Der CISO ist ein Sündenbock — Warum die Rolle grundlegend reformiert werden muss

2 Min. Lesezeit

Wenn es knallt, fliegt der CISO. Bei SolarWinds, bei Uber, bei Capital One – nach jedem großen Sicherheitsvorfall rollt derselbe Kopf. Der Chief Information Security Officer trägt die Verantwortung, hat aber weder das Budget, noch die Autorität, noch den Vorstandssitz, um seine Aufgabe zu erfüllen. Eine Analyse einer toxischen Rollenstruktur.

Das Wichtigste in Kürze

• Die durchschnittliche Verweildauer eines CISO beträgt 26 Monate – die kürzeste aller C-Level-Positionen
• Nur 12 Prozent der CISOs berichten direkt an den CEO – die Mehrheit ist unter dem CIO oder CTO eingehängt und hat keine eigene Budget-Hoheit
• Nach einem Sicherheitsvorfall wird in 60 Prozent der Fälle der CISO ausgetauscht – auch wenn die Ursache in Unterinvestition oder Geschäftsentscheidungen liegt
• Burnout-Raten unter CISOs liegen bei über 50 Prozent – die höchste aller IT-Führungsrollen

Verantwortung ohne Macht

Stellen Sie sich vor, Sie sind Brandschutzbeauftragter eines Hochhauses. Sie wissen, dass die Sprinkleranlage veraltet ist, die Fluchtwege blockiert und die Feuertüren nicht schließen. Sie schreiben Berichte. Sie eskalieren. Aber die Gebäudeverwaltung sagt: „Zu teuer. Machen wir nächstes Jahr.“ Dann brennt es. Und man entlässt Sie, weil der Brandschutz versagt hat.

Das ist die Realität der meisten CISOs. Sie identifizieren Risiken, dokumentieren sie, eskalieren sie – und werden überstimmt. Von Geschäftseinheiten, die schneller liefern wollen. Vom CIO, der das Budget für andere Projekte braucht. Vom Vorstand, der Security als Kostenstelle sieht. Bis der Angriff kommt.

Das strukturelle Problem

Reporting-Linie: Ein CISO, der an den CIO berichtet, hat einen inhärenten Interessenkonflikt. Der CIO optimiert für Geschwindigkeit und Effizienz. Security ist Reibung. In dieser Konstellation verliert Security systematisch – nicht aus böser Absicht, sondern aus struktureller Unterlegenheit.

Budget-Realität: Der durchschnittliche Security-Anteil am IT-Budget liegt bei 5 bis 10 Prozent. In regulierten Branchen etwas mehr. Das bedeutet: Von jedem Euro, den die IT ausgibt, gehen 90 Cent in Projekte, die der CISO absichern muss – mit den restlichen 10 Cent.

Karrierefalle: Die Rolle ist eine Lose-Lose-Position. Passiert nichts, war Security „unnötig teuer“. Passiert etwas, hat Security „versagt“. Kein Ergebnis ist für den CISO positiv sichtbar. Die besten CISOs sind unsichtbar – und werden als Erste gestrichen, wenn gespart wird.

Was Joe Sullivan bei Uber zeigte

Der Fall Joe Sullivan ist paradigmatisch. Als CISO von Uber vertuschte er einen Datendiebstahl – und wurde dafür strafrechtlich verurteilt. Die Verurteilung war juristisch korrekt. Aber sie zeigte auch: Der CISO stand allein. Die Entscheidung zur Vertuschung wurde in einem Umfeld getroffen, das Security-Vorfälle als Geschäftsrisiko behandelte, das man managt – nicht als Problem, das man transparent kommuniziert.

Seit Sullivan denkt jeder CISO: „Wenn es schiefgeht, lande ich vor Gericht.“ Das erzeugt nicht bessere Sicherheit, sondern defensive CISOs, die sich mit Dokumentation absichern statt Risiken zu adressieren.

Wie die Rolle funktionieren müsste

Board-Level Reporting: Der CISO muss direkt an den Vorstand oder Aufsichtsrat berichten – nicht an den CIO. In regulierten Branchen fordern NIS2 und DORA das bereits. Es muss Standard werden.

Eigenes Budget: Security braucht ein eigenes Budget, das nicht vom CIO umgeschichtet werden kann. Orientierung: Mindestens 10 Prozent des IT-Gesamtbudgets, für KRITIS-Unternehmen 15 Prozent.

Shared Accountability: NIS2 geht den richtigen Weg: Geschäftsführer haften persönlich für Cybersicherheit. Nicht der CISO allein – der gesamte Vorstand. Wenn der CEO genauso haftet wie der CISO, werden Security-Budgets anders verhandelt.

Fazit: Die Rolle retten, nicht den Kopf rollen lassen

Der CISO-Burnout ist kein individuelles, sondern ein systemisches Problem. Solange die Rolle Verantwortung ohne Autorität kombiniert, wird sie die besten Köpfe verlieren – und Unternehmen werden unsicherer, nicht sicherer. Die Reform beginnt bei der Reporting-Linie und endet bei der Haftungsverteilung.

Key Facts

CISO-Verweildauer: 26 Monate im Durchschnitt – verglichen mit 72 Monaten beim CFO und 54 Monaten beim CIO.

Burnout: 54 Prozent der CISOs berichten über chronische Überlastung, 24 Prozent haben in den letzten 12 Monaten aktiv nach einer Rolle außerhalb der Security gesucht (IANS Research, 2024).

Häufige Fragen

Braucht jedes Unternehmen einen CISO?

Ab einer gewissen Größe – ja. Unter 200 Mitarbeitern reicht oft ein externer vCISO (virtueller CISO), der strategisch berät und die operative Security an Managed Services delegiert. Entscheidend ist, dass die Verantwortung klar zugeordnet und mit Autorität unterfüttert ist.

Wie ändert NIS2 die CISO-Rolle?

NIS2 macht Geschäftsführer persönlich haftbar. Das verschiebt die Dynamik: Security wird von einer CISO-Angelegenheit zu einer Vorstandsangelegenheit. CISOs gewinnen Autorität, weil der Vorstand jetzt persönlich haftet und aktiv zuhört.

Was verdient ein CISO in Deutschland?

Zwischen 120.000 und 250.000 Euro je nach Unternehmensgröße und Branche. Im Vergleich zu US-Gehältern (300.000 bis 600.000 Dollar) ist das niedrig – ein weiterer Grund für den Fachkräftemangel auf dieser Position in Europa.

Verwandte Artikel

• NIS2 und Geschäftsführerhaftung: Warum Cybersecurity Chefsache ist
• Cybersecurity 2025: Das Jahr im Rückblick
• DORA in der Praxis: Erste Erfahrungen aus dem Finanzsektor

Mehr aus dem MBF Media Netzwerk

• C-Level Perspektiven zur IT-Sicherheit auf digital-chiefs.de
• Führung und Digitalisierung auf mybusinessfuture.com

Quelle Titelbild: Pexels

Hier schreibt Benedikt Langer für Sie

Mehr Artikel vom Autor Benedikt Langer