(openPR) „Woher komme ich? Was bin ich? Wo gehe ich hin? Mehr noch: Auf welche Weise? Auf welchen Wegen?“ Die heute von der EnBW, known_sense, Pallas, SAP, SonicWALL, Steria Mummert Consulting und Trend Micro publizierte tiefenpsychologische Security-Studie ‚Aus der Abwehr in den Beichtstuhl – qualitative Wirkungsanalyse CISO & Co.’ zeigt, dass sich die existenziellen Fragen der Sicherheitsverantwortlichen auf den ersten Blick nicht von den klassischen Reflexionen anderer Berufstätiger unterscheiden. Dennoch steckt im Detail das große Besondere, das gerade Sicherheitsverantwortliche so unverwechselbar macht – etwa die paradoxe Anforderung, mit der CISOs (Chief Information Security Officers) in ihrer Arbeit konfrontiert werden. Sie agieren in einer Spaltung, weil sie spüren, dass Sicherheitsrisiken eingegangen werden müssen, um insgesamt für eine stabilere Sicherheitskultur zu sorgen. Denn – das zeigt die aktuelle Forschung ebenso wie die Vorgängerstudie ‚Entsicherung am Arbeitsplatz’ – Entsicherungen produzieren Sicherheit. An welchen Stelle jedoch Entsicherung vertretbar ist, hängt von der jeweiligen Strategie des CISOs ab und z.???davon, ob eher der Typus „Columbo“, der Typus „Mutter Teresa“ oder der Typus „Fräulein Rottenmeier“ ausprägt ist.
Zunächst reagierten die meisten Probanden allerdings recht ungläubig auf das Forschungsvorhaben. „Was? Es interessiert sich jemand für unseren Beruf“, heißt es in der Regel erstaunt beim Erstkontakt der Sicherheitsbeauftragten mit den Psychologen. Andererseits wird aber auch ein ausgesprochenes Mitteilungs- und Verstehensbedürfnis der CISOs spürbar. „Es fällt auf“, berichtet die Projektleiterin, Diplom-Psychologin Ankha Haucke, „dass die Probanden durchaus mit einem Anliegen in das Interview kommen. Fast alle scheinen etwas über sich und ihren Berufsstand sagen, aber auch erfahren zu wollen.“ Man wolle sich offenbar als CISO behaupten, erhoffe sich eine Würdigung des eigenen Handelns und zeige gleichzeitig eine deutliche Neugier zur Sichtweise anderer. Ein O-Ton: „Ich bin sehr gespannt auf das Interview. Es soll ja wohl mehr um das Persönliche beim Job gehen. Vielleicht kann ich zu der Sache beitragen und hinterher auch erfahren, wie es anderen damit ergeht.“
Als Schwierigkeit ihrer Aufgaben sehen viele CISOs, selber nichts Konkretes zu produzieren, das vorzeigbar wäre und an dem man die eigene Wirksamkeit erleben und demonstrieren könnte. IT-Sicherheit ist zwar unbestritten notwendig, erzeugt aber keinen offenkundigen Mehrwert. Eine frustrierte Aussage lautet: „Selbst die Putzfrau trägt dazu mehr bei, indem sie dafür sorgt, dass das Gebäude nicht schmutzig ist und die Kunden sich wohl fühlen.“
Leiden im Untergrund
Diese Unzufriedenheit überrascht nicht: CISOs, das zeigt die Studie deutlich, werden als Vertreter einer anderen, einer unbekannten und unfassbaren Welt mit eigener Sprache und Ordnung betrachtet. Diese Sonderstellung geht mit einer gewissen Form der Entrückung vom Unternehmensbetrieb einher. Die Herkunft des CISOs lässt sich als ‚Digitaler Untergrund’ bezeichnen. Die Tätigkeit als CISO und damit das Abtauchen in den Untergrund führt teilweise zu einer Digitalisierung menschlich-paradoxer Verhaltens- und Erlebensweisen der Sicherheitsverantwortlichen. Spontanes, Impulsives, Hitziges, Triebhaftes, Menschliches hat hier offenbar kaum noch Platz.
Während die Mitarbeiter in Wirkungen, Bildern und Geschichten denken, so die Studie, und hiermit ein ‚analoges Prinzip’ pflegen, ist der CISO beauftragt, die Gesamtheit der Unternehmensprozesse in Sicheres und Gefährliches zu ordnen. Was aus Sicht des CISOs ein Risiko darstellt – z.B. das (Zwischen-) Menschliche –, bedeutet für den User umgekehrt Inspiration und Förderung der Arbeitsfähigkeit. Der CISO sieht sich nämlich mit der Aufgabe konfrontiert, eher ein ‚digitales Prinzip’ umzusetzen und zugleich einen Umgang mit den gegensätzlichen, menschlich-paradoxen Tendenzen zu finden. Dies führt zu einer inneren Spaltung des CISOs, so dass die Mitarbeiter zu ihm entweder ängstlich auf Distanz gehen oder aber ihn und sein Anliegen nicht ernst nehmen. Der CISO hat dann häufig das Gefühl, wie ein Sonderling behandelt zu werden: „Ich bin die ärmste Sau im Betrieb. Freunde habe ich da nicht“.
Die Sicherung gegen Angreifer von außen scheint also für den CISO weniger ein Problem darzustellen als der gleichberechtigte Austausch mit den eigenen Mitarbeitern. Sein Grundproblem ist nicht das Leben im ‚digitalen Untergrund’, sondern der Austausch mit der ‚analogen Wirklichkeit’.
