Die richtigen Fragen im Bewerbungsgespräch können CISO-Kandidaten dabei unterstützen, besser abzuschätzen, was beim neuen Arbeitgeber auf sie zukommen könnte.
Foto: N Universe | shutterstock.com
Der Bewerbungsprozess ist nicht für Unternehmen eine Gelegenheit, den passenden Kandidaten zu finden. Auch die Job-Aspiranten sollten abwägen, ob die in Aussicht stehende Stelle beziehungsweise das dazugehörige Unternehmen wirklich zu ihnen passt.
Das ist für CISOs umso wichtiger, schließlich zeigen aktuelle Studienerkenntnisse, dass die Job-Zufriedenheit der Sicherheitsentscheider sinkt: So sind laut dem “State of the CISO 2023/2024“-Report ganze 75 Prozent der befragten CISOs offen für einen Jobwechsel – im Vorjahr lag dieser Wert noch bei 67 Prozent. Als wesentlichen Grund dafür nennen die Studienautoren neue und erweiterte Anforderungen an die CISO-Rolle.
Sicherheitsentscheider in spe tun additionally intestine daran, sich beziehungsweise ihrem potenziellen Arbeitgeber die richtigen Fragen zu stellen, bevor sie einen Job antreten. Nur so lassen sich rote Flaggen erkennen und aufreibende Erfahrungen vermeiden. Die folgenden vier Fragestellungen sind dafür ein guter Anfang.
1. “Warum suchen Sie einen CISO?”
Geht es nach George Kauye, Regional Director beim Personaldienstleister Michael Web page, sollten CISO-Jobkandidaten vor allem hinterfragen, warum ihr potenzieller neuer Arbeitgeber einen CISO einstellen möchte: “Wird ein Nachfolger für den bisherigen CISO gesucht oder handelt es sich eventuell um eine Reaktion auf einen Sicherheitsvorfall? Sind Sie möglicherweise als erster CISO überhaupt vorgesehen? Aus der Reaktion auf diese Fragestellungen lässt sich bereits einiges über den Reifegrad des Unternehmens und seine Herangehensweise an die IT-Sicherheit ablesen.”
Cybersecurity-Expertin und Ex-McKinsey-Beraterin Julie Chatman warnt CISOs insbesondere davor, bei Unternehmen anzuheuern, deren Ziel es ist, mit einer CISO-Rolle ein Safety-Lippenbekenntnis abzugeben. Um dem entgegenzuwirken, empfiehlt sie: “Es lohnt sich, die Geschichte eines Unternehmens in Bezug auf Cybersecurity und entsprechende Vorfälle in diesem Bereich zu durchleuchten. Dabei sollten Sie insbesondere darauf achten, wie das Unternehmen in der Vergangenheit mit problematischen Situationen im Bereich Cybersichrheit umgegangen ist – und wie das in der Öffentlichkeit wahrgenommen wurde.”
2. “Geht das grundsätzlich zusammen?”
Möglicherweise beißen sich die strategischen Vorstellungen eines CISO-Kandidaten sowie seine allgemeine Einstellung zu Cybersicherheit mit denen eines einstellenden Unternehmens. Laut Supervisor Kauye ist ein Bewerbungsgespräch die optimale Gelegenheit, um Diskrepanzen dieser Artwork zu Tage zu fördern: “An dieser Stelle die Unterschiede zu erkennen und zu verstehen, kann eine gute Perspektive darüber eröffnen, mit welchen potenziellen Herausforderungen CISO-Aspiranten in ihrer Rolle konfrontiert werden. Mögliche ideologische Differenzen zu erkennen, ist angesichts kommender Compliance-Vorschriften inzwischen noch wichtiger.”
Die geplante NIS2-Richtlinie der Europäischen Union wird Unternehmen beispielsweise zusätzliche Anforderungen an die Cybersicherheit auferlegen, die auch Vorstand und Führungskräfte mit einbeziehen. Bob Zukis, CEO und Gründer der C-Degree-Plattform Digital Administrators Community, empfiehlt CISO-Aspiranten deshalb, sich den Vorstand des potenziellen Arbeitgebers genauer anzusehen und herauszufinden, wie es um dessen Cyber-Knowhow bestellt ist: “Verfügt der Vorstand überhaupt über Cyberfachwissen? Falls nicht, würde ich empfehlen, am besten direkt zu flüchten. Darüber hinaus ist die Frage wichtig, wer die Cybersicherheit auf Vorstandsebene regelt und sicherstellt, dass der CISO nicht zum Sündenbock verkommt. Wenn Vorstand oder Führungsteams Sicherheitsentscheidern nicht den Rücken stärken, sind diese auf sich allein gestellt.”
