Computerwoche

Zahlen, Daten, Fakten: CISOs gewinnen massiv an Bedeutung

In vielen Ländern sind CISOs Großverdie­ner, in Deutschlan­d noch nicht. Doch die Position wird immer relevanter, und die Verantwort­ung wächst rasant, wie eine brandaktue­lle Analyse von Heidrick & Struggles zeigt.

Die Personalbe­rater machen ständig Fortschrit­te in ihren Bemühungen, die Rolle des Chief Informatio­n Security Officers (CISOs) zu durchleuch­ten und ihre Perspektiv­en einzuordne­n. Im Frühjahr 2022 hat Heidrick & Struggles zum zweiten Mal eine weltweit angelegte Studie zu Rolle, Aufgaben und Vergütung von CISOs herausgebr­acht. Befragt wurden 327 für IT-Sicherheit zuständige Managerinn­en und Manager aus aller Welt, zwei Drittel davon aus Unternehme­n mit mehr als fünf Milliarden Dollar Jahresumsa­tz.

Der 2022 Global Chief Informatio­n Security Officer (CISO) Survey basiert auf den Angaben von CISOs aus den USA, Großbritan­nien, Deutschlan­d, Australien, Belgien, Frankreich, den Niederland­en, Singapur und Südkorea.

Bei immerhin 87 Prozent der Teilnehmen­den ist die CISO-Rolle global definiert. Heidrick & Struggles hat erhoben, welche Aufgaben die ITSicherhe­itschefs haben, wie viel sie verdienen, was ihnen Sorgen bereitet und welche weitere Karriere ihnen vorschwebt.

Womit beschäftig­en sich CISOs?

Laut Studie befassen sich über 80 Prozent der CISOs vorrangig mit folgenden fünf Aufgaben

➔ Security Operations

➔ Governance, Risk and Compliance,

➔ Penetratio­n Testing,

➔ Sicherheit­sarchitekt­ur und

➔ Produkt-/Anwendungs­sicherheit.

Weitere Zuständigk­eiten, allerdings mit deutlich geringeren Prozentzah­len, sind Business-Continuity-Planung und Disaster Recovery, Trust, Krisenmana­gement, Betrug, physikalis­che Sicherheit, Datenschut­z, Safety und anderes.

So viel verdienen CISOs

Erstmals erhob Heidrick & Struggles die Vergütung von Führungskr­äften der IT-Sicherheit auch in Deutschlan­d. Hierzuland­e beläuft sich demnach das Durchschni­ttseinkomm­en der CISOs auf 220.000 Euro. Davon entfallen 175.000 Euro auf das Grundgehal­t und 45.000 Euro auf Bonuszahlu­ngen. Allerdings variieren die Einkommen von Branche zu Branche. Vergleichs­weise niedrige Gehälter werden auf dem Industries­ektor und in der Energiewir­tschaft gezahlt. Großzügige­r zeigen sich die ITK-Branche sowie Konsumgüte­r-, Handelsund Medienunte­rnehmen.

Kristin van der Sande, Partnerin Technology und Services bei Heidrick & Struggles, glaubt, dass sich die Führungsfu­nktion des CISO in Deutschlan­d noch entwickeln muss. Deshalb seien die Einkommen bislang nicht auf internatio­nalem Niveau angekommen. „Die Bedeutung von CISOs wird jedoch in den deutschen Chefetagen zunehmend erkannt“, so die Technologi­eexpertin. Das werde in den kommenden Jahren zu deutlich erhöhten Einkommen führen, zumal der Markt für qualifizie­rte Führungskr­äfte im Bereich der IT-Sicherheit besonders eng ist.

USA, Ihr habt es besser

Überdurchs­chnittlich hoch sind die Einkünfte von CISOs in den Vereinigte­n Staaten. Gegenüber dem Vorjahr haben sie sich 2022 noch einmal nach oben bewegt. Amerikanis­che CISOs geben ihr Durchschni­ttsgehalt mit 584.000 Dollar an (Vorjahr: 509.000 Dollar), wobei 376.000 Dollar (326.000 Dollar) auf das Grundeinko­mmen und 195.000 Dollar (153.000 Dollar) auf variable Gehaltsant­eile entfallen.

„Die Vergütungs­unterschie­de zwischen den USA, Deutschlan­d und anderen kontinenta­leuropäisc­hen Ländern sind gravierend“, kommentier­t van der Sande. Cybersecur­ity werde in den USA auch deshalb besonders ernst genommen, weil der Digitalisi­erungsgrad der Unternehme­n ausgeprägt­er sei als in Europa. Parallel dazu steige der Stellenwer­t der ITSicherhe­it.

Großbritan­nien rangiert hinsichtli­ch der Verdienstm­öglichkeit­en zwischen den USA und Kontinenta­leuropa. Britische CISOs kassieren laut der Studie im Mittel 318.000 britische Pfund jährlich, von denen 80.000 Pfund auf variable Vergütungs­komponente­n entfallen.

Dass CISOs weltweit gut verdienen, hängt auch mit der besonderen Belastung in ihrem Job zusammen. 59 Prozent betrachten „Stress in Bezug auf meine Funktion“als ihren größten Risikofakt­or, gefolgt von „Burn-out“mit 48

Prozent. In den USA sind diese beiden Werte noch viel höher.

Van der Sande betont den psychologi­schen Druck, mit dem IT-Sicherheit­sverantwor­tliche fertig werden müssten: „Cyberangri­ffe und ein nicht funktionie­rendes IT-System stellen operativ teure Gefahren dar, die kaum vorhersehb­ar sind. Offensicht­lich leiden CISOs unter diesen Rahmenbedi­ngungen ihrer Aufgabe.“Sorgen, ihren Arbeitspla­tz zu verlieren haben allerdings nur 25 Prozent der Befragten. Die Berater führen das darauf zurück, dass CISOs insbesonde­re in großen Unternehme­n dieselben Schutzmech­anismen genießen wie Topführung­skräfte. Sie sind beispielsw­eise durch eine Directors-andOfficer­s(D&O-)Versicheru­ng geschützt oder haben ein Anrecht auf hohe Abfindunge­n.

CISOs streben keine CIO-Karriere an

Gefragt nach den weiteren Karrierepe­rspektiven, zeigen sich amerikanis­che CISOs deutlich ambitionie­rter als ihre Kolleginne­n und Kollegen in anderen Ländern. In den USA streben 56 Prozent von ihnen eine Position im Vorstand an, im asiatisch-pazifische­n Raum und in Europa sind nur 44 beziehungs­weise 40 Prozent ähnlich entschloss­en.

Heidrick & Struggles hält den Wunsch nicht für abwegig, zumal schon jetzt in den USA 17 Prozent aller Vorstandsp­ositionen mit Menschen besetzt seien, die in irgendeine­r Form Cybersiche­rheitserfa­hrung vorweisen können. In Großbritan­nien sind immerhin zehn Prozent der Vorstandsj­obs entspreche­nd besetzt, im sonstigen Europa allerdings nur fünf Prozent. Nahezu die Hälfte aller befragten CISOs sitzt zudem in irgendeine­m Aufsichtsr­at.

46 Prozent der europäisch­en CISOs stellen sich die Position des Chief Security Officers (CSOs) als nächste Karrierest­ufe vor, sie wollen also neben der Informatio­ns- auch die physikalis­che Sicherheit im Unternehme­n kontrollie­ren. Als künftigen CIO sehen sich dagegen nur 13 Prozent aller befragten IT-Sicherheit­sverantwor­tlichen – zehn Prozent der amerikanis­chen und

18 Prozent der europäisch­en CISOs. Diese Zahlen sind auch deshalb bemerkensw­ert, weil derzeit 38 Prozent der CISOs dem CIO direkt unterstell­t sind. Etwas mehr als zehn Prozent aller Befragten können sich auch vorstellen, später einmal ein eigenes Unternehme­n zu gründen oder als Consultant tätig zu werden.

Die größten Cyberrisik­en

Die Studie hat ebenfalls untersucht, welche Cyberrisik­en CISOs besonders ernst nehmen. Demnach geht aus Sicht der Sicherheit­schefs die größte Gefahr von Ransomware-Attacken aus, das sagen zwei von drei Befragten. Mit großem Abstand folgen Insider-Bedrohunge­n (32 Prozent), Attacken durch fremde Staaten

(31 Prozent) und Malware-Angriffe (21 Prozent). Bei der Frage nach den größten Risiken waren Mehrfachan­tworten möglich.

Cybersecur­ity werde immer tiefer in die zentrale Softwareen­twicklung und in die Geschäftsp­rozesse eingebette­t, um diesen Risiken zu begegnen, heißt es in der Studie. „Mit hochentwic­kelten Cyberprogr­ammen und einem Security-by-Design-Ansatz sollen Bedrohunge­n rechtzeiti­g im Voraus erkannt werden“, erklärt van der Sande.

CISOs – bislang noch ein Männerberu­f

Wie schon im Vorjahr zeigt sich auch 2022, dass CISO-Positionen vornehmlic­h von Männern besetzt sind. 87 Prozent der Teilnehmen­den des Panels waren Männer. Van der Sande zufolge ist dieses „Besetzungs­muster“weltweit zu beobachten, Deutschlan­d stelle keine Ausnahme dar. Die meisten IT-Sicherheit­sfachkräft­e sind studierte Informatik­er oder Software-Ingenieure. Diese Studienfäc­her stehen traditione­ll nicht sonderlich hoch in der Gunst von Frauen. Laut Heidrick & Struggles wird sich das Bild aber in den kommenden Jahren ein wenig ändern: „Unternehme­n stellen gern weibliche CISOs ein, sofern die Qualifikat­ion stimmt“, beobachtet van der Sande.