwickelt.
Die ISO/IEC 27001 legt explizit oder implizit rund 25 verschiedene Richtlinien oder Policies zur Informationssicherheit fest. Zusätzlich gibt es unzählige Vorgaben für Prozesse, Systemkonfigurationen und Gerätespezifikationen – von Brandschutz über Personalabteilung bis hin zu Einkaufsprozessen. Dies verlangt von CISOs, dass sie in zahlreichen Bereichen mitreden und agieren, was jedoch nicht immer auf positive Resonanz stößt.
Für CISOs sind Konflikte unausweichlich. Sie entstehen durch menschliche Interaktionen, bei denen mindestens eine beteiligte Person eine Beeinträchtigung ihrer Interessen empfindet, vermutet oder tatsächlich erfährt und gleichzeitig versucht, diese Beeinträchtigung zu beseitigen. Angesichts der Vielzahl an Verantwortlichkeiten und Schnittstellen sind CISOs oft in Situationen involviert, die potenzielle Konflikte hervorrufen können.
Um diese Herausforderungen zu meistern, können CISOs zwei grundlegende Erkenntnisse zur eigenen Rolle nutzen:
1. Vergessen Sie das C in CISO
Die Bezeichnung „CISO“ als Chief Information Security Officer birgt potenziell Konfliktpotenzial. Das „C“ in CISO ist nicht dasselbe wie in CFO (Chief Finance Officer) oder gar in CEO (Chief Executive Officer). Während das „C“ in den letzten beiden Fällen eine Position ganz oben in der Hierarchie einer Organisation ausweist, verfügen CISOs oft nicht über die gleiche Machtfülle. In der Realität vieler CISOs ist das „C“ in ihrem Jobtitel vergleichsweise schwach, sodass es schriftlichen Weisungen oft weniger Durchschlagskraft verleiht, wenn CISOs diese zur Unterschrift beim Top Management vorlegen. Es ist wichtig zu erkennen, dass Diplomatie und Konsensfindung die wesentlichen Management-Werkzeuge im CISO-Alltag sind – weit vor Anweisungen und Konfrontationen.
Eine einfache Überlegung zeigt dies auf: Stellen Sie sich vor, Sie verstoßen künftig gegen eine beliebige Regel der Information Security Policy oder parken ab morgen entgegen der Parkordnung auf fremden Parkplätzen. Welche Handlung wird eher negative Reaktionen hervorrufen? Oder was passiert, wenn Sie neben den Parkplatzschildern für CEO, CFO und das restliche C-Level-Management ein Schild aufstellen lassen, auf dem „CISO“ steht? Die Macht von CISOs ist begrenzt, und man spart viel Kraft und Ärger, wenn man erkennt, dass Diplomatie und Konsensfindung die wesentlichen Management-Werkzeuge im CISO-Alltag sind – weit vor Anweisungen und Konfrontationen.
2. Es gibt nichts Gutes, außer man tut es
CISOs sollten proaktiv handeln und nicht auf andere warten. Oft trifft man in der Praxis auf Vorgänge, die auf Zuarbeit warten oder irgendwo im Prozessverlauf „stecken geblieben“ sind. In solchen Situationen ist es wenig hilfreich, einfach abzuwarten. Im Zweifel muss man dringenden Mails hinterhertelefonieren, um sicherzustellen, dass die Dinge erledigt werden. Das kann zwar auf Widerstand stoßen, aber es zeigt auch, dass man bereit ist, die Initiative zu ergreifen und die Dinge voranzutreiben.
Häufig führt es zu Konflikten, wenn man sich fragt, was alle anderen tun müssten. Eine vielversprechendere Frage ist, was man selbst (anders) machen kann, damit es im Prozessverlauf weitergeht. Diese Herangehensweise entspricht der besten psychologischen Tradition in der Konfliktbewältigung.
Das Verhalten anderer Menschen zu ändern, ist nicht nur für CISOs, sondern generell eine große Herausforderung. Manchmal ist es sogar unmöglich. Viele Situationen liegen nicht zuletzt aufgrund eines Machtdefizits außerhalb unseres Einflussbereichs. Allerdings haben CISOs – wie alle anderen Menschen – die volle Kontrolle darüber, wie sie selbst auf diese Situationen reagieren. Denn: Es gibt nichts Gutes, außer man tut es – selbst.