Für Sicherheitsexpertin Chatman ist für die langfristige Job-Zufriedenheit von CISOs vor allem von Bedeutung, ob der Safety-Ansatz des Unternehmens mit dem eigenen in Einklang steht: “Der Job als CISO kann ungemein herausfordernd sein. Um das auch in Extremsituationen durchzuhalten, sollte man als CISO das Gefühl haben, einen Beitrag leisten zu können.”
3. “Wie sieht das Safety-Group aus?”
Darüber hinaus sollten CISOs in spe natürlich auch ihr künftiges Group beziehungsweise dessen Struktur und Umgebung durchleuchten. Laut Chatman könne das dazu beitragen, die allgemeine Kompatibilität abzuklopfen: “So erhalten Sie Anhaltspunkte darüber, wie effektiv sich die Zusammenarbeit gestalten wird, welche Ressourcen zur Verfügung stehen und ob es Raum für Wachstum gibt.”
Die Ex-Beraterin empfiehlt darüber hinaus, auch den Reifegrad des Sicherheitsteams, seine Kompetenzen und die konkrete Zusammensetzung zu erfragen: “Handelt es sich um eine gute Mischung aus erfahrenen und jungen Mitarbeitern? Wenn die Leute im Group schon viele Jahre oder Jahrzehnte dabei sind, kann sich das ebenso negativ auswirken wie ein Group, das nur aus Greenhorns besteht.”
4. “Handelt es sich um eine echte C-Degree-Rolle?”
Ohne Frage rückt das Thema Cybersicherheit weltweit zunehmend in den Fokus. Trotzdem haben viele CISOs allerdings immer noch Mühe, einen Platz am Vorstandstisch zu “ergattern”: Die eingangs zitierte Studie zeigt beispielsweise auch, dass 27 Prozent der befragten Sicherheitsentscheider den Job wechseln würden, wenn sie keine aktiven Board- oder Geschäftsleitungsmitglieder wären.
“Die Rolle des CISO ist insofern einzigartig, als sie das Wort ‘Chief’ im Titel trägt, es sich aber in vielen Fällen nicht um eine echte C-Degree-Rolle handelt. Stattdessen berichten Sicherheitsentscheider oft an eine andere C-Degree-Führungskraft”, konstatiert Chatman und fügt hinzu: “Das ist ein bisschen so, als säße man als Erwachsener beim Weihnachtsessen am Kindertisch.” (fm)
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser E-newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
Jetzt CSO-E-newsletter sichern
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO On-line.
Die Prime CISOs in Deutschland
Thomas Franke, CISO, Kuka
Foto: Kuka
Nach seiner Tätigkeit in verschiedenen Sicherheitsbehörden des öffentlichen Dienstes hat Thomas Franke bei ZF im Bereich der Unternehmenssicherheit und anschließend in der Informationssicherheit verschiedene globale Projekte verantwortlich durchgeführt. 2017 hat er die Place des CISO und DPO in der Kuka Group übernommen.
Gernot Zauner, CISO KEB Automation
Foto: KEB Automation
Gernot Zauner ist seit 2023 als CISO für die Informationssicherheit bei KEB Automation zuständig. Bereits zuvor conflict er in verschieden Positionen im IT-Safety-Bereich tätig.
Daniel Feinler, CISO, Häfele
Foto: Häfele
Daniel Feinler ist bereits seit mehr als elf Jahren bei Häfele für den IT-Bereich zuständig. Im Mai 2023 hat er die Rolle des CISO übernommen.
Bodo Dobronski und Heike Tschabrun, CISOs, Versicherungskammer
Foto: Versicherungskammer Bayern
Bodo Dobronski und Heike Tschabrun sind seit 2017 die CISOs des Konzerns Versicherungskammer. Bodo Dobronski hat einen Universitätsabschluss der TU Dresden als Informatiker, Heike Tschabrun einen Abschluss als Sozialwirtin der Fachhochschule Ravensburg.
Stefan Braun, CISO, Henkel
Foto: Henkel
Stefan Braun ist bereits seit 2008 bei Henkel. Als CISO ist er seit 2021 für die IT-Sicherheit zuständig. Zuvor conflict er im IT Audit, der IT und im Konzerncontrolling tätig. Seine Berufslaufbahn begann er bei Accenture und Procter & Gamble nach einem Studium der Informatik an der RWTH Aachen und dem INSA Lyon.
Christopher Ruppricht, CISO, Schufa
Foto: Schufa Holding AG
Seit Ende 2022 ist Christopher Ruppricht als CISO für die IT-Sicherheit bei der Schufa verantwortlich. Zuvor conflict er als als CISO für paydirekt zuständig.
Max Imbiel, Deputy Group CISO, N26
Foto: Max Imbiel
Zum 1. Oktober trat Max Imbiel seine neue Stelle als Deputy Group CISO bei der On-line-Financial institution N26 an. Seine Aufgabe im CISO Workplace von N26 ist es, das Unternehmen bestmöglich gegen Cyberbedrohungen aufzustellen und die Daten und Informationen von Kunden sowie Mitarbeitern zu schützen. Imbiel hat einen Pc Science and Economics Bachelor-Abschluss in Pc Science and Economics.
Holger Bajohr-Might, CISO, Technische Werke Ludwigshafen am Rhein
Foto: Holger Bajohr-Might
Holger Bajohr-Might begann seine Karriere bei den Technische Werke Ludwigshafen am Rhein bereits vor 25 Jahren mit der Ausbildung zum Industriekaufmann. Vom PC-Techniker über den SAP-Anwendungsbetreuer arbeitete er sich hoch und ist seit diesem Jahr CISO.
Iskro Mollov, Group CISO, GEA Group
Foto: GEA Group
Iskro Mollov ist seit 2020 der Group CISO und Vice President Safety, Enterprise Continuity and Disaster Administration bei GEA Group. In seiner Funktion berichtet er an den Vorstand sowie an den Prüfungsausschuss der Aufsichtsrates und verantwortet ganzheitlich die Sicherheitsbereiche: Informationssicherheits-Governance, IT-Sicherheit, OT-Sicherheit, Produkt-Sicherheit, Physische Sicherheit, HR Sicherheit, Sicherheit in der Lieferkette, Sicherheit digitaler Medien sowie übergreifend Enterprise Continuity Administration (BCM) und Krisenmanagement.
Florian Jörgens, CISO, Vorwerk Gruppe
Foto: Vorwerk Gruppe
Seit Juli 2021 ist Florian Jörgens CISO der Vorwerk Gruppe. Neben dieser Tätigkeit ist er seit seinem Grasp-Abschluss 2015 unter anderem an diversen Hochschulen als Dozent, Autor und wissenschaftlicher Mitarbeiter tätig. Weiterhin hält er Fachvorträge rund um die Themen Informationssicherheit, Consciousness und Cyber-Safety. Florian Jörgens wurde im September 2020 vom CIO-Magazin mit dem Digital Chief Award in der Kategorie „Cyber-Safety“ ausgezeichnet.
Hendrik Janssen, CISO, Bauer World Expertise
Foto: Bauer World Expertise
Hendrik Janssen zeichnet seit Juli 2016 als CISO und World Expertise Director Safety bei Bauer World Expertise verantwortlich. Er conflict 12 Jahre lang Soldat auf Zeit bei der Bundeswehr im Bereich Cybersicherheit.
Ralf Kleinfeld, CISO, Otto (GmbH & Co KG)
Foto: Ralf Kleinfeld
Begonnen hat Ralf Kleinfeld bei Otto vor über elf Jahren als Teamlead Community and Safety. Seit neun Jahren ist er nun als Division Supervisor Info Governance für die Informationssicherheit verantwortlich. Kleinfeld hat Abschlüsse vo der Quadriga College of Utilized Sciences in Berlin und der Technische Universität Kaiserslautern.
Fabian Topp, CISO, Allianz Expertise
Foto: Allianz Expertise
Fabian Topp ist CISO bei Allianz Expertise. Er ist ISO 27001 Lead Implementer, Lead Auditor und CISM zertifiziert. Er besitzt Universtätsabschlüsse in Politologie wie auch Rechtswissenschaften.
