CISO in der Unplanbarkeit
Der VUCA-Manager
Phasen der Unplanbarkeit nehmen zu, während sich Phasen der Stabilität verkürzen. Diese Entwicklung verändert die Aufgaben und die Rolle von Managern in Unternehmen. IT-Leiter und CISOs hingegen befinden sich in einem Dilemma.
John Tuld, ein Protagonist im Film „Der große Crash – Margin Call“, klopft mit seinem Zeigefinger vehement auf den Tisch. Er möchte seiner Entscheidung Nachdruck verleihen. „Das ist die Lösung! Ich sage Ihnen: das ist die Lösung!“, ruft er dabei seinem Manager zu. Der Film zeigt die Ereignisse bei Lehman Brothers vor der globalen Finanzkrise im Jahr 2008. In einer nächtlichen Krisensitzung erörtert Tuld, Vorsitzender der Investmentbank, das Problem mit dem gesamten Vorstand und trifft die Entscheidung, die toxischen Papiere in den Wirtschaftskreislauf zu führen. Im Film versucht einer seiner Manager, die Folgen dieser Entscheidung für die Weltwirtschaft aufzuzeigen. Die fatalen Folgen dieser Entscheidungen sind bekannt.
Manager-Heuristik in der Entscheidungsfindung
In der Managementforschung ist dieses Entscheidungsverhalten von Managern als ”heuristisch gestütztes Entscheidungsverfahren” bekannt. Damit ist gemeint, dass Manager auf Grundlage unvollständiger Informationen, wenig Zeit und unklarer Prognosen über die Konsequenzen Entscheidungen fällen müssen. Dabei werden sie zusätzlich durch die Organisationsumgebung begrenzt. Für Tuld, den Protagonisten aus dem Film, bestand seine Begrenzung darin, das Überleben der Bank zu sichern.
Je komplexer Märkte werden, umso wichtiger wird Heuristik als Methode in der Entscheidungsfindung. Und die Komplexität in den Märkten nimmt zu. Technologische, soziale und ökonomische Basisinnovationen wirken in immer kürzeren Abständen ein, werfen Gewohntes und Etabliertes um. Cyberphysische Systeme, in denen Hardware, Software, Mechanik und Elektronik verschmolzen sind, treiben dieses exponentielle Wachstum an. In diesem Zusammenhang ändert sich die Beziehung zwischen Menschen und Maschinen. Menschen bedienen Maschinen nicht mehr, sondern arbeiten mit diesen zusammen. Dies gilt nicht nur für die Produktionsstraße in einem Fertigungsbetrieb, sondern auch Wissensarbeiter in Büros werden von auf künstlicher Intelligenz beruhenden Systemen assistiert.
Leader statt Manager
Damit sind nicht nur Roboter gemeint, die mit Menschen interagieren. Auch Datenkompetenz bei den Beschäftigten spielt eine Rolle. Ein weiterer Treiber ist das mobile Internet in Verbindung mit Cloud-Technologien. Sie ermöglichen, dass Beschäftigte orts- und zeitunabhängig arbeiten. Nimmt man alles zusammen, dann wird ein Thema sehr wichtig: Daten- und Informationssicherheit.
Die damit verbundene digitale Vernetzung in Unternehmen und in der Wirtschaft verursacht Schnelligkeit, Flexibilität und Agilität. Genau dies ist der Moment, in dem aus dem Manager ein Leader wird. In einer Welt der Unplanbarkeit ist die Wahrscheinlichkeit groß, dass sich ein Manager mit seiner Anweisung irrt. Als Leader holt er die Expertise aller Beteiligten ein, wägt diese gemeinsam ab und leitet ein Vorgehen ein. Nicht anweisen, kontrollieren und prüfen, sondern kommunