Interview

Führung in der Cybersicherheitsbranche

LinkedInXingPocketWhatsAppFlipboard

Die Rolle einer Führungskraft im Bereich Cybersicherheit hat sich in den letzten Jahren stark verändert. Das hat zu einem mit der Entwicklung der Bedrohungslandschaft als solcher zu tun und zum anderen mit den technologischen Fortschritten. Wenn man sich bei der Betrachtung aber ein Mal nur auf die Führungsrolle konzentriert, wird sie ihrem Anspruch gerecht, verglichen mit anderen Wirtschaftszweigen? 

Für erfahrene Sicherheitsexperten und Führungspersönlichkeiten auf dem Gebiet der Cybersicherheit scheint das bisher weniger ein Thema zu sein. Ausnahmen bestätigen die Regel, aber wenn man IT-Sicherheitsabteilungen in einen „idealen Staat“ verwandeln will gibt es noch einiges zu tun. Das sieht zumindest Malcolm Harkins so, Chief Security and Trust Officer bei Cylance/BlackBerry Cylance.

Anzeige

Sie beschäftigen sich nicht zum ersten Mal mit dem Thema Führung und Führungspositionen in der Cybersicherheit. Sie hatten zudem reichlich Gelegenheit aus der Nähe zu beobachten wie die Branche sich verändert hat, insbesondere was die Führungsebene anbelangt. Was interessiert Sie so sehr an diesem Thema?

Malcolm Harkins: Das sind im Wesentlichen zwei Aspekte. Ich habe mich schon immer darauf konzentriert meine eigenen Führungsqualitäten auf- und auszubauen. Umso mehr als ich zutiefst überzeugt bin, dass diese Branche als Ganzes echte Führung oftmals vermissen lässt. Auch auf der CISO-Ebene bestehen aus meiner Sicht echte Defizite. Sowohl, was das Einnehmen einer Führungsrolle anbelangt als auch was den nötigen Geschäftssinn betrifft.

Eine der besten Definitionen des Begriffs Führung ist aus meiner Sicht diese: „Führung besteht in der Kunst andere im Sinne der gemeinsamen Bestrebungen zu motivieren.“ Das hat nichts mit Macht und wenig mit Autorität zu tun. Wenn man die Definition auseinandernimmt, dann haben sie die Bemühung als solche, und sie haben dieses Bestreben mit anderen und im Dienste einer gemeinsamen Sache, eines gemeinsamen Anliegens zu kooperieren. Das funktioniert nur mit einem Rahmenwerk. Das Rahmenwerk, das ich entwickelt habe, ist das Resultat von mehreren Jahrzehnten, in denen ich mich immer wieder mit diesem Thema beschäftigt habe. Im Grunde wird es von drei Prinzipien getragen: Ich glaube daran. Ich fühle mich zugehörig. Ich engagiere mich dafür. Wenn Sie diese Aussagen für sich bejahen, egal ob als Angestellte/r, als Manager oder in einer gehobenen Führungsposition, sind Sie wahrscheinlich genau da, wo es für Sie und Ihre Karriere gerade am besten ist.

Wenn Sie eine verpflichtende Bindung zu jedem Einzelnen und zum gesamten Team herstellen wollen, müssen Sie dazu eine bestimmte Kultur etablieren, ein bestimmtes Arbeitsklima fördern. Und eine Umgebung schaffen, in der jeder Mitarbeiter, jede Mitarbeiterin einen Schritt zurücktreten und diese Aussagen für sich mit Leben füllen kann: „Ich trage die Leitlinien des Unternehmen mit, ich vertraue dem Management und meinen Kollegen und Kolleginnen. Ich glaube an mich selbst und ich fühle mich hier zugehörig.“ Wenn Ihnen das gelingt, und Sie dazu Unternehmenskultur, Kommunikation und Arbeitsumgebung mit den Jobanforderungen in Einklang bringen, dann ist der Rest vergleichsweise einfach.

Die Rolle eines CISO hat sich allein in den letzten Jahren enorm verändert. Offensichtlich haben sich „Führung“ oder die „Führungsrolle“ nicht im gleichen Maße verändert. Woran liegt das?

Malcolm Harkins: Das ist verhältnismäßig einfach zu beantworten. Führung unterscheidet zwischen reiner Bewegung und (echtem) Fortschritt. Haben wie beispielsweise in der Cybersicherheit Fortschritte gemacht? Auf der Makro-Ebene betrachtet haben wir im Großen und Ganzen keine Fortschritte gemacht. Jemand, der eine Führungsposition innehat kann zwischen Bewegung und Fortschritt unterscheiden. Wenn wir es in der Cybersicherheit wirklich mit Führung zu tun hätten, wäre uns das bewusst geworden. Und wir hätten das verändert, was wir tun und wie wir es tun um wirklichen Fortschritt zu ermöglichen. Es gibt Teile der Branche, die damit begonnen haben, und es gibt CISOs, die diese Doktrin in ihrem Unternehmen schon umsetzen. Wenn sich aber die wachsenden Risiken und deren Eskalation ansehen, dann ist die Spirale ziemlich außer Kontrolle geraten. Wir haben ein Führungsproblem.

Was hat der vielbeschworene Begriff der „emotionale Intelligenz“ damit zu tun?

Malcolm Harkins: Eine ganze Menge wie ich finde. Denken Sie an die Grundprinzipien über die wir schon gesprochen haben. Die haben sehr viel mit emotionaler Intelligenz zu tun. Studienergebnisse konstatieren ein weiteres Anwachsen der Qualifizierungslücke, eine weiter steigende Fluktuation des Personals, und vielerorts herrscht bereits seit langem ein Fachkräftemangel. Das betrifft zum Teil Tools und Technologien. Zu einem weitaus größeren aber betrifft es die Arbeitsbedingungen und die vorherrschende Unternehmenskultur. Es gibt Studien, die belegen, dass CISOs den Job wechseln, weil sie nicht mehr davon ausgehen, dass sich die Führungsebene und das Unternehmen grundsätzlich um Cybersicherheit kümmern (wollen).

Wenn also eine breite Unterstützung seitens der Unternehmensführung fehlt, was heißt das für den betreffenden CISO? Er kämpft heute an zwei Fronten. Da sind auf der einen Seite externe Bedrohungsakteure und eine Bedrohungslandschaft, in der ein CISO sehr viel an Boden bereits verloren hat. Und auf der anderen Seite muss er sich intern mit Budgets, viel Bürokratie und traditionell-etablierten Verhaltensweisen herumschlagen. Studienergebnisse belegen auch, dass rund 40 % derjenigen, die in die Cybersicherheit gehen, einen moralischen Anspruch mit ihrem Job verbinden und diesen Anspruch verwirklicht sehen wollen. Diese Mitarbeiter wollen sicher sein, dass es einen Unterschied macht, ob sie da sind oder nicht. Die anderen 60 % mögen eher von einer finanziellen Motivation geleitet sein. Aber die meisten Daten aus der Personalwirtschaft belegen, dass eine sinnvolle Tätigkeit und ein entsprechendes Arbeitsumfeld letzten Endes mehr zählen als die Honorierung.

Das hört sich für mich so an als gebe es einen direkten Zusammenhang zwischen dem Mangel an talentierten Jobaspiranten, der Qualifizierungslücke und dem Mangel an echter Führung in der Branche. Würden Sie dem zustimmen?