3. IT-Sicherheit ist ein Dauerlauf, kein Sprint
Die Fülle an Anforderungen der ISO/IEC 27001 ist erheblich. Zieht man die ISO/IEC 27002 zusätzlich zu Rate oder geht gar nach BSI IT-Grundschutz vor, scheint der Berg an Aufgaben unermesslich. In der Planung entstehen dann schier endlose Tabellen oder die Anzahl der unbearbeiteten Tickets im Security-Change Management schnellt rapide in die Höhe. Wer an den endlosen Listen mit Anforderungen, Zuständigkeiten und Zusammenhängen nicht scheitern will, muss sich vor allem auf den nächsten Schritt fokussieren. Wie bei einem Marathon ist es wenig hilfreich, sich am Start vom Loslaufen abhalten zu lassen, weil man nicht weiß, wie man die schweren letzten Kilometer überstehen soll. Die eigentliche Kunst besteht darin, unbeirrt immer einen Fuß vor den anderen zu setzen und sich Schritt für Schritt der Ziellinie zu nähern. Lieber mit wenig Tempo vorankommen, als schnell auf der Stelle zu treten.
Dazu gehört auch, dass man jede Maßnahme und jede Tätigkeit nicht danach beurteilt, wie schnell man sich auf das Ziel zubewegt, sondern ob. Es hilft beim ersten Schritt nicht, Meetings darüber abzuhalten, dass der 30.302te Schritt sehr schmerzhaft sein wird. Das ist ein Zukunftsproblem. Am Anfang ist jeder Schritt in die richtige Richtung gut, und insofern gilt auch hier: Es gibt nichts Gutes, außer man tut es.
Diese Analogie zum Laufen bedeutet auch, dass man lieber mit kleineren Schritten fortfahren sollte, als in der Planung großer Sprünge zu scheitern und nicht voranzukommen. Oft scheitern Policies oder Sicherheitsmaßnahmen, weil sie einen zu großen Sprung für alle Beteiligten bedeuten. Lieber man kommt praktisch voran als theoretisch schnell zu sein.
4. Security-Grundlinientennis
Nachdem man als CISO Laufen gelernt hat, kann man sich einer neuen Sportart widmen und der Frage zuwenden, wie wir Bälle, die uns täglich zugespielt werden, gekonnt im Spiel halten. Nachdem wir als CISO also unsere Position gefunden haben und geklärt ist, was wir selbst Schritt für Schritt tun können, um voranzukommen, geht es beim Security-Tennis darum, sich nicht im Tagesgeschäft zu verzetteln. Es geht nicht darum die Bälle besonders gekonnt und technisch ausgefeilt zu spielen. Vielmehr geht es darum, dass die Bälle einem nicht um die Ohren oder ins Aus fliegen oder wir sie – noch schlimmer – mit viel zu viel Krafteinsatz in eine erdnahe Umlaufbahn retournieren. Auch ist es in unserem Spiel nicht zielführend immer direkt zu punkten.
Dann will irgendwann niemand mehr mit einem spielen. Was jetzt gefragt ist, ist ein sicheres und für alle berechenbares Security-Grundlinientennis. Es geht darum, in allen Vorgängen im Spiel zu bleiben und sich und die Organisation darin zu trainieren, wie die Zusammenarbeit mit dem CISO aussieht. Das Ziel ist es, in allen Vorgängen eine angenehme Trainingspartnerschaft anbieten zu können. Erst wenn das Security-Grundlinientennis problemlos funktioniert, ist es Zeit für die hohe Kunst der CISO-Diplomatie.
5. Security-Tai-Chi
Erfahrene CISOs können von den Ansätzen des Tai-Chi profitieren, um Angriffe auf die CISO-Rolle oder das ISMS-Team abzuwehren. Die erste Technik des Security-Tai-Chi ist es, nicht in einen Angriff hineinzulaufen. Das unterbricht den Energiefluss und tut am Ende allen weh.
