Wie CISOs im Zeitalter der KI auf Kurs bleiben
IT-Spezialist, Businessexperte, Kommunikator, Diplomat – es gibt wenig, was ein CISO nicht können muss. Wie sich die Anforderungen an CISOs durch KI und digitale Souveränität ändern und wie sie damit umgehen sollten, sagt Andy Schneider von Palo Alto Networks.
Was zeichnet einen guten beziehungsweise eine gute CISO aus?
Andy Schneider: Ein guter oder eine gute CISO kann technische Probleme und Herausforderungen in den Businesskontext übersetzen – es geht also nicht primär um die Technologie, sondern darum, welche Anforderungen das Unternehmen hat. Die konkreten Bedürfnisse unterscheiden sich stark von Unternehmen zu Unternehmen: Ein Automobilhersteller auf Sparkurs erfordert eine andere Herangehensweise als ein junges Start-up, das schnell skalieren will. Gleichzeitig muss ein CISO nicht nur überzeugend vor dem Verwaltungsrat sprechen, sondern die besprochenen Themen anschliessend in konkrete Massnahmen und technische Lösungen herunterbrechen können. Das ist ein grosser Spagat, aber gute CISOs müssen diesen machen können.
Stark verallgemeinert lässt sich sagen, dass CISOs in der Regel in zwei Gruppen eingeteilt werden können: Techies, die Management-Fähigkeiten dazugelernt haben, oder Manager, die sich Security-Expertise angeeignet haben. Was müssen diese beiden Gruppen noch voneinander lernen?
Beide Wege führen zum Ziel. CISOs brauchen eine fundierte Security-Expertise; sie brauchen aber auch Führungsfähigkeiten. Letztlich geht es aber primär um Menschen, Zahlen und das Business und weniger um Firewalls oder andere Security-Themen. Das Business zu verstehen und zu beherrschen, ist viel wichtiger. Dies hängt natürlich von der Grösse und Komplexität des Unternehmens ab. Was die beiden voneinander lernen können? Also der Techie kann das Business vom Manager lernen. Am besten setzt er sich mit dem CFO zusammen, um zu verstehen, wie ein Geschäftsbericht überhaupt entsteht, welche Kennzahlen relevant sind und welche strategischen Ziele das Unternehmen verfolgt.
Und die andere Seite – der Manager?
Auf der anderen Seite – und das sehe ich oft – stehen CISOs, denen es an technischen Skills mangelt. Sie werden fast schon zu "Compliance-CISOs", wie ich sie nenne. Statt die Hintergründe und Risiken zu verstehen, beschränken sie sich darauf, Checklisten abzuhaken. "Wir brauchen eine Firewall?" – gekauft, erledigt. "Wir brauchen SASE?" – gekauft, erledigt. Aber die feinen Unterschiede und Details, auf die es am Ende eben doch ankommt, bleiben ihnen verborgen. Ein reiner Business-CISO ist genauso verloren wie ein reiner Tech-CISO – es braucht echte Hybrid-CISOs, die sowohl die Technologie als auch das Geschäft verstehen.
Führt einer dieser Wege zu besseren CISOs?
Ich glaube, es ist heutzutage einfacher, zunächst ein Business-CISO zu sein und sich dann das technische Fachwissen anzueignen. Die Gefahr ist nämlich gross, dass man nicht mehr aus der Technik herauskommt. In grösseren Unternehmen haben CISOs gute, technisch versierte Mitarbeitende im Team, auf die sie sich verlassen können. Ein CISO soll auch zugeben dürfen und können, dass er mal ein Thema nicht versteht, und sich dann Rat bei einem Spezialisten aus dem eigenen Team holen.
Weshalb ist es schwierig, aus der Technik rauszukommen?
Es ist nicht einfach, die Technik loszulassen; viele können das nicht. Wir haben Techie-CISOs, die das Business erlernen, und Business-CISOs, die die Technologie erlernen.
Gibt es noch einen dritten Weg?
In meiner Funktion als Field CSO spreche ich mit vielen CISOs; dabei habe ich viele kennengelernt, die als Quereinsteiger zu dieser Rolle gekommen sind. Ich habe kein Muster gefunden, das besagt, dass die besten CISOs Informatik studiert haben oder HSG-Alumni sein müssen. Quereinsteiger haben oft den Vorteil, dass sie mit einem unvoreingenommenen Blick beginnen können, weil sie nicht zu technikbelastet sind. Das finde ich immer wieder spannend.