Malcolm Harkins: Absolut. Aber lassen Sie uns genauer hinsehen. Warum haben wir derzeit eine Arbeitskräftemangel im Multi-Millionenbereich? Auf der einen Seite wachsen die Risiken und Unternehmen haben nicht die ausreichenden Mittel um sie in den Griff zu bekommen. Eine andere Lesart wäre: wir haben es mit einem Fachkräftemangel zu tun, weil wir nicht genug getan haben um die Risiken zu senken oder zu beseitigen. Die meisten Arbeitskräfte fehlen bei der Aufdeckung von Bedrohungen, und eine Personallücke klafft in Security Operations Centern. Der Fachkräftemangel in unserer Branche hat viel damit zu tun, dass es uns nicht gelungen ist, Risiken in ausreichendem Maße zu managen. Diese Analogie sollte man nicht außer acht lassen. Nehmen wir an es gäbe einen Fachkräftemangel bei Feuerwehreinsatzkräften. Rührt er daher, dass wir eine gute Brandschutzvorsorge getroffen haben? Oder doch vielleicht eher daher, dass es zu viele Brände gibt und wir es im Gegenteil versäumt haben, entsprechende Brandschutzvorkehrungen zu treffen? Es gibt eine Reihe von Problemen in der Arbeitswelt, die sich besser lösen ließen, würde man die Risiken besser kontrollieren.

Wie sähe Ihrer Meinung nach der „ideale Staat“ in einer Cybersicherheitsorganisation vom interpersonellen Standpunkt betrachtet aus?

Malcolm Harkins: Wenn Sie die beschriebene Art von Umgebung schaffen können, wird es für einen Head of Security oder Information Risk deutlich einfacher diesen Führungsansatz in der täglichen Arbeitsroutine mit seinem Team umzusetzen. Gehen Sie davon aus, dass ein CISO und das gesamte Management uns dabei unterstützen, das Beste aus unserem Job zu machen und Risiken für Unternehmen und Kunden zu senken? Und wie tun sie das maßgeblich? Ein eher autoritärer Führungsstil eignet sich nicht, wenn man ein Arbeitsumfeld schaffen will, dem sich die Angestellten zugehörig fühlen. Führungskräfte müssen diese Voraussetzungen schaffen. Sie sind der Dreh- und Angelpunkt, um diese Kultur zu etablieren.

Was können angehende CISOs, Führungspersönlichkeiten in der Cybersecurity dazu tun?

Malcolm Harkins: Zunächst sollten man sich selbst die eingangs erwähnten Fragen stellen. „Ich habe die Position eines CISO inne. Glaube ich wirklich an meine Rolle? Fühle ich mich zugehörig? Macht meine Tätigkeit, mache ich einen Unterschied für das Unternehmen?“ Wenn sie diese Fragen für sich nicht mit „Ja“ beantworten können, kommunizieren Sie offen und transparent mit der Führungsriege des betreffenden Unternehmens und bringen Sie diese dazu sich dieselben Fragen zu stellen. Und wiederholen Sie die Prozedur mit den Mitarbeitern, die an vorderster Front stehen. Finden Sie heraus an welchen Stellen es genau hapert. Alle müssen sich gleichermaßen diesen Fragen stellen: sie selbst, das Führungsteam und jeder einzelne Mitarbeiter. Meine Vermutung ist, dass wenn Sie diesen Ansatz durchspielen, sich eine Linearität dessen zeigt, was die Probleme eigentlich verursacht hat. Hat man dieses Assessment auf allen Ebenen durchgespielt, hat man hoffentlich die nötigen Daten und Informationen, um die Probleme zu adressieren. Allein diesen Dialog anzustoßen trägt dazu bei, eine Kultur des “I believe. I belong. I matter.” zu etablieren.

Malcolm HarkinsMalcolm Harkins, Chief Security and Trust Officer bei Cylance/BlackBerry Cylance, www.cylance.com


Anzeige

Weitere Artikel

Cyber & Cloud Security
Sicheres Management von SSH-Schlüsseln am Beispiel PuTTY
Cyber & Cloud Security
VASA-1: Microsofts neue KI ist ein Deepfake-Horrorszenario
Cyber & Cloud Security
Chefetagen sehen in IT-Security keine Wettbewerbsvorteile
Cyber & Cloud Security
Wird Open Banking die Zukunft des Finanzwesens verändern?
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.