Vielen CISOs droht der Burnout

Kaspars Grinvalds – shutterstock.com

Mit der zunehmend komplexer werdenden Cyber-Bedrohungslage wächst der Stress für die Chief Information Security Officers (CISOs). 57 Prozent der Cyber-Sicherheitsprofis in Deutschland, Österreich und der Schweiz geben an, unter Burnout zu leiden. Das geht aus den Zahlen des Human Risk Review 2024 von SoSafe hervor.  

Für den Report zur derzeitigen Cyber-Bedrohungslandschaft und Sicherheitskultur in Unternehmen hat der Spezialist für Security Awareness und Human Risk Management mehr als 1.250 Sicherheitsverantwortliche in Westeuropa befragt sowie rund 3,2 Millionen Datenpunkte der eigenen SoSafe-Plattform ausgewertet. 

Überstunden, Leistungsdruck und eine schlechte Work-Life-Balance

Zum Burnout in den Sicherheitsteams tragen verschiedene Faktoren bei: 32 Prozent der Befragten nennen Überstunden als Grund ihrer Überlastung. Drei von zehn IT-Security-Profis geben an, in einem Arbeitsumfeld mit starkem Leistungsdruck zu arbeiten. Weitere 29 Prozent führen die Belastung auf unzureichende Schulungs- oder Weiterbildungsmöglichkeiten zurück. Jeweils 28 Prozent der für den Report Befragten sprechen von einer übermäßigen Arbeitsbelastung und beklagen, unter einer unausgewogenen Balance zwischen Arbeit und Privatleben zu leiden. 

5 Übungen, um Burnout vorzubeugen

Das hohe Stresslevel wirkt sich unmittelbar auf das Sicherheitsniveau in den Unternehmen aus. Cyberkriminelle haben die Situation längst erkannt und greifen gezielt die besonders belasteten Bereiche in den Betrieben an. Zu den am häufigsten attackierten Abteilungen in den Unternehmen zählen IT- oder Security-Bereiche (85 Prozent). Erst mit einigem Abstand folgen Finanzen (31 Prozent) und Marketing (19 Prozent). Dazu kommt, dass Überlastung und Stress zu Fehlern führen. 83 Prozent der Security-Profis räumten ein, dass es in Folge von Burnout-Erscheinungen bereits zu Security-Vorfällen in ihren Unternehmen gekommen sei.

Vorsicht, wenn sich der Burnout langsam anschleicht

Viele CISOs nehmen Medikamente, um mit den psychischen Belastungen ihrer Arbeit zurechtzukommen. Dazu kommt allerdings auch, dass in vielen Unternehmen Probleme rund um die mentale Gesundheit der Mitarbeitenden selten ein Thema sind. „Burnout schlich sich langsam an mich heran, angeheizt durch den ständigen Druck, mehr zu leisten, Kosten zu senken und niemals zu versagen“, berichtet Andrew Rose, Chief Security Officer bei SoSafe, aus eigener Erfahrung. „Ich dachte erst, dieser Stress gehöre zum Job als Führungskraft einfach dazu, bis ich anfing, kognitive, emotionale und körperliche Symptome aufgrund der Überlastung zu verspüren.“ Als sich Rose schließlich zu Wort meldete, sei die Reaktion seiner Vorgesetzten enttäuschend gewesen. Seine Konsequenz: die Kündigung. 

8 Gründe: Warum Ihre Security-Schulung versagt

Vor diesem Hintergrund sei es wichtig, die Burnout-Problematik proaktiv anzugehen, empfehlen die Spezialisten für Human Risk Management. Zumal sich die Situation in Sachen IT-Cybersicherheit mittelfristig kaum entspannen dürfte. Gerade die unzureichende Personalausstattung dürfte den Stressfaktor noch weiter anheizen. Der branchenweite Fachkräftemangel wird sich nach Einschätzung von Experten noch verschärfen.  

Laut der ISC2-Workforce-Studie 2023 steht der Cybersicherheitssektor vor einem noch nie dagewesenen Engpass mit rund 274.000 unbesetzten Stellen allein in der EU. Weltweit sind demzufolge rund 3,9 Millionen Stellen im Bereich Cybersicherheit unbesetzt.

Eine widerstandsfähige Security-Kultur entlastet die CISOs 

Zwar seien zuletzt Fortschritte erzielt worden, konstatieren die SoSafe-Verantwortlichen – insbesondere hinsichtlich der seit Jahren von CISOs geforderten Unterstützung durch die Führungsebene sowie der Aufstockung der Security-Budgets. Dennoch stehe eine umfassende Bewältigung des enormen Drucks und der vielfältigen Herausforderungen, denen sich Sicherheitsexperten gegenübersehen, weiterhin aus, lautet ihr Fazit. 

SoSafe

„Angesichts der Herausforderungen, mit denen Sicherheitsteams konfrontiert sind, ist es von entscheidender Bedeutung, Lösungen einzusetzen, die nicht nur ihre Aufgaben effizient automatisieren, sondern auch eine nachhaltige Risikominderung gewährleisten“, sagt Niklas Hellemann, Psychologe und CEO von SoSafe. Dafür müssten Unternehmen ihre Mitarbeiter aktiv einbeziehen, denn diese seien der vielseitigste Teil ihrer Sicherheitsstrategie. „Der Schwerpunkt sollte auf der Änderung von Verhaltensweisen und nicht nur auf der Vermittlung von Wissen liegen“, rät Hellemann den Verantwortlichen in den Betrieben. Dies sei der Schlüssel für eine widerstandsfähige Cybersicherheitskultur, in der Security-Teams deutlich entlastet werden könnten.