Woher kommen diese Quereinsteiger?
Die kommen aus Bereichen wie dem Marketing oder auch aus dem Sales und wechseln dann in eine CISO-Rolle. Das kann sinnvoll sein, denn wer aus der Technik kommt, neigt oft dazu, dem Marketing skeptisch gegenüberzustehen. Dasselbe gilt auch für Personen mit einem reinen Business-Hintergrund. Aber Security muss man intern vermarkten können – es muss den Mitarbeitenden sozusagen verkauft werden. Deswegen sind Marketing- und Sales-Fähigkeiten für einen CISO fast schon essenziell, aber das vergessen viele Business- und Techie-CISOs oft.
Muss ein CISO heutzutage mehr Diplomat, mehr Kommunikator oder mehr Tech-Experte sein?
In erster Linie muss er Kommunikator sein, weil er mit einer Vielzahl von Stakeholdern sprechen muss. Und an zweiter Stelle stehen die diplomatischen Fähigkeiten, weil man Allianzen schmieden muss – auch mit Personen, die man vielleicht nicht gern hat. CISOs müssen die Entscheider im Unternehmen identifizieren und sie für die eigenen Sicherheitsinitiativen gewinnen können. Nur so lassen sich Massnahmen erfolgreich umsetzen. Dieser Human-Factor ist nicht neu, gewinnt jedoch zunehmend an Bedeutung – das zeigt auch eine aktuelle Studie von Palo Alto Networks. Der CISO wird immer mehr zu einer Corporate-Rolle, die viel breiter aufgestellt ist.
Wie hat sich das Profil des CISOs in den vergangenen fünf bis zehn Jahren verändert?
Durch die Zunahme von Regulierungen wie beispielsweise NIS-2 ist der Druck auf den CISO gestiegen. Die Verantwortung und die Haftbarkeit im Ernstfall verlagern sich immer mehr in Richtung CISO. Einen Präzedenzfall, in dem ein CISO angeklagt wurde, gibt es bislang aber nicht. Derzeit liegt die Verantwortung meist noch beim CEO. Delegiert dieser jedoch sauber, haftet der Nächste in der Nahrungskette – und das wäre dann der CISO. Diese gestiegene Verantwortung und die Haftbarkeit wirken sich auf die Art und Weise aus, wie man Entscheidungen trifft. Das Denken wird langfristiger und ergebnisorientierter; sich hinter reinen Checklisten zu verstecken, reicht dann nicht mehr. Das ist der eine Treiber, der die Funktion des CISOs verändert.
Und der andere Treiber?
Die Angriffe hören nicht auf. In den vergangenen 20 Jahren haben wir zwar zahlreiche neue Abwehrtechnologien eingeführt, aber gleichzeitig sind genauso viele – wenn nicht sogar mehr – Angriffe aufgetreten. Unternehmen realisieren nun, dass es nicht genügt, einfach ISO-27001-konform zu sein. Unternehmen müssen schauen, dass sie auch sicher sind. Dafür brauchen sie kompetente CISOs, die nicht nur die Compliance im Blick haben, sondern den Spagat zwischen Technik und Business machen können.
Wie hat das Aufkommen von generativer KI die Aufgaben des CISOs verändert?
Noch ist die KI nicht vollständig angekommen, aber die Aufgaben des CISOs befinden sich wegen ihr bereits im Wandel. Angreifer nutzen immer häufiger KI – etwa für Deepfakes, für Phishing-Attacken oder für Schadprogramme, die auch schon KI-Elemente haben können. Diese Entwicklungen beschleunigen sich kontinuierlich. Auf der Abwehrseite kann man nicht einfach abwarten und zusehen: Die Verteidigung muss ebenfalls schneller werden. Mit ausschliesslich menschlichen Spezialisten ist eine effiziente Abwehr schon nicht mehr möglich. KI wird hier deshalb eine enorm wichtige Rolle spielen. Zugleich führen Unternehmen verzweifelt KI-Projekte ein, weil sie sich dadurch Effizienzgewinne erhoffen. Auch hier kommt der CISO also nicht darum herum, sich mit KI-Modellen zu beschäftigen.
Inwiefern sind KI-Systeme anders zu schützen als herkömmliche IT-Systeme?
Eine KI kann man nicht einfach patchen und anschliessend wieder sicher verwenden. Wenn ein KI-Modell eine Schwachstelle hat, muss ich sechs Monate warten, bis ein neues Modell bereitsteht. Hier braucht es einen anderen Security-Ansatz. Deswegen sind derzeit alle CISOs gefragt, Sicherheitsarchitekturen so umzusetzen, dass auch KI-Modelle geschützt sind. Dieser Wandel ist vergleichbar mit der Revolution, die durch das Aufkommen von SaaS-Modellen ausgelöst wurde.
Wie weit sind die CISOs mit dem Einsatz von KI in der Abwehr?
In den Gesprächen, die ich bisher geführt habe, wurde deutlich, dass die meisten CISOs noch nicht so weit sind. Etwa 20 Prozent beschäftigen sich bereits aktiv mit KI-gestützter Abwehr, während rund 80 Prozent das Thema noch kaum berührt haben. Das wird wohl dazu führen, dass es zu Schatten-KI in Unternehmen kommt. Die meisten CISOs haben noch nicht verstanden, dass sich KI nicht wegblockieren lässt. Eine Technologie zu verbieten, weil sie Risiken birgt, hat in den vergangenen 20 Jahren schon nicht funktioniert – das wird auch jetzt mit der KI nicht funktionieren. Stattdessen sollten CISOs als Enabler auftreten und den sicheren, strategischen Einsatz von KI in der Sicherheitsarchitektur ermöglichen.
Wie viele von diesen 20 Prozent, die sich damit beschäftigen, setzen KI aktiv ein?
Von den CISOs, mit denen ich gesprochen habe, nutzen tatsächlich nur etwa 5 Prozent eine KI-Security-Lösung, um ihre Modelle zu schützen. Wenn ich hingegen mit CIOs spreche, liegt der Anteil deutlich höher. Fast ein Drittel sagt, dass sie KI tatsächlich operativ einsetzen. Manche CIOs sagen jedoch tatsächlich, dass dies nicht zusammen mit dem CISO möglich ist, weil dieser alles blockieren würde. KI-Projekte entstehen daher ähnlich wie früher Cloud-Initiativen: Ausserhalb der IT-Abteilung entstehen kleine Bubbles, die die Security ausschliessen. Das hat damals nicht funktioniert und das wird auch heute nicht funktionieren. Es liegt an den CISOs, als Diplomaten und Kommunikatoren die richtigen Allianzen im Unternehmen zu schmieden, damit die Security von Beginn an in diese KI-Projekte eingebunden wird.
Ein weiteres aktuelles Thema ist die digitale Souveränität. Hierbei handelt es sich primär nicht um ein technologisches, sondern um ein politisches Thema. Wie viel internationale Politik muss ein CISO verstehen, um seine Aufgaben optimal erfüllen zu können?
Er muss sich gewiss damit beschäftigen. Politik ist immer sehr kurzfristig und auch emotional aufgeladen. CISOs müssen unterscheiden können, was die allgemeine Gefühlslage ist und was bloss von der Politik genutzt wird, um irgendwelche Eigeninteressen zu pushen. Deshalb empfehle ich jedem CISO, ein klassisches Risikomanagement zu betreiben. Es bestehen zwar Risiken im Zusammenhang mit der digitalen Souveränität, doch die Wahrscheinlichkeit, von einer Ransomware getroffen und erpresst zu werden, ist um ein Vielfaches höher. CISOs müssen den politischen Diskurs beiseitelassen und Risiken nüchtern priorisieren können. Nur so kann ein CISO die Geschäftsleitung oder den Verwaltungsrat richtig briefen. Wenn wir uns emotional auf ein Thema versteifen, verlieren wir das grosse Ganze aus den Augen. Für CISOs muss aber das Business immer an erster Stelle stehen.
Ich fasse kurz das Anforderungsprofil eines CISOs zusammen: Techie, Businessexperte, Sales-Spezialist, Marketingprofi, Politik-Versteher, Kommunikationstalent und Risiko-Management-Beherrscher. Gibt es auch Fähigkeiten, die ein CISO nicht unbedingt besitzen muss?
Wow, das ist eine gute Frage. Die Funktion des CISOs ist tatsächlich eine sehr krasse Generalistenrolle. Es kommen sogar noch mehr Aspekte als die aufgezählten hinzu: So muss ein CISO auch People- und HR-Fähigkeiten mitbringen, wenn er ein Team führt. Zudem müssen CISOs ihre Mitarbeitenden motivieren und auf die Security-Reise mitnehmen können. Das macht diese Rolle so anspruchsvoll.
