Zahlen, Daten, Fakten

CISOs gewinnen massiv an Bedeutung

In vielen Ländern sind CISOs Großverdiener, in Deutschland noch nicht. Doch die Position wird immer relevanter, und die Verantwortung wächst rasant, wie eine brandaktuelle Analyse von Heidrick & Struggles zeigt.
Von 
CSO | 06. September 2022 07:33 Uhr
  • Deutsche CISOs verdienen im Durchschnitt 220.000 Euro im Jahr - nicht einmal halb so viel, wie ihre US-Kollegen.
  • CISOs wollen im nächsten Karriereschnitt nicht etwa CIOs werden: Sie drängen direkt in den Vorstand!
  • Der Ernstfall ist aus Sicht der meisten CISOs klar definiert: Eine Ransomware-Attacke fürchten die meisten.
Das noch relativ junge Berufsbild des Chief Information Security Officer (CISO) auch in Deutschland zu erforschen, daran haben sich die Personalberater von Heidrick & Struggles gemacht.
Das noch relativ junge Berufsbild des Chief Information Security Officer (CISO) auch in Deutschland zu erforschen, daran haben sich die Personalberater von Heidrick & Struggles gemacht.
Foto: LeoWolfert - shutterstock.com

Die Personalberater machen ständig Fortschritte in ihren Bemühungen, die Rolle des Chief Information Security Officers (CISOs) zu durchleuchten und ihre Perspektiven einzuordnen. Im Frühjahr 2022 hat Heidrick & Struggles zum zweiten Mal eine weltweit angelegte Studie zu Rolle, Aufgaben und Vergütung von CISOs herausgebracht. Befragt wurden 327 für IT-Sicherheit zuständige Managerinnen und Manager aus aller Welt, zwei Drittel davon aus Unternehmen mit mehr als fünf Milliarden Dollar Jahresumsatz.

Der 2022 Global Chief Information Security Officer (CISO) Survey basiert auf den Angaben von CISOs aus den USA, Großbritannien, Deutschland, Australien, Belgien, Frankreich, den Niederlanden, Singapur und Südkorea. Bei immerhin 87 Prozent der Teilnehmer ist die CISO-Rolle global definiert. Heidrick & Struggles hat erhoben, welche Aufgaben die IT-Sicherheitschefs haben, wieviel sie verdienen, was ihnen Sorgen bereitet und welche weitere Karriere ihnen vorschwebt.

Womit beschäftigen sich CISOs?

Laut Studie befassen sich über 80 Prozent der CISOs vorrangig mit folgenden fünf Aufgaben

  • Security Operations

  • Governance, Risk and Compliance,

  • Penetration Testing,

  • Sicherheitsarchitektur und

  • Produkt-/Anwendungssicherheit.

Weitere Zuständigkeiten, allerdings mit deutlich geringeren Prozentzahlen, sind Business-Continuity-Planung und Disaster Recovery, Trust, Krisen-Management, Betrug, physikalische Sicherheit, Datenschutz, Safety und anderes.

In Deutschland und Europa sind die Berichtswege für Chief Information Security Officers (CISOs) keineswegs einheitlich.
In Deutschland und Europa sind die Berichtswege für Chief Information Security Officers (CISOs) keineswegs einheitlich.
Foto: Heidrick & Struggles

So viel verdienen CISOs

Erstmals erhob Heidrick & Struggles die Vergütung von Führungskräften der IT-Sicherheit auch in Deutschland. Hierzulande beläuft sich demnach das Durchschnittseinkommen der CISOs auf 220.000 Euro. Davon entfallen 175.000 Euro auf das Grundgehalt und 45.000 Euro auf Bonuszahlungen. Allerdings variieren die Einkommen von Branche zu Branche. Vergleichsweise niedrige Gehälter werden auf dem Industriesektor und in der Energiewirtschaft gezahlt. Großzügiger zeigen sich die ITK-Branche sowie Konsumgüter-, Handels- und Medienunternehmen.

Kristin van der Sande, Partnerin Technologie und Services bei Heidrick & Struggles, glaubt, dass sich die Führungsfunktion des CISO in Deutschland noch entwickeln muss. Deshalb seien die Einkommen bislang nicht auf internationalem Niveau angekommen. "Die Bedeutung von CISOs wird jedoch in den deutschen Chefetagen zunehmend erkannt", so die Technologieexpertin. Das werde in den kommenden Jahren zu deutlich erhöhten Einkommen führen, zumal der Markt für qualifizierte Führungskräfte im Bereich der IT-Sicherheit besonders eng sei.

Amerika, Du hast es besser

Überdurchschnittlich hoch sind die Einkünfte von CISOs in den Vereinigten Staaten. Gegenüber dem Vorjahr haben sie sich 2022 noch einmal nach oben bewegt. Amerikanische CISOs geben ihr Durchschnittsgehalt mit 584.000 Dollar an (Vorjahr: 509.000 Dollar), wobei 376.000 Dollar (326.000 Dollar) auf das Grundeinkommen und 195.000 Dollar (153.000 Dollar) auf variable Gehaltsanteile entfallen.

"Die Vergütungsunterschiede zwischen den USA, Deutschland und anderen kontinentaleuropäischen Ländern sind gravierend", kommentiert van der Sande. Cyber-Security werde in den USA auch deshalb besonders ernstgenommen, weil der Digitalisierungsgrad der Unternehmen ausgeprägter sei als in Europa. Parallel dazu steige der Stellenwert der IT-Sicherheit.

Großbritannien rangiert hinsichtlich der Verdienstmöglichkeiten zwischen den USA und Kontinentaleuropa. Britische CISOs kassieren laut Heidrick & Struggles im Mittel 318.000 britische Pfund im Jahr, von denen 80.000 Pfund auf variable Vergütungskomponente entfallen.

