Das CISO-Burnout nimmt zu. Sind wir uns der Situation einfach bewusster? Oder sind die Anforderungen an den CISO gestiegen und Burnout ist nun die unvermeidliche Folge?
Security Week, 3. November 2025
Im Jahr 2019 wurde Burnout von der Weltgesundheitsorganisation als ein berufliches Phänomen und nicht als eine medizinische Erkrankung definiert. Im Jahr 2025 ist dieser nicht-medizinische Zustand, dem anfangs die gleichen Symptome wie bei einem schlimmen Kopfschmerz zugeschrieben wurden (Erschöpfung, Negativismus und verminderte Leistungsfähigkeit), innerhalb der Cybersicherheit endemisch geworden und betrifft sowohl Teammitglieder als auch CISOs.
Zwei Dinge sind klar: Erstens ist Burnout ganz anders und extremer als ein Kopfschmerz, und wir haben noch nicht ausreichend gelernt, es vorherzusagen, zu erkennen und zu verhindern. Zweitens ist Burnout keine Krankheit, sondern der Name, den wir den Symptomen einer nicht näher bezeichneten Krankheit gegeben haben (so wie ein Kopfschmerz das sichtbare Symptom einer nicht näher bezeichneten Krankheit ist).
Wir müssen eindeutig die Ursache von Burnout (die zugrunde liegende Krankheit) und ihre Behandlung verstehen, um die äußerst schädlichen Auswirkungen, die sie auf die Betroffenen und ihre Arbeit hat, erkennen, verhindern und lindern zu können.
Ursache von Burnout
Die Rolle des CISO hat sich zum Chief Crisis Officer entwickelt. Krisen kommen immer wieder aus verschiedenen Richtungen und scheinbar unendlichen und oft unbekannten Quellen – und diese Krisen müssen alle gelöst werden. Aber es gibt immer und sofort die nächste. Die Notwendigkeit, Cybersicherheit zu erlangen und aufrechtzuerhalten, ist letztlich endlos und aussichtslos. Es ist eine Arbeit mit nie endendem und kontinuierlichem Stress, unterbrochen von Phasen extremen Stresses, zu jeder Tages- und Nachtzeit an jedem Tag der Woche.
Erschwerend kommt das oft zitierte Problem der Verantwortlichkeit ohne Zuständigkeit hinzu. CISOs sind verantwortlich für die Sicherheitslage, die Vorbereitung und die Reaktion des gesamten Unternehmens im Falle einer Cyberkrise. Sie haben jedoch keine Befugnis, sicherzustellen, dass jeder im gesamten Unternehmen wirklich das tut, was er oder sie tun soll. CISOs sind verantwortlich für das, was passiert, aber nicht zuständig dafür.
„Es ist wie die Missionskontrolle bei einem Raumflug“, meint Jim Wetekamp (CEO von Riskonnect). „Die Missionskontrolle war nicht für den Bau des Schiffes (des Unternehmens) verantwortlich, sie hat die Astronauten (die Mitarbeiter des Unternehmens, die das Schiff steuern) nicht ausgebildet und sie hat die Reise (die Unternehmensziele) nicht geplant. Sie führen einfach im Moment über all diese verschiedenen Funktionen hinweg aus und müssen darauf vertrauen, dass alle verschiedenen Teile funktionieren.“
Andere Führungskräfte des Unternehmens haben eine weitaus größere Autorität in den begrenzteren Bereichen, für die sie verantwortlich sind.
Lesen Sie den vollständigen Artikel in Security Week.