Besser ist es, die Angriffsenergie umzuleiten und den Angriff aus den Angeln zu heben, während die eigene Basis stabil bleibt. Ebenso wie im echten Tai-Chi ist es nicht leicht, den eher philosophischen Ansatz praktisch umzusetzen. Betrachten wir zwei Möglichkeiten, die dabei helfen können.
Die erste Möglichkeit ist es, eine vorgebrachte Kritik oder Vorbehalte zu bejahen, statt in eine Argumentation einzusteigen: „Ich verstehe Ihren Standpunkt. Vielen Dank.“ Betreibt man ein ISMS nach ISO/IEC 27001 kann man nachschieben: „Ich werde Ihren Standpunkt im nächsten Management-Review gern im Abschnitt Feedback berücksichtigen, und wir werden sehen, ob das Top-Management aufgrund ihrer Anmerkungen Änderungen am ISMS vornehmen lässt. Gern können Sie Ihren Standpunkt auf zwei Folien darstellen. Vielleicht wollen Sie persönlich mitkommen?“
Weichheit überwindet Härte. Diesem Ansatz folgt auch die zweite Möglichkeit, wie Security-Tai-Chi im Alltag aussehen kann. CISOs bekommen ungezählte Anfragen, ob dies oder jenes nicht möglich wäre, oder ob man bei den Sicherheitsvorgaben eine Ausnahme machen könne. Im Security-Tai-Chi gibt es nur noch eine Möglichkeit. Anträge auf unsichere Verhaltensweisen werden grundsätzlich genehmigt, statt sie abzulehnen und danach in einer Rechtfertigungsschleife festzuhängen.
Nun besteht die Kunst natürlich nicht nur darin, seitlich wegzutreten, sondern darin, den Fluss der Energie zu beeinflussen: „Klar, das ist kein Problem. Wir benötigen für die Genehmigung nur eine entsprechende Risikoanalyse mit einer Risikoakzeptanz durch den zuständigen Risk-Owner.“ „Für sowas haben wir im Projekt keine Zeit mehr.“ „Auch das ist kein Problem. Uns reicht eine schriftliche Notiz, dass die Projektleitung bis zum Abschluss der formellen Risikoanalyse mögliche Schäden billigend in Kauf nimmt. Eine Gegenzeichnung durch die Geschäftsführung oder eine Haftungsfreistellung durch die Rechtsabteilung wäre natürlich hilfreich. Sobald diese Dokumente vorliegen, dauert die Genehmigung durch uns nur ein paar Minuten.“
Auch in dieser zweiten Vorgehensweise schützt man den Energiefluss und leitet sie Energie an eine andere Instanz weiter. Man muss als CISO nicht alle Kämpfe selbst führen.
Fazit
Die Schritte, die CISOs dabei unterstützen, Konflikte zu meistern, stellen keine einzelnen Maßnahmen dar, sondern sind Teil eines Prozesses, um die eigene Rolle zu festigen und die Konfliktbewältigung stetig zu verbessern. Durch Diplomatie, proaktives Handeln und geschicktes Management können CISOs ihre Management-Rolle erfolgreicher ausfüllen und Konflikte effektiv bewältigen.
Eine vertiefte Auseinandersetzung mit dem Thema bietet das in der Edition <kes> bei Springer Vieweg erschienene Buch „Konfliktmanagement für Sicherheitsprofis“ oder ein gezieltes CISO-Coaching, um die eigenen Ziele Schritt für Schritt zu erreichen. Erfahrung und Übung sind entscheidend, um die Kunst des Security-Tai-Chi anzuwenden und Konflikte geschickt zu entschärfen. CISOs haben die Möglichkeit, die Herausforderungen in ihrem Berufsalltag mit den richtigen Werkzeugen und Ansätzen zu bewältigen und somit einen wertvollen Beitrag zur Informationssicherheit in Unternehmen und Verwaltungen zu leisten.
Sebastian Klipper, Geschäftsführer der Unternehmensberatung CycleSEC aus Hamburg