(openPR) 2009 In Köln wurde heute die aktuelle tiefenpsychologische Securitystudie »Sicher von oben – Qualitative Imageanalyse CISO & Co.« von known_sense und den Mitherausgebern EnBW Energie Baden-Württemberg und paulus.consult vorgestellt. Förderer sind darüber hinaus die Munich Re sowie der Schweizer known_sense-Partner ISPIN. Die Ergebnisse unterstreichen wie bereits die der Vorgängerstudien, dass Qualität und Reifegrad von Informationssicherheit in Unternehmen nicht nur durch technische oder organisatorische Faktoren bestimmt werden, sondern in einem erheblichen Umfang auch von der Positionierung des CISO sowie der Kommunikation zwischen ihm und dem TOP-Management abhängen.
Im Rahmen dieser Studie, die von eco – Verband der deutschen Internetwirtschaft, der Zeitschrift für Informations-Sicherheit, , sowie securitymanager.de als Medienpartner unterstützt wird, wurden 17 deutsche TOP-Manager zwei Stunden lang auf die Couch gelegt und mithilfe von Tiefeninterviews auf Basis der morphologischen Wirkungsforschung zu ihrem Bild von Informationssicherheit und deren Protagonisten (CISO & Co.) befragt. Zu Wort kamen Vorstandsvorsitzende, Vorstände, Geschäftsführer und andere Entscheider, die den Psychologen einen mehr oder weniger tiefen Blick auf den persönlichen Umgang mit den Themenkomplexen Informationssicherheit, Unternehmens- und Sicherheitskultur, Umgang mit sensiblen Daten – beruflich wie privat – sowie auf das CISO-Image und ihre (persönliche) Beziehung zu ihren Security Managern erlaubten.
Wolfgang Reibenspies, Konzernbevollmächtigter IuK-Security der EnBW, sagt über die Beteiligung seines Unternehmens an dieser Studie: »Wenn es um den Informationsschutz im Unternehmen geht, setzt die EnBW auf ein enges Miteinander von TOP-Management und CISO. In Zeiten von knappen Ressourcen und sich stetig ändernden Rahmenbedingungen ist das inhaltliche Verständnis zwischen TOP-Management und CISO das entscheidende Element für nachhaltige Erfolge im Informationsschutz«.
Informationssicherheit von Unternehmenskultur geprägt
Bereits 2006 wurde in einer ersten Grundlagenstudie das Thema Sicherheit und so genannte »Fehlleistungen« aus dem Blickwinkel der Mitarbeiter heraus tiefenpsychologisch aufgegriffen und analysiert. Im Jahre 2008 wurden CISO & Co. zu ihrem Selbstbild, ihrer Arbeitswirklichkeit und zu ihren Visionen befragt. Beide Studien, die ebenfalls u.a. mit Beteiligung der EnBW stattfanden, brachten grundlegende Erkenntnisse der jeweiligen Positionen zu Tage.
Auch im Rahmen der aktuellen Studie »Sicher – von oben« gelang es, den Einfluss der Unternehmenskultur und der Informationssicherheit auf das Image von CISO & Co. herauszuarbeiten. Darüber hinaus, die zentralen Störstellen der konkreten Zusammenarbeit mit den Sicherheitschefs aus Führungssicht zu identifizieren, eine Typologie der CISO aus Perspektive des TOP-Managements zu entwickeln und diese den Idealvorstellungen und der Selbstsicht der CISOs, die in der Vorgängerstudie beschrieben wurde, gegenüberzustellen.
Kontrollverluste gefährden persönliche Sicherheit
Dabei erwiesen sich die Tiefeninterviews mit den Führungskräften als deutlich schwieriger als die Gespräche mit den CISOs in 2008. Die Manager behalten bevorzugt die Kontrolle über die Gespräche und scheinen wesentlich interessierter an einer persönlichen Absicherung als an der Sicherheit des von Ihnen geführten Unternehmens zu sein. Nicht selten bleiben Antworten bemüht auf hohem Abstraktionsniveau – nur auf Nachfragen wird z.T. demonstrativ auf die Detailebene eingegangen. »Rausgerutschte« Bemerkungen werden nur unwillig erläutert. Ein Einlassen auf individuelle und persönliche Einschätzungen – über (eingeübte) Standardantworten hinaus – erfolgt nur widerstrebend. Empfundene Kontrollverluste, das Offenbaren von Firmeninterna, (sehr) persönlichen Erfahrungen und Einschätzungen führen dabei zu mitunter sehr emotionalen Reaktionen. Es kommt zu einer massiven Abwehr, z.B. in Form von kühlen Verabschiedungen (»Sie finden ja alleine raus.«), Abwertungen der Studie bei vorangegangener Zustimmung (»Und damit wollen Sie also Neues erklären?«) oder zu persönlichen Kränkungen der Interviewer (»Blonde Frauen werden ja im Allgemeinen als sympathischer eingeschätzt.« gegenüber einer dunkelhaarigen Moderatorin).
Auf der anderen Seite führten Kontrollverluste aber auch zu deutlich privaten und persönlichen Weiterführungen des eigentlichen Interviews. Die Diplom Psychologin und Projektleiterin der Studie, Ivona Matas, fasst die Erfahrungen der Interviewer wie folgt zusammen: »Die persönliche Sicht der Führungskräfte auf das Thema Informationssicherheit und das Image des CISO stellt sich als deutlich dramatischer und brisanter dar, als es im ersten Zugang von den Managern demonstriert wird.«
Kommunikation bestimmt Beziehung und Security-Qualitäten
Dabei betonen die Psychologen, dass eine Beschreibung von Positionierung und Kommunikationsqualitäten zwischen Securitychefs und TOP-Managern ohne intensiven Blick auf die jeweilige Corporate Culture kaum möglich ist und stellen fest: Die Unternehmenskulturen befinden sich heute mehr denn je in einer Grundspannung zwischen Stabilität und Innovation. Entscheider positionieren sich aus ihrer Unternehmer-Haltung deutlich auf der Seite der Veränderungen und stellen die aktive Einwirkung auf den Wandel in den Vordergrund. Den notwendigen Halt für die eigene aktive Rolle bieten die erlebte Stabilität der eigenen Position und z.T. auch die eigene Unternehmenshistorie.
Hier kommen Security-Protagonisten und die Informationssicherheit nicht selten als Störer ins Spiel. Als Fortsetzung der Studie von 2008 kann – abweichend von der Selbsteinschätzung der CISOs –konstatiert werden, dass diese vom TOP-Management zwar sehr positiv und respektvoll beschrieben werden; diese Beschreibungen jedoch nur im ersten Zugang Bestand haben! Denn während das Ideal die Security-Protagonisten als kompetenten Unterstützer der Führungskräfte zeigt, werden unter dieser glatten Oberfläche zahlreiche ungeliebte Tätigkeiten an den CISO delegiert, dessen (sicherheitskonformes) Handeln dann nicht selten unternehmerische Aktivitäten stilllegt und so zu großen Spannungen führen kann.
Innerhalb dieser Konflikte sind TOP-Manager stark bemüht, ihre Position zu wahren. Sie reagieren sensibel auf die spezifischen Machtmöglichkeiten der CISOs, die als Typus »Streiter der Sicherheit«, »Mahnender Kontrolleur«, »Kompetenter Sicherheits-Spezialist« oder »Selbstbewusster Vermittler« (s.a. Infokasten unt.) konkreten Einfluss auf die unternehmerische Tätigkeit ausüben.
Security-Protagonisten und Führungskräfte laufen dabei Gefahr, sich zunehmend ähnlicher zu werden und sich gegenseitig in Machtkonflikten zu blockieren. Dann nämlich, wenn z.B. die Management-Delegation an den CISO in Form ungeliebter Aufgaben überhand nehmen und der Sicherheitsverantwortliche durch die Führung einseitig als Kontrolleur und Strafinstanz vereinnahmt wird.
Wolfgang Reibenspies kommentiert: »Insbesondere die Awareness im TOP-Management und vor allem die zielgruppenorientierte Sprache im direkten Dialog sind die größten Herausforderungen für den CISO. Offene und partnerschaftliche Kommunikation steht also im Vordergrund - One-Way-Tickets sind kontraproduktiv!«
Es fällt auch auf, dass Security-Regeln von den Führungskräften selber nicht eingehalten, aber mit dem Nutzen für das Unternehmen entschuldigt werden. Auch während der Interviews passieren immer wieder Verstöße. So werden die Psychologen z.B. mit internen, nicht weggeräumten Informationen aus Vormeetings konfrontiert oder sollen unbegleitet zum Ausgang finden. Eine Moderatorin findet beim Gang auf die Toilette einen Schlüsselbund samt USB-Stick. In diesem Kontext wird vorzugsweise eine „Lex CEO“ kreiert, nach der z.B. Regelverstöße bei Entscheidern und Mitarbeitern unterschiedlich geahndet werden. Damit verfügen Führungskräfte allein aufgrund ihrer Position über andere Lösungsmöglichkeiten bezüglich der (der Informationssicherheit inhärenten) Spaltung als z.B. die befragten Mitarbeiter von 2006 und die befragten CISOs von 2008.