Vor dem Hintergrund des Umgangs mit diesem Grundproblem beschreibt die Studie unterschiedliche (menschliche) CISO-Strategien, die wiederum unterschiedliche Wirkungen im Unternehmen hinterlassen und zahlreiche bekannte Images und eben Typen zu Tage fördern. Durch die Typisierung der CISOs lässt sich die Lösung des Grundproblems darstellen, wobei die Psychologen betonen, das sämtliche Typen nicht in der dargestellten Reinform existieren, sondern als ‚verschiedene (strategische) Gesichter’ eines CISOs zu verstehen sind. Das so genannte ‚digitale Prinzip’ wird durch den eher divenhaften Typus ‚Zentrale Kontrollinstanz’ alias ‚Fräulein Rottenmeier’ repräsentiert, das ‚analoge Prinzip’ durch den ‚Sicherheits-Service’, der sich durch ein ‚Helfer-Syndrom’ (‚Mutter Teresa’), auszeichnet. Der dritte Typus ‚Streetworker’ (oder auch ‚Columbo’) versetzt sich in die Lage der Mitarbeiter und versucht, seine Interessen auf dieser Ebene zu vermitteln. Er entsichert sich sogar selbst, weil er durchaus bereit ist, Risiken in Kauf zu nehmen, um der analogen Sichtweise der Mitarbeiter zu begegnen. Er lebt das Paradox. Diese Strategie setzt – anders als die die beiden anderen – nicht auf Spaltung, sondern auf ein Verzahnen der beiden unterschiedlichen Prinzipien. Das vermittelnde Verhalten erzeugt Eigenart und Profil, Akzeptanz und Loyalität. Dr. Kurt Brand, Geschäftsführer der Pallas GmbH sagt: „Aus der Studie habe ich gelernt, dass die IT-Security auf drei Beinen steht: Technik, Organisation und Unternehmenskultur. Gerade die kulturelle Komponente prägt dabei das Wirken des CISO. Mich beschäftigt nun, wie ich den CISO dabei unterstützen kann, seine Wirksamkeit wahrnehmbar zu machen. Dazu liefert die Studie eine ordentliche Menge Stoff ."
Prinzessin oder Frosch
Im Fazit der CISO-Studie beschreiben die Psychologen eine Analogie zum ‚Froschkönig’. Der Umgang zwischen Prinzessin und Frosch bebildert ein Gefüge, das der Situation des CISOs ähnelt. Nach diesem Prinzip werden zwei zueinander gehörende Seiten als getrennt voneinander dargestellt. Und dennoch drängt eine (unsichtbare) Kraft auf einen Austausch. Der Psychologe Udo Eichstädt sagt: „Die Prinzessin steht dabei für das rein Digitale, das Unnahbare, den Eindruck des Besonderen, kultiviertes Verhalten, Kontrolle und ‚unbedarfte’ User – der Frosch symbolisiert banale Wirklichkeit, versteckt in seiner eigenen Welt, aber zugleich hilfsbereit, und außerdem Mitarbeiter, die nur die analoge Perspektive leben.“
Die Psychologen wünschen sich analog zum ‚Froschkönig’ für die Konstruktion wie auch für die Vermittlung von Sicherheitskultur einen stärkeren Austausch und Wandel zwischen ‚analogem’ und ‚digitalem Prinzip’. Darüber hinaus betonen sie die Notwendigkeit von Führung, Involvement und einer Übersetzung von Sicherheitsthemen zugunsten eines breiteren Verständnisses auf Seiten der Mitarbeiter. In diesem Zusammenhang empfehlen sie den berühmten Blick von außen. Mittel können z.B. ein intensiverer Austausch mit Kollegen sowie speziell für CISOs entworfene Kommunikationsbriefings oder Coachings sein.
Modernes Sicherheitsmanagement mit strategischen Vorgaben
„Die Studie zeigt, dass das Verhalten der CISOs nicht nur rational, sondern auch durch emotionale Impulse bestimmt wird“, sagt Wolfgang Nickel, Senior Manager Competence Center IT-Security Steria Mummert Consulting AG. Und weiter: „Ein modernes Sicherheitsmanagement basiert auf strategischen Vorgaben und führt zu geplantem Verhalten mit messbaren Ergebnissen. Der Aufbau eines Sicherheitsmanagementprozesses steckt in vielen Unternehmen noch in den Kinderschuhen und ist auch mit Blick auf Compliance Anforderungen dringend voranzutreiben."
Profilierung und Aufmerksamkeit durch professionelle Kommunikation bilden einen weiteren Baustein im Puzzle um das Ringen nach Wirksamkeit der Security: „Wirksame und nachhaltige Sicherheit heißt nicht nur, dass man die Compliance erfüllt“, schreibt Dietmar Pokoyski, Geschäftsführer der Kommunikationsagentur known_sense und Initiator dieser Studie, den CISOs ins Pflichtenheft: „CISOs müssen es schaffen, in Ihrem Unternehmen eine Marke zu bilden. Gerade internes IT- oder Security-Marketing kann, wenn Sicherheit lebendig visualisiert wird, hohes Involvement schaffen. Und eine gute Awareness-Kampagne ist stets auch ein Pro-CISO-Marketing.“