Stress und Burnout-Risiken setzen CISOs zu

Dass CISOs weltweit gut verdienen, hängt auch mit der besonderen Belastung in ihrem Job zusammen. 59 Prozent betrachten "Stress in Bezug auf meine Funktion" als ihren größten Risikofaktor, gefolgt von "Burnout" mit 48 Prozent. In den USA sind diese beiden Werte noch viel höher.

Van der Sande betont den psychologischen Druck, mit dem IT-Sicherheitsverantwortlichen fertig werden müssten: "Cyberangriffe und ein nicht funktionierendes IT-System stellen operativ teure Gefahren dar, die kaum vorhersehbar sind. Offensichtlich leiden CISOs unter diesen Rahmenbedingungen ihrer Aufgabe." Sorgen, ihren Arbeitsplatz zu verlieren haben allerdings nur 25 Prozent der Befragten. Die Berater führen das darauf zurück, dass CISOs insbesondere in großen Unternehmen dieselben Schutzmechanismen genießen wie Topführungskräfte. Sie sind beispielsweise durch eine Directors-and-Officers-(D&O-)Versicherung geschützt oder haben ein Anrecht auf hohe Abfindungen.

CISOs streben keine CIO-Karriere an

Gefragt nach den weiteren Karriereperspektiven, zeigen sich amerikanische CISOs deutlich ambitionierter als ihre Kolleginnen und Kollegen in anderen Ländern. In den USA streben 56 Prozent von ihnen eine Position im Vorstand an, im asiatisch-pazifischen Raum und in Europa sind nur 44 beziehungsweise 40 Prozent ähnlich entschlossen.

Viele CISOs erhoffen sich den Sprung in eine Vorstandsposition - kein ganz abwegiger Wunsch, wie Heidrick & Struggles versichert.
Viele CISOs erhoffen sich den Sprung in eine Vorstandsposition - kein ganz abwegiger Wunsch, wie Heidrick & Struggles versichert.
Foto: Heidrick & Struggles

Heidrick & Struggles hält den Wunsch nicht für abwegig, zumal schon jetzt in den USA 17 Prozent aller Vorstandspositionen mit Menschen besetzt seien, die in irgendeiner Form Cybersicherheits-Erfahrung vorweisen könnten. In Großbritannien sind immerhin zehn Prozent der Vorstandsjobs entsprechend besetzt, im sonstigen Europa allerdings nur fünf Prozent. Nahezu die Hälfte aller befragten CISOs sitzt zudem in irgendeinem Aufsichtsrat.

46 Prozent der europäischen CISOs stellen sich die Position des Chief Security Officers (CSOs) als nächste Karrierestufe vor, sie wollen also neben der Informations- auch die physikalische Sicherheit im Unternehmen kontrollieren. Als künftigen CIO sehen sich dagegen nur 13 Prozent aller befragten IT-Sicherheitsverantwortlichen - zehn Prozent der amerikanischen und 18 Prozent der europäischen CISOs. Diese Zahlen sind auch deshalb bemerkenswert, weil derzeit 38 Prozent der CISOs dem CIO direkt unterstellt sind. Etwas mehr als zehn Prozent aller Befragten können sich auch vorstellen, später einmal ein eigenes Unternehmen zu gründen oder als Consultant tätig zu werden.

Die größten Cyberrisiken

Die Studie hat ebenfalls untersucht, welche Cyberrisiken CISOs besonders ernst nehmen. Demnach geht aus Sicht der Sicherheitschefs die größte Gefahr von Ransomware-Attacken aus, das sagen zwei von drei Befragten. Mit großem Abstand folgen Insider-Bedrohungen (32 Prozent), Attacken durch fremde Staaten (31 Prozent) und Malware-Angriffe (21 Prozent). Bei der Frage nach den größten Risiken waren Mehrfachantworten möglich.

Cyber-Security werde immer tiefer in die zentrale Software-Entwicklung und in die Geschäftsprozesse eingebettet, um diesen Risiken zu begegnen, heißt es in der Studie. "Mit hochentwickelten Cyberprogrammen und einem Security-by-Design-Ansatz sollen Bedrohungen rechtzeitig in voraus erkannt werden", erklärt van der Sande.

Ein erfolgreicher Ransomware-Angriff ist aus Sicht der CISOs der absolute Worst Case.
Ein erfolgreicher Ransomware-Angriff ist aus Sicht der CISOs der absolute Worst Case.
Foto: Heidrick & Struggles

CISOs - bislang noch ein Männerberuf

Wie schon im Vorjahr zeigt sich auch 2022, dass CISO-Positionen vornehmlich von Männern besetzt sind. 87 Prozent der Teilnehmer des Panels waren Männer. Van der Sande zufolge ist dieses "Besetzungsmuster" weltweit zu beobachten, Deutschland stelle keine Ausnahme dar. Die meisten IT-Sicherheitsexperten sind studierte Informatiker oder Software-Ingenieure. Diese Studienfächer stehen traditionell nicht sonderlich hoch in der Gunst von Frauen. Laut Heidrick & Struggles wird sich das Bild aber in den kommenden Jahren ein wenig ändern: "Unternehmen stellen gerne weibliche CISOs ein, sofern die Qualifikation stimmt", beobachtet van der Sande. (hv)

Heinrich Vaske ist Editorial Director von COMPUTERWOCHE, CIO und CSO sowie Chefredakteur der europäischen B2B-Marken von IDG. Er kümmert sich um die inhaltliche Ausrichtung der Medienmarken - im Web und in den Print-Titeln.