CISOs werden zuweilen noch als Wachhunde – als die interne IT-Polizei – angesehen, die alles blockiert, was vermeintlich Spass macht. Was empfehlen Sie CISOs, die sich stärker als Business-Enabler positionieren wollen?
Sie sollten mit dem CIO und dem CFO zusammenspannen und die Planung für die nächsten fünf Jahre gemeinsam anschauen. Anschliessend würde ich die Marketing-Verantwortlichen an Bord holen, um zu zeigen, warum Security für das Unternehmen unverzichtbar ist. CISOs müssen langfristig denken, ihre Scheuklappen ablegen und sich fragen, wie sie ihre Security-Initiativen mit anderen Projekten im Unternehmen verknüpfen können. Security muss so umgesetzt werden, dass sie das Leben der Mitarbeitenden tatsächlich einfacher macht. Das erfordert viel Kaffee: Denn sich mit Leuten hinzusetzen und ihnen zuzuhören, ist das A und O.
Sie sagten, sie sprechen mit vielen CISOs. Treffen Sie dabei auch Personen, die ihren Aufgaben als CISO nicht gewachsen sind?
Ich nenne jetzt keine Zahlen, aber ja, ich treffe definitiv auch solche CISOs. Viele verstecken sich hinter reiner Compliance. Sie sagen zwar, wie es richtig wäre und was man anders tun sollte; aber sie übernehmen die Verantwortung noch nicht. Aber das ist wie wenn Eltern ihren Kindern verbieten, auf einen Baum zu klettern. Wenn die Kinder es trotzdem tun, vom Baum fallen und sich verletzen, genügt es nicht, sie daran zu erinnern, dass man sie gewarnt hat. Die Eltern müssen trotzdem mit dem Kind zum Arzt fahren und das Ganze ausbaden. Wenn es darum geht, diese Verantwortung zu übernehmen, sind viele CISOs – vorsichtig ausgedrückt – noch in der Findungsphase.
Was sind – abgesehen von der Compliance-Mentalität – die grössten Stolpersteine, vor denen CISOs auf der Hut sein müssen?
Es ist nicht immer sinnvoll, auf sein Recht zu pochen. Es ist viel wichtiger, als Unterstützer wahrgenommen zu werden, als Recht zu haben. Manchmal hört man in Vorstands- und Board-Meetings komplette Gaga-Vorschläge oder -Ansichten. Hier gilt es, einfach loszulassen, statt dagegen zu kämpfen, und den Fokus auf die wenigen, wirklich kritischen Punkte zu legen. So kann sich ein CISO als Enabler positionieren und die IT-Sicherheit nachhaltiger erhöhen.
Wie wird sich die Rolle des CISO in den nächsten fünf bis zehn Jahren verändern?
CISOs werden sich einen echten Platz am Tisch verdienen. Aufgrund strengerer Regularien werden sie stärker in Haftung genommen. Somit werden auch Versicherungen für CISOs immer relevanter. Diese Entwicklung wirkt sich natürlich auch auf die Gehälter aus. Gleichzeitig löst sich die CISO-Funktion zunehmend aus der reinen IT-Abteilung. Gewisse Technologien und Verantwortungsbereiche, die heute noch zur IT gehören, wandern in den Aufgabenbereich des CISO. Das führt dazu, dass die Teams und auch die Budgets wachsen – aber damit nimmt auch die Verantwortung zu, die CISOs übernehmen müssen. Die USA sind schon an diesem Punkt angekommen und bei uns beginnt die Maschinerie nun langsam anzuspringen und in diese Richtung zu lenken.
Zur Person
Andy Schneider ist Chief Security Officer EMEA Central bei Palo Alto Networks. Mit über 20 Jahren Erfahrung in der IT-Branche setzt er sich für die Stärkung der Cyberresilienz bei C-Level-Führungskräften ein, agiert als deren enger Berater und etabliert zukunftsweisende Thought-Leadership-Themen in der Branche.
Wie CISOs im Zeitalter der KI auf Kurs bleiben
Wenn KI-Agenten zu viel dürfen – die "Rule of Two" als Sicherheitsleitlinie
Sicherheit beginnt bei der Führung
Avaloq hat neuen Schweiz-Chef
Sicherheit, die Innovation ermöglicht
Sunrise ernennt neuen Chief Consumer Officer für Nebenmarken
Die Universalgelehrten der IT
Asymmetrie in der Cybersicherheit – "schön" ist nicht immer "sicher"
Chance auf Robocop-Karriere vertan
