CISO-Image: Sicherheit im Blick von oben
Dietmar Pokoyski hat im dritten Teil seiner tiefenpsychologischen Studienreihe das TOP-Management auf die Couch gelegt und die Beziehungen von Entscheidern und Security-Verantwortlichen untersucht. Wie immer sehr lehrreich und amüsant.
Im Rahmen dieser Studie wurden 17 deutsche TOP-Manager zwei Stunden lang mithilfe von Tiefeninterviews auf Basis der morphologischen Wirkungsforschung zu ihrem Bild von Informationssicherheit und deren Protagonisten (CISO & Co.) befragt. Zu Wort kamen Vorstandsvorsitzende, Vorstände, Geschäftsführer und andere Entscheider. Auch die aktuelle Studie arbeitet den Einfluss der Unternehmenskultur und der Informationssicherheit auf das Image von CISO & Co. heraus.
Die Tiefeninterviews mit den Führungskräften erwiesen sich als deutlich schwieriger als die Gespräche mit den CISOs in 2008. Die Manager behalten bevorzugt die Kontrolle über die Gespräche und scheinen wesentlich interessierter an einer persönlichen Absicherung als an der Sicherheit des von Ihnen geführten Unternehmens zu sein. Nicht selten bleiben Antworten bemüht auf hohem Abstraktionsniveau – nur auf Nachfragen wird z.T. demonstrativ auf die Detailebene eingegangen. Es kam zu einer massiven Abwehr, z.B. in Form von kühlen Verabschiedungen (»Sie finden ja alleine raus.«), Abwertungen der Studie bei vorangegangener Zustimmung (»Und damit wollen Sie also Neues erklären?«) oder zu persönlichen Kränkungen der Interviewer:
“Blonde Frauen werden ja im Allgemeinen als sympathischer eingeschätzt”, äußerte sich einer der Befragten gegenüber einer dunkelhaarigen Moderatorin.
Die TOP-Manager sind stark bemüht, ihre Position zu wahren. Sie reagieren sensibel auf die spezifischen Machtmöglichkeiten der CISOs, die als Typus »Streiter der Sicherheit«, »Mahnender Kontrolleur«, »Kompetenter Sicherheits-Spezialist« oder »Selbstbewusster Vermittler« (siehe Grafik) konkreten Einfluss auf die unternehmerische Tätigkeit ausüben.
Es fiel auch auf, dass Security-Regeln von den Führungskräften selber nicht eingehalten, aber mit dem Nutzen für das Unternehmen entschuldigt wurden. Auch während der Interviews passierten immer wieder Verstöße. So wurden die Psychologen z.B. mit internen, nicht weggeräumten Informationen aus Vormeetings konfrontiert oder sollten unbegleitet zum Ausgang finden. Eine Moderatorin stolperte beim Gang auf die Toilette über einen Schlüsselbund samt USB-Stick.
“Die Ergebnisse sind deutlich: CISOs werden von der Geschäftsführung nicht gemocht. Entweder sie sind nicht kommunikativ genug, verstehen das Business nicht, oder sie sind zu mächtig”, sagt Sachar Paulus von paulus.consult und Professor für Unternehmenssicherheit und Risikomanagement an der Fachhochschule Brandenburg. Paulus weiter: “Dies bestätigt meine persönliche Erfahrung und stellt die Erkenntnisse auf fundierte, empirisch belegte Ergebnisse. Nun ist zu überlegen, wie man die Situation verbessern kann. Eine zielgerichtete Ausbildung der Sicherheits-Fachleute ist sicherlich ein wichtiges Element.”
Der Studienband (54 S.) ist über known_sense (sense(at)known-sense.de) oder über den Secumedia-Buchshop (http://buchshop.secumedia.de) zum Preis von Euro 380,00 (-Abonnenten Euro 290,00) zu beziehen. Die Summary ist online frei verfügbar.
Weitere Informationen und Bildmaterial auf Anfrage oder zum Download hier:
Studien Summary (11 S., PDF, 72 dpi, 1,3 MB):
http://www.known-sense.de/ciso/sicher_von_oben_summary_72dpi.pdf
Abbildung Cover Berichtsband (JPG, 0,5 MB)
http://www.known-sense.de/ciso/sicher_von_oben_cover.jpg
Abbildung Infografik CISO-Typologie (JPG, 0,4 MB)
http://www.known-sense.de/ciso/sicher_von_oben_infografik.jpg
Auszug CISO-Vorgängerstudie (Selbstbild CISOs) von 2008 (10 S., PDF, 72 dpi, 1,9 MB):
http://www.known-sense.de/ciso/securitystudie_auszug.pdf
