Kompetenzerhalt für CISOs: Weiterbildungsstrategien zwischen Regulatorien und Praxis

Die Position des Chief Information Security Officer hat sich grundlegend gewandelt: Sie ist längst nicht mehr auf technische Aspekte beschränkt. Genau genommen war sie das nie, wurde jedoch lange Zeit vor allem als eine technische Funktion verstanden. Heute gilt der CISO als zentrale Figur für die unternehmerische Resilienz.

Angetrieben von immer komplexeren Regulierungen wie NIS-2, DORA oder dem Cyber Resilience Act sowie flankiert von disruptiven Technologien wie künstlicher Intelligenz (KI), Cloud-Diensten oder Post-Quantum-Kryptografie und einer zunehmend aktiven Bedrohungslandschaft, wächst der Druck auf die Sicherheitsverantwortlichen in den Unternehmen spürbar.

Es genügt längst nicht mehr, lediglich über Sicherheitsmaßnahmen zu wachen. CISOs müssen strategisch agieren, rechtliche Zusammenhänge bewerten, technische Entwicklungen im Blick behalten und kommunikativ überzeugen, um ihre Organisationen widerstandsfähig aufzustellen.

Doch wie sollen sie in diesem anspruchsvollen Umfeld den Anschluss halten? Die Antwort ist eindeutig: durch gezielte, kontinuierliche und praxisnahe Weiterbildung. Diese darf kein bloßes Zusatzangebot sein, sondern muss integraler Bestandteil der Aufgabe sein – unterstützt durch die Geschäftsleitung.

Im Kontext der CISO-Aufgaben geht es schon längst nicht mehr darum, ein einfaches „Mensch ärgere Dich nicht“ zu spielen. Stattdessen gleicht der Job einer Schachpartie auf höchstem Niveau – und das auf mehreren Ebenen gleichzeitig.

Moderne Weiterbildungsformate

Die Weiterbildung für CISOs ist heute ebenso vielfältig wie ihre Aufgaben. Zwar bilden klassische Formate wie Zertifikatskurse – etwa CISM, CISSP oder ISO/IEC 27001 – weiterhin eine wichtige Grundlage. Doch oft genügt das allein nicht mehr. Erst praxisnahe Ansätze schaffen echten Mehrwert, denn nur wer die zugrunde liegenden Prinzipien und Zusammenhänge wirklich versteht, kann im Ernstfall gezielt handeln – und auch in ruhigeren Zeiten strategisch sinnvoll und nachhaltig agieren.

Gefragt sind heute Formate, die realistische Anforderungen praxisnah simulieren, von der Führungsebene verstanden werden und zugleich ein passendes Wording vermitteln. Sie müssen sowohl technologische als auch regulatorische Entwicklungen reflektieren.

Solche Formate sind zum Beispiel:

• kompakte Online-Seminare mit Live-Simulationen zu Themen wie KI-Risiken, Cyberkrisen oder Lieferkettenanalyse
• Tabletop-Übungen mit Relevanz für Vorstände und Geschäftsführung – zum Beispiel nach Ransomware-Angriffen oder DORA-Stresstests. Der perfekte erste Ansatz,
  um grundlegende Vorgehensweisen einzuschleifen, ohne direkt ans Eingemachte zu gehen.
• Peer-Gruppenformate mit anderen CISOs, zum Beispiel European Cyber Security Organisation (ECSO), KRITIS-Beirat oder der Allianz für Cyber-Sicherheit. Der Austausch von Erfahrungen, Perspektiven und Lösungsansätzen ist heute wichtiger denn je.
• Führungskräftetraining zur Kommunikation mit Gremien, Umgang mit Behörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI), der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sowie mit weiteren Stakeholdern. Der CISO sollte immer auch Dolmetscher zwischen der Technik und der Geschäftsleitung sein.
• Inhouse-Schulungen oder Shadowing im eigenen Unternehmen zu Themen wie DevSecOps, Cloud-Sicherheitsprüfungen oder Data Loss Prevention.
• Zunehmend etabliert sich zudem das Format hybrider Programme mit Leadership-Komponenten.

Was CISOs wissen müssen – heute und morgen

Das Lernspektrum für CISOs ist breit und reicht von rechtlichen Anforderungen über technische Innovationen bis hin zu strategischen und psychologischen Aspekten. Die Übersicht in Tabelle 1 zeigt zentrale Themen, die für Sicherheitsverantwortliche heute und in Zukunft relevant sind.

Im Training haben sich besonders Inhalte als wirksam erwiesen, die reale Szenarien praxisnah abbilden. Dazu zählen beispielsweise Übungen auf Basis des MITRE ATT&CK-Frameworks, die mit realistischen Angriffsszenarien arbeiten. Wer die Angriffswege versteht, kann sich gezielter schützen und erkennt offene Schwachstellen deutlich schneller. Der CISO übernimmt dabei auch die Rolle eines Verteidigungsstrategen, wobei der Fokus nicht nur auf digitalen Angriffen liegen sollte, sondern ebenso physische oder kombinierte physisch-digitale Angriffsvektoren einbezogen werden sollten.

