ISGroup Cybersicherheitsberatung

Guter CISO / Schlechter CISO

Ein guter CISO ist eine Führungskraft, die technologische Risiken managt.
Ein schlechter CISO ist ein IT-Manager, der sich darauf beschränkt, Sicherheitstools zu verwalten.

Ein guter CISO definiert eine klare Strategie: wie man die Gegner schlägt.
Ein schlechter CISO verwechselt eine Liste von Projekten und Anbietern mit einer Strategie.

Ein guter CISO baut Mechanismen auf, die im Laufe der Zeit Wert generieren (Flywheel-Effekt).
Ein schlechter CISO löscht ständig Brände und befindet sich im Dauernotfallmodus.

Ein guter CISO sorgt dafür, dass schlechte Nachrichten schnell die Runde machen.
Ein schlechter CISO erfährt als Letzter davon.

Ein guter CISO verwaltet aktiv Anbieter, Software und Lieferketten.
Ein schlechter CISO kauft einfach immer nur neue Sicherheitsprodukte.

Ein guter CISO investiert in langfristige Beziehungen mit langfristig orientierten Menschen.
Ein schlechter CISO verfolgt einen rein transaktionalen Ansatz.

Übersetzung und Adaption eines Artikels von Phil Venables und Mike Aiello (philvenables.com – 20. September 2025).

In einem modernen Unternehmen ist ein effektives Sicherheitsprogramm einer der stärksten Hebel, um Innovationen zu ermöglichen, Resilienz aufzubauen und dauerhaftes Vertrauen bei Kunden und Partnern zu schaffen. Dennoch wird die Rolle des Chief Information Security Officer (CISO) oft missverstanden und unterschätzt.

Nach Jahrzehnten des Aufbaus und der Beobachtung von Sicherheitsprogrammen in unterschiedlichsten Kontexten sind Phil Venables und Mike Aiello zu einem klaren Schluss gekommen: Der Unterschied zwischen einem guten und einem schlechten CISO ist keine Frage des Budgets oder der Technologie, sondern eine Frage der Mentalität, der strategischen Vision und der Verantwortung.

[Callforaction-VCISO]

Genau wie es gute und schlechte Produktmanager gibt, gibt es gute und schlechte CISOs. Hier erfahren Sie, wie man sie erkennt.

Executive-Mentalität, nicht Techniker-Denken

Ein guter CISO ist in erster Linie eine Führungskraft. Er verhält sich wie der CEO des Sicherheitsprogramms, übernimmt die volle Verantwortung für die Ergebnisse und misst sich am geschäftlichen Einfluss. Er kennt das Geschäftsmodell des Unternehmens, seine Kultur und seine Prioritäten. Er “verwaltet” nicht nur die Sicherheit, sondern baut eine Risikomanagementstrategie auf, die mit den Unternehmenszielen im Einklang steht und diese vorantreibt.

Im Gegensatz dazu hat ein schlechter CISO einen reaktiven und begrenzten Ansatz: Er verwaltet Tools, sammelt Ausreden und fühlt sich von Benutzern, Entwicklern, Führungskräften und Budgets behindert. Er übernimmt nie die volle Verantwortung und neigt dazu, Probleme als außerhalb seines Zuständigkeitsbereichs liegend zu betrachten.

Klare Strategie vs. Aufgabenliste

Der gute CISO weiß, dass ein operativer Plan keine Strategie ist. Er definiert eine kohärente Vision, wie man sich gegen Gegner durchsetzt und langfristig Resilienz aufbaut. Seine Strategie ist generativ: Sie inspiriert andere Abteilungen, schafft nützliche Arbeit und vereinfacht Entscheidungen. Er definiert klar das “Was” und lässt Flexibilität beim “Wie”.

Der schlechte CISO hingegen präsentiert lange Listen von Projekten, Initiativen und Anschaffungen, kann aber keine einheitliche Richtung erklären. Seine Arbeitsweise ist zehrend: Er verschwendet die Energie des Teams, zermürbt interne Beziehungen und verbrennt politisches Kapital, ohne Wert zu schaffen.

Vom Handwerk zur industriellen Skalierung

Der gute CISO baut tugendhafte Mechanismen auf, die sich selbst speisen: Prozesse, die die Stückkosten der Kontrolle senken, skalierbare Lösungen und Umgebungen, in denen der sichere Weg auch der einfachste ist. Er verwandelt Sicherheit von einer handwerklichen Tätigkeit in eine industrielle Fähigkeit. Er weiß, wie man systemische Risiken antizipiert und nachhaltige Lösungen baut.

Der schlechte CISO arbeitet immer im Notfallmodus. Er rennt von einem Vorfall zum nächsten, misst die Produktivität an geschlossenen Tickets und lebt in einem ständigen Krisenzustand. Sein Ansatz ist reaktiv, ineffizient und lässt strukturelle Probleme immer ungelöst.

Strategisches Vendor Management

Der gute CISO kauft nicht nur Sicherheitstools, sondern wählt Produkte aus, die von Grund auf sicher konzipiert sind (Secure by Design). Er nutzt seine Kaufkraft, um Anbieter positiv zu beeinflussen und robustere Lieferketten aufzubauen. Er arbeitet daran, die Nachfrage nach reaktiven Lösungen zu senken, indem er an der Ursache ansetzt, nicht nur an den Auswirkungen.

Der schlechte CISO sieht jedes neue Tool als Allheilmittel. Er reagiert auf Verkaufsdruck, verlässt sich auf die Versprechen der Anbieter und betrachtet Technologie als automatische Antwort auf Prozess- oder Personalprobleme.

Effektive Kommunikation

Der gute CISO spricht die Sprache des Unternehmens: Risiko, Kapital, Chancen. Er ist in der Lage, Risiken zu quantifizieren, verbreitet klare und strukturierte Dokumente (Whitepaper, FAQs, Positionspapiere), um seine Kommunikation zu skalieren und Konsens aufzubauen. Er weiß, dass die Wahrnehmung von Risiko genauso wichtig ist wie das Risiko selbst. Er ist ein Geschichtenerzähler.

Der schlechte CISO kommuniziert in technischem Jargon, verlässt sich auf verwirrende Metriken und beschwert sich darüber, nicht gehört zu werden. Er spricht nur mündlich, vermeidet schriftliche Positionierungen und ist völlig überrascht, wenn kleine Vorfälle große Reaktionen bei den Stakeholdern auslösen.

Technische Kompetenz mit Empathie

Ein guter CISO verfügt über solide technische Grundlagen, nutzt diese jedoch, um operative Einschränkungen zu verstehen, den Dialog mit Ingenieuren zu erleichtern und realistische Lösungen zu bauen. Seine Kompetenz schafft Vertrauen, nicht Autoritarismus.

Ein schlechter CISO verfügt möglicherweise nicht über genügend technische Kompetenz, um mit Kollegen zu kommunizieren, oder – falls er sie hat – nutzt er sie als Hebel, um Lösungen aufzuzwingen. Er behindert Innovationen, schafft Reibung und isoliert sich.

Feedback-Kultur

Der gute CISO möchte Probleme vor allen anderen kennen. Er schafft ein Klima des Vertrauens, in dem sich Menschen frei fühlen, die Wahrheit zu sagen, auch wenn sie unangenehm ist. Er fördert Transparenz, Eigenverantwortung und ein breites Bewusstsein.

Der schlechte CISO erfährt Dinge oft als Letzter, weil er ein Umfeld geschaffen hat, in dem das Melden von Problemen riskant ist. Er bleibt im Filter der schlechten Nachrichten gefangen.

Empowerment des Teams

Der gute CISO baut ein autonomes Team auf, wertschätzt aufstrebende Führungskräfte und verteilt Verantwortung durch föderierte Modelle wie “Security Champions”. Er ist kein Flaschenhals, sondern ein Multiplikator.

Der schlechte CISO zentralisiert alles, trifft alle Entscheidungen selbst und macht sich unersetzlich. Das macht ihn zum Single Point of Failure.

Beziehung zum Board

Der gute CISO hilft dem Vorstand, besser zu regieren. Er bringt ihnen bei, welche Fragen sie stellen müssen, verwandelt das Reporting in einen strategischen Dialog und baut eine geteilte Verantwortung auf.

Der schlechte CISO beschränkt sich darauf, “den Stand der Dinge” zu präsentieren und versucht nur, mehr Budget zu bekommen. Er hilft dem Board nicht dabei, das Verständnis für Risiken zu vertiefen.

Netzwerk und Zusammenarbeit

Der gute CISO investiert in die langfristige Perspektive, baut Beziehungen auf Vertrauensbasis auf und trägt genauso viel zu seinem Netzwerk bei, wie er daraus gewinnt. Er arbeitet für den Erfolg der Organisation und schafft die Voraussetzungen für Geschwindigkeit und Autonomie.

Der schlechte CISO ist opportunistisch: Er aktiviert sein Netzwerk nur, wenn er etwas braucht, nimmt, ohne zu geben, und will Kontrolle ohne Austausch. Damit bremst er das gesamte System aus.

Gute CISOs sind technische, praktische und geschäftsorientierte Persönlichkeiten. Sie inspirieren Teams, arbeiten mit Stakeholdern zusammen und übernehmen echte Verantwortung für Veränderungen. Sie wissen, wie man Strategie und Taktik ausbalanciert, ohne dass das eine das andere erdrückt.

Schlechte CISOs tun all dies schlichtweg nicht. Oder sie tun es zu spät. Für Unternehmen, die noch keine Führungskraft auf diesem Niveau intern haben, kann die Beauftragung eines Virtual CISO-Dienstes der konkreteste Weg sein, die Lücke zu schließen, ohne darauf zu warten, das richtige Profil auf dem Markt zu finden. Um die Rolle und die Verantwortlichkeiten dieser Figur weiter zu vertiefen, ist auch der Leitfaden darüber hilfreich, was ein Virtual Chief Information Security Officer tut.

Häufig gestellte Fragen

  • Was ist der Hauptunterschied zwischen einem guten und einem schlechten CISO?
  • Der Unterschied liegt nicht im Budget oder den verfügbaren Tools, sondern in der Mentalität: Ein guter CISO verhält sich wie eine Führungskraft, übernimmt die Verantwortung für Ergebnisse und baut eine Strategie auf, die mit den Unternehmenszielen übereinstimmt. Ein schlechter CISO verwaltet Tools und reagiert auf Ereignisse, ohne jemals strukturelle Probleme anzugehen.
  • Kann ein Unternehmen ohne internen CISO dennoch eine effektive Sicherheits-Governance haben?
  • Ja. Viele Unternehmen, insbesondere mittelständische, greifen auf einen externen Virtual CISO zurück, um die gleiche strategische Führung ohne die Kosten und Zeitaufwände einer Marktsuche zu erhalten. Das Modell funktioniert gut, wenn der vCISO direkten Zugang zum Vorstand hat und mit voller Verantwortung für das Sicherheitsprogramm agieren kann.
  • Wie erkennt man einen guten CISO während eines Auswahl- oder Bewertungsprozesses?
  • Ein guter CISO kann seine Strategie in Bezug auf Risiko und geschäftliche Auswirkungen erklären, nicht nur in technischen Begriffen. Er spricht über skalierbare Mechanismen, darüber, wie er eine Feedback-Kultur im Team aufgebaut hat und wie er die Beziehung zum Vorstand gemanagt hat. Wer nur mit Listen von eingeführten Tools oder erworbenen Zertifizierungen antwortet, steckt wahrscheinlich noch in einer operativen, nicht strategischen Logik fest.

[Callforaction-VCISO-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *