91 Prozent der CISOs leiden heutzutage an „moderatem oder hohem“ Stress. Hier sind einige Möglichkeiten, die Ihnen und Ihren Mitarbeitern helfen können. [...]
Die ehemalige CISO Karen Worstell hat nichts dagegen, ihre Burnout-Geschichte mit anderen Vertretern der Branche zu teilen. Vor etwa einem Jahrzehnt verließ sie ihre Position als Vizepräsidentin für Risikomanagement bei AT & T Wireless nach einem zermürbenden Fusionsprojekt. Sie machte zwei Wochen Urlaub und begann dann ihre neue Rolle als CISO bei Microsoft. Ihre Eingewöhnung in die neue Kultur erwies sich als steinig und unerträglich anstrengend, nachdem ihr Chef ihre Leistungskennzahlen für das Jahr festgelegt hatte: Keine Hacks, keine Leaks.
Selbstzweifel schlichen sich ein und sie suchte die Hilfe eines Psychiaters, der ihr sagte, dass mit ihr alles in Ordnung sei. Sie habe wahrscheinlich nur Schlafmangel, erklärte er. Er reichte ihr drei Rezepte und machte dann noch einen zweifelhaften Kommentar: „Sie haben keine Ahnung, wie viele Ihrer Kollegen ich hier sehe.“ Fünf Monate später trat sie zurück.
Anders als bei den IT-Projekten, die sie in ihrem Leben schon gemacht hatte und die einen Anfang und ein Ende haben, bestand „die Herausforderung mir Cybersecurity darin, dass man sie nicht abschließen kann“, erklärt Worstell, die heute CEO der W Risk Group und Gründerin von MOJO Maker für Frauen in der Tech-Branche ist. „Wenn Sie sich in etwas hineinbegeben, das so anstrengend und vor allem unkontrollierbar ist, nimmt es eine Art Eigenleben an. Es ist wird zu Ihrem schlimmsten Albtraum, aus dem Sie einfach nicht aufwachen können.“
Zweifellos spielt Stress eine große Rolle bei der Abnahme der psychischen Gesundheit und dem Karriere-Burnout der heutigen CISOs und ihrer Teams. Laut einer kürzlich von Nominet in Auftrag gegebenen Befragung von 408 CISOs, die die Sicherheit großer US-amerikanischer und britischer Organisationen überwachen, geben rund 91 Prozent der befragten CISOs an, an „mäßigem oder hohem“ Stress zu leiden, und 60 Prozent können nur „selten“ von ihrer Rolle am Arbeitsplatz abschalten. Noch besorgniserregender ist, dass 17% der Befragten angegeben haben, Medikamente oder Alkohol zu nutzen, um diesen Stress zu bewältigen.
Was die Sache noch verschlimmert ist, dass beinahe täglich eine ganze Flut an Schlagzeilen auf den privaten und geschäftlichen Smartphones auftaucht, die die Sicherheitsexperten auf die neusten Datenpannen und deren Angreifer aufmerksam machen soll. Das erwecke den Eindruck, „als würden Ihre Kameraden um Sie herum auf dem Schlachtfeld fallen!“, so Worstell.
Dieser beständige Verteidigungszustand kann zur Erschöpfung führen – oder sogar Schlimmeres, meint Jeffrey M. Stanton, Professor für Informationsstudien an der Syracuse University. Seine Forschung konzentriert sich auf arbeitsbedingten Stress sowie auf die Beziehung zwischen Unternehmensverhalten und Technologie. „Ein grundlegender Aspekt des Cybersecurity-Berufs besteht darin, dass er defensiv ist. Das bringt die Menschen natürlich in eine wachsame Geisteshaltung; immer wachsam vor möglichen Bedrohungen“, so Stanton. „Aufmerksamkeit und Wachsamkeit werden zwangsläufig anstrengend, wenn sie über einen längeren Zeitraum hinweg aufrechterhalten werden müssen.“
Wer ist schuld am Cybersecurity-Burnout?
Der Stress, der die CISOs betrifft, ist der Studie zufolge auch auf die mangelnde Einbindung der C-Suite und des Boards zurückzuführen. Ungefähr ein Drittel (32 Prozent) der US-amerikanischen CISOs gab an, dass das Management-Team nicht versteht und akzeptiert, dass Sicherheitsverletzungen unvermeidlich sind. Diese Führungskräfte glauben, dass entweder a) niemand ihrem Unternehmen aufmerksam genug ist und ihnen das nicht passieren kann; oder b) dass der CISO sie vor allen Sicherheitsverletzungen und Datenlecks beschützen kann und sollte. Mehr als ein Viertel der US-amerikanischen CISOs (29 Prozent) geht davon aus, dass ihnen im Falle eines Verstoßes eine offizielle Verwarnung droht oder dass sie sogar ihre Jobs verlieren.
Nach Ansicht von Dr. Bill Souza, Professor für Cybersicherheit an der University of North Dakota, führt der oftmals weit verbreitete Talentmangel und der Mangel an hinreichend ausgebildetem Personal zum Burnout. „Dieser Mangel kann bedeuten, dass Sie überlastet sind und sehr viel Arbeit haben“, sagt er.
Erkennen Sie die Anzeichen des Burnout
Der Stress ist also zweifellos real; es gibt aber auch Möglichkeiten das Burnout in der Cybersicherheit einzudämmen. CISOs und Manager müssen zunächst die Anzeichen von Burnout bei sich und ihren Mitarbeitern erkennen und daraufhin ein weniger stressiges Umfeld schaffen.
Wie das in vielen Situationen und Berufen der Fall ist, sollten Sie nach bedeutsamen Verhaltensänderungen Ausschau halten, beispielsweise nach unerwarteten oder unvorhersehbaren Wutausbrüchen, so Stanton. „Wenn sich die Persönlichkeit einer Person plötzlich und scheinbar verändert hat, ist es möglich, dass sie unter arbeitsbedingtem Stress leidet.“ Auch körperliche Anzeichen und Symptome, wie sie beispielsweise durch Schlafstörungen hervorgerufen werden, können Anhaltspunkte sein.
Das einfachste Verhalten, an dem Burnout früh erkennbar ist, ist Zynismus. „Wenn Sie hören, wie die Leute zynisch über das Management oder das Leben sprechen, ist das bereits eine rote Flagge“, erklärt Worstell. „Das zeigt an, dass es Stress und Bedrängnis gibt, und dass das Gefühl vorherrscht, dass die Leute glauben, das Ergebnis, für das sie verantwortlich gemacht werden sollen, sowieso nicht beeinflussen können.“
Präsentismus ist ein weiteres Zeichen von Stress – wenn Mitarbeiter auftauchen, aber nur gerade genug Arbeit erledigen, ohne diese durchdacht oder mit Liebe zum Detail auszuführen. „Sie haben offenbar das Gefühl, dass die Qualität ihrer Arbeit keine Rolle spielt.“
Stress und Burnout sind echte und möglicherweise schwerwiegende Zustände. Es gibt keine einheitliche Lösung, aber es gibt Möglichkeiten, die unkontrollierbare Natur der Cybersicherheit in die richtige Perspektive zu rücken. Es folgen fünf Vorschläge, wie Management und CISO dazu beitragen können, Stress und Burnout einzudämmen.
1. Behalten Sie die Kontrolle, wo Sie können
Hier kann das Management wirklich etwas bewirken, meint Worstell. Es können zum Beispiel selektive Kontrollpunkte und Checkpoints eingeführt werden, um den Cybersecurity-Teams die Möglichkeit zu geben, ihr Know-how flussaufwärts zu bringen, um eine Katastrophe flussabwärts zu vermeiden.
Während eines M & A-Projekts stellte Worstell beispielsweise fest, dass ihre Organisation ein Unternehmen erwerben würde, das ein von Natur aus unheilbar unsicheres Produkt innehatte. Die Konditionen der M & A waren, dass dieses in ihre Produktsuite integriert werden sollte – eine Situation, auf die sie keinen Einfluss hatte.
„Wir mussten sagen: ‚Es gibt einen Checkpoint stromaufwärts von dort, wo wir jetzt sind, der hinzugefügt werden muss, damit wir früher in den Prozess eingreifen können.‘ Das hat unseren Einflussbereich so erweitert, dass wir letztendlich doch die Kontrolle über das Ergebnis hatten“, erklärt sie.
2. Ziehen Sie rotierende Sicherheitsrollen in Betracht
Jeder, dem eine Aufgabe übertragen wird, die Wachsamkeit und die ständige Überwachung von Sicherheitsbedrohungen erfordert, muss auch eine Ausfallzeit haben, so Stanton. Denken Sie an einen Rettungsschwimmer. „In einer gut geführten Anlage wechseln die Rettungsschwimmer alle 15 bis 20 Minuten ihre Rollen oder Positionen. Die Gründe dafür haben mehr mit geistiger Wachsamkeit und Aufmerksamkeit zu tun als mit Stress und Burnout. Das Prinzip ist jedoch dasselbe.“ Cybersecurity-Verantwortliche sollten die Einführung einer Job-Rotation in Betracht ziehen, bei der die mit der Überwachung von Cyber-Bedrohungen beauftragten Personen regelmäßig in andere Rollen wechseln, wo sie eine Pause davon haben, immer wachsam sein zu müssen, sagt er. „Ihre langjährige Erfahrung in der Erkennung und Minderung von Bedrohungen kann beispielsweise sehr hilfreich sein, wenn Sie (vorübergehend) als Trainer oder in einer anderen ‚Cyber-Rolle‘ im Hintergrund arbeiten.“
3. Bieten Sie Anerkennungen und Schulungen an
Wenn keine Ressourcen zur Verfügung stehen, um die Cybersecurity-Teams zu entlasten, sollte sich die Führung zumindest um die Mitarbeiter kümmern, meint Souza. „Die nicht monetäre Anerkennung durch Führungskräfte und Kollegen, dass sie gute Arbeit leisten, kann den Einzelnen zum Selbstwert ermutigen“, erklärt er. Durch das Angebot von Ausbildungs- bzw. Erfahrungszertifikaten kann die Führung das gleiche Problem aus zwei verschiedenen Positionen heraus angehen, fügt er hinzu. „Die Zertifizierungen helfen, den Mangel an Wissen zu mindern, und ihren Selbstwert zu steigern“ und Sie reduzieren damit möglicherweise den vorherrschenden Zynismus. Vor allem müssen die Führungskräfte über ihren eigenen Führungsstil reflektieren, sagt er. „Führungskräfte müssen verstehen, wie man eine Organisation verwaltet, die unterbesetzt ist.“
4. Sprechen Sie über den Stress
Gestresste Arbeitnehmer sollten mit ihren Arbeitskollegen und der Familie über den Stress sprechen, erklärt Dr. Dimitrios Tsivrikos, Wirtschaftspsychologe und Dozent am University College London. „Sie werden von der Unterstützung und der Hilfe überrascht sein, die häufig auf offiziellen und inoffiziellen Kanälen verfügbar ist.“
Kollegen und Familien, denen sich die Mitarbeiter anvertrauen, sollten immer einfühlsam vorgehen, so Worstell. „Sich den Schmerz anhören und ihn nicht abtun oder als leicht behandeln.“
5. Erlauben Sie Auszeiten ohne Erreichbarkeit
„Wir sind (als Experten für Cybersicherheit) nicht der Messias, trotz des Gewichts des Universums auf unseren Schultern“, so Worstell. Der CEO bekommt Urlaub, und der CISO (zusammen mit seinen Mitarbeitern aus der Cybersecurity) sollte dasselbe tun, ohne dabei ständig telefonisch erreichbar zu sein, erklärt sie. „Einiges davon geht auf eigene Verantwortung, aber wir müssen bereit sein zu sagen: ‚Ich werde jetzt alles abschalten. Ich habe alles getan, was ich kann und das möglich ist, ich habe jemanden, der in meiner Abwesenheit zuständig ist, ich mache eine Pause, und ich werde erst wieder einchecken, wenn ich zurück im Büro bin.“
*Stacy Collett ist externe Autorin bei Computerworld, CSO und Network World, die eine Vielzahl von Sicherheits- und Risikoproblemen behandelt.
Be the first to comment