»Die Ergebnisse sind deutlich: CISOs werden von der Geschäftsführung nicht gemocht. Entweder sie sind nicht kommunikativ genug, verstehen das Business nicht, oder sie sind zu mächtig.« sagt Sachar Paulus von paulus.consult und Professor für Unternehmenssicherheit und Risikomanagement an der Fachhochschule Brandenburg. Paulus weiter: »Dies bestätigt meine persönliche Erfahrung und stellt die Erkenntnisse auf fundierte, empirisch belegte Ergebnisse. Nun ist zu überlegen, wie man die Situation verbessern kann. Eine zielgerichtete Ausbildung der Sicherheits-Fachleute ist sicherlich ein wichtiges Element.«
Ivona Matas ergänzt: »Es ist wichtig, Kompetenzen und Aufgaben des Gegenübers eindeutig zu akzeptieren und zu respektieren. Auch seitens des CISO, der offensichtlich zu einer tieferen Einsicht in das Kern-Geschäft seines Unternehmens gelangen muss.« Denn es fällt auf, dass die Führungskräfte einhellig Loblieder über die fachspezifischen Fähigkeiten Ihrer Sicherheitschefs singen, die CISOs aber dieses Lob in punkto Führungsfähigkeiten Ihrer Vorgesetzten oftmals missen lassen.
»Ein professionelles Informationsmanagement wird für den Unternehmenserfolg immer wichtiger. Die zur Verfügung stehenden Ressourcen zum Schutz der Informationen werden dagegen immer knapper«, sagt Michael Lardschneider, Chief Security Officer der Munich Re. Und weiter: »Da die Risiken und Bedrohungen u.a. aufgrund des zunehmenden Wettbewerbs und der Globalisierung wachsen und komplexer werden, ist auch dem Sicherheitsmanagement mehr Bedeutung beizumessen. Entscheidungen im Top-Management bedürfen daher einer fundierten Abwägung der Risiken. Markt- und Liquiditätsrisiken spielen dabei schon lange eine Rolle. Die Betrachtung von Sicherheitsrisiken dagegen ist noch relativ neu. Die Aufgabe, das Verständnis im Top-Management für diese Risiken zu schärfen und im Entscheidungsprozess als Sicherheitsberater zur Seite zu stehen, obliegt dem CSO bzw. CISO. Dass dieser dazu bestimmte Fähigkeiten besitzen muss, um als fachkompetenter Kommunikator und Berater gesehen zu werden, ist für viele Betroffene noch neu. Wie die Studie zeigt, gilt das für beide Seiten, die zu Beratenden (Entscheider) als auch die Berater (CISOs).«
Der Studienband (54 S.) ist über known_sense (
) oder über den -Buchshop (http://buchshop.secumedia.de) zum Preis von Euro 380,00 (-Abonnenten Euro 290,00) zu beziehen. Die Summary ist online frei verfügbar (Link s. unt.).(INFOKASTEN)
Kompetent streiten, mahnen und vermitteln: Vier CISO-Typen aus Sicht des TOP-Managements
Aus Sicht der Führungskräfte wurden in der aktuellen Studie „Sicher – von oben“ insgesamt vier Typen identifiziert, die allerdings in der Realität niemals in Reinform existieren, sondern quasi als eine Cuvee. Dabei existieren für jeden Typus mehr oder weniger gut sichtbare und überwiegend positiv goutierte Hauptbilder, aber auch unter der glatten Oberfläche wirkende Nebenbilder, die deutlich die jeweiligen mit dem Hauptbild (Cover-Story) verbundenen Schwächen (Impact-Story) aufzeigen.
Der »Streiter der Sicherheit« wird als anerkannte und imposante Instanz beschrieben. Im Unternehmen gelingt es ihm, eine breite Vertrauensfront für seine Sache zu kreieren. Auf der anderen Seite tritt er bisweilen als »Bremser« und »Spielverderber« auf, z.B. wenn er auf die Dynamik des Marktes nicht adäquat reagiert und unternehmerische Prozesse zum Erliegen bringt. Der O-Ton einer Führungskraft, »Unser Leiter Security wiegt 150 kg«, macht dies ebenso bildhaft deutlich wie ein zweiter: »... also eher der kreative Störenfried.«
Der »Mahnende Kontrolleur« zeichnet sich durch Wachsamkeit und Fürsorge aus. Er wittert Gefahren wie z.B. ein Luchs, weil er etwa die Security-Szene – auch als Insider – genau einschätzen kann und daher Risiken kennt, bevor sie einen Namen haben. Darüber hinaus entwickelt er mit großer Leidenschaft Standards, Trainings und sogar komplette Awareness-Kampagnen, leidet allerdings andererseits an einer paranoiden Grundstruktur (»Schnüffler«) mit der Ausprägung, die Darstellung von Sicherheitsrisiken deutlich zu übertreiben. Das Bewahren von Altem steht bei ihm stets vor der Hinwendung zum Neuen.