Ebenfalls hilfreich sind Simulationen von Audits, Krisen- oder Reportingsituationen, um die Kommunikation auf Vorstandsebene zu trainieren. Frühzeitig aufgedeckte und beseitigte Kommunikationslücken sorgen im Ernstfall für deutlich schnellere Reaktionen. Zudem bieten Fallstudienanalysen realer Sicherheitsvorfälle, wie etwa bei Colonial Pipeline, Swissport oder MOVEit, wertvolle Erkenntnisse. Anstatt das Rad immer wieder neu zu erfinden, können CISOs so aus den Fehlern und Erfahrungen anderer Organisationen lernen.

Lernen im Alltag

Aber Weiterbildung findet längst nicht nur im Seminarraum statt, sondern geschieht vielfach unbemerkt im Arbeitsalltag. CISOs, die regelmäßig aus Audits, Vorfällen oder Benchmarks lernen, bauen ihre Kompetenz systematisch aus, zum Beispiel durch:

• „Lessons Learned“-Zyklen nach Sicherheitsvorfällen, sowohl intern als auch im Austausch mit Netzwerken
• Auditvorbereitung als Kompetenztest, da jedes Audit bisher unbekannte Schwachstellen aufdeckt
• Review-Meetings mit Stakeholdern aus Bereichen wie IT, Einkauf oder Rechtsabteilung, um potenzielle Reibungsverluste frühzeitig zu erkennen
• Self-Assessments, beispielsweise auf Basis von BSI-Checklisten oder NIS-2-Reifegradmodellen, um den eigenen Status zu prüfen

Entscheidend dabei ist: Die besten CISOs verstehen Lernen als Teil ihrer Führungskultur. Sie fordern es aktiv von sich selbst ein und machen es in ihrer Organisation sichtbar. Sie lesen Berichte nicht nur, sondern übersetzen deren Inhalte. Sie führen nicht nur, sondern reflektieren ihr Handeln kontinuierlich.

Die Rolle der Peer-Learnings

„Man muss nicht jeden Fehler selbst machen, aber man muss jemanden kennen, der ihn gemacht hat.“ So oder so ähnlich wird es schon an der Uni gelehrt. Peer-Learning ist einer der unterschätzten Hebel für das CISO-Wachstum. Gerade industrieübergreifend, aber auch in spezifischen Runden aus der eigenen Branche kann hier ein enormer Mehrwert geschaffen werden.

Aber wonach soll man konkret Ausschau halten? Gerade im Security-Umfeld ist das gezielte Netzwerken bei vielen keine Stärke. Umso wichtiger sind klare Strukturen und Formate, die diesen Austausch erleichtern.

Geeignete Plattformen für Peer-Learning sind zum Beispiel:

• Teilnahme an CISO-Roundtables und Boards
• Vertrauliche Austauschgruppen („Trust Circles“)
• Teilnahme an „Threat Intelligence Sharing“-Plattformen
• Veröffentlichung eigener Lessons Learned in Fachtagungen oder Whitepapers Diese Formate ermöglichen gezielte Kompetenzspiegelung und realistische Standortbestimmung.

Auch das Mentoring gewinnt an Bedeutung: Junge CISOs profitieren enorm von erfahreneren Sparringspartnern. Dabei ist es erst einmal nachgeordnet, ob formal im Verband oder informell.

Hier ein paar Beispiele für entsprechende Netzwerke:

• Allianz für Cyber-Sicherheit – CISO-Community: www.allianz-fuer-cybersicherheit.de
• CISO Alliance: www.ciso-alliance.de/
• ECSO: https://ecs-org.eu/
• LinkedIn-Gruppen zum Thema

Und was ist mit KI?

Künstliche Intelligenz verändert auch die Weiterbildung selbst. CISOs nutzen KI-basierte Plattformen zur Simulation von Vorfällen, zur Entwicklung individueller Lernpfade oder zur automatisierten Analyse von Audit-Ergebnissen.

Zum Einsatz kommen dabei etwa adaptive Learning-Tools, die eine Risikobewertung nach DORA oder NIS-2 ermöglichen, ebenso wie KI-generierte Bedrohungsszenarien für Trainings im Bereich Incident Response. Auch Sprachmodelle – sogenannte Large Language Models (LLMs) – dienen inzwischen als interaktive Coaching-Partner, während KI-gestütztes Red- und Blue-Teaming praxisnahe Übungen zur Erkennung von Sicherheitslücken erlaubt.

Allerdings gilt es, bei der Nutzung von KI stets kritisch zu bleiben. Nicht jeder Output einer KI ist verlässlich – sogenannte Halluzinationen, also falsche oder erfundene Inhalte, treten nach wie vor regelmäßig auf. Weiterbildung bleibt deshalb ein Führungsthema, das menschliche Expertise und kritische Reflexion erfordert. Ein Chatbot allein ersetzt keinen erfahrenen Lehrmeister.

Fazit

CISOs, die den Anspruch haben, ihre Organisation resilient zu halten, müssen bei sich selbst anfangen. Weiterbildung ist dabei kein Luxus und keine stumpfe HR-Maßnahme – sie ist strategisches Rüstzeug – also Hilfe zur Selbsthilfe. Heute und in Zukunft. Wer sich als Sicherheitsverantwortlicher nicht selbst regelmäßig weiterentwickelt, verliert den Anschluss – technisch, kommunikativ und menschlich.

Ein moderner CISO lernt nicht „on top“, sondern „mittendrin“. Genau darin liegt die Zukunft der Sicherheitsführung: Dranbleiben – mit der nötigen Leidenschaft für kontinuierliches Lernen.