Die besondere Stärke des »Kompetenten Sicherheits-Spezialisten« ist seine überaus hohe fachliche Kompetenz. Er ist immer auf dem neuesten Stand und unterstützt die Führung darüber hinaus durch seine überbordene Loyalität. Leider entwickelt er manchmal Insellösungen, durch die seine mitunter mangelnden kommunikativen Fähigkeiten bis hin zum »Autismus« deutlich werden. Zwar genießt er bei den Mitarbeitern aufgrund des fachlichen Wissens und Engagements grundsätzlich Respekt, der jedoch in den Darstellungen der Führungskräfte auf der Strecke geblieben ist. »Also wenn die einem dann was erzählen, das verstehen Sie nicht«, sagt eine Führungskraft. »Die müssen in Kundenprojekten mehr von der Realität mitbekommen«, eine andere.
Der »Selbstbewusste Vermittler« verfügt ebenfalls über ein hohes Security-Know-how, hier allerdings gepaart mit den notwendigen kommunikativen Skills, die ihn darin unterstützen, sowohl Mitarbeitern, als auch Führungskräften auf Augenhöhe zu begegnen. Er schafft eine Brücke zwischen Sicherheit und operativem Geschäft und fordert Machtpositionen geradezu ein, gerät hierbei allerdings nicht selten in Konkurrenzsituationen mit der Führung. »Die sind wichtig«, sagt einer. Und …. »Die sind auch ein Riesenproblem… ah, nein, so kann man das jetzt nicht sagen.« Ein anderer Proband stellt fest: »Er vergibt Rechte und steuert Wege … das ist schon eine Machtposition.«
Die hier aus Sicht der Führungskräfte herausgearbeiteten CISO-Typen bieten übrigens durchaus Anknüpfungspunkte zu den 2008 vorgestellten CISO-Selbstbildern und daraus hergeleiteten Typen der Studie »Aus der Abwehr in den Beichtstuhl«. So kann der dort dargestellte Typus der »Zentralen Kontrollinstanz« (Fräulein Rottenmeier) als eine Kombination zwischen den Typen »Streiter der Sicherheit« und »Mahnender Kontrolleur« gesehen werden: Beiden Ausprägungen ist die Einhaltung der Sicherheitsregeln ein Muss.
Der Typus »Streetworker« (Columbo) bleibt nahe beim »Selbstbewussten Vermittler«, indem beiden eine Verbindung von »Analoger Welt« und »Digitaler Welt« gelingt. Der Typus des »selbstbewussten Vermittlers« behält dabei die Anforderungen der Führungskräfte stärker im Blick und verfügt über ein deutlich ausgeprägtes Machtstreben.
Der Typus des »Sicherheitsservice« (Mutter Teresa) rückt stärker zum »Kompetenten Sicherheitsspezialisten«. Wesentlicher Unterschied ist darin zu sehen, dass dem »Sicherheitsservice« ein Abdriften in »Digitale Welten« eher fern ist.
9.000 Zeichen + 3.600 Zeichen Infokasten
Kontakt (D/AUT): known_sense
Dietmar Pokoyski
Kaiser-Wilhelm-Ring 30-32
D-50672 Köln
Fon +49 221 91277778
www.known-sense.de www.aware-house.com
Kontakt (CH): ISPIN AG
Marcus Beyer
Grindelstrasse 15
CH-8303 Bassersdorf
Fon +41 44 838 31 11
http://www.ispin.ch
Weitere Informationen und Bildmaterial auf Anfrage oder zum Download hier:
Studien Summary (11 S., PDF, 72 dpi, 1,3 MB):
http://www.known-sense.de/ciso/sicher_von_oben_summary_72dpi.pdf
Abbildung Cover Berichtsband (JPG, 0,5 MB)
http://www.known-sense.de/ciso/sicher_von_oben_cover.jpg
Abbildung Infografik CISO-Typologie (JPG, 0,4 MB)
http://www.known-sense.de/ciso/sicher_von_oben_infografik.jpg
Auszug CISO-Vorgängerstudie (Selbstbild CISOs) von 2008 (10 S., PDF, 72 dpi, 1,9 MB):
http://www.known-sense.de/ciso/securitystudie_auszug.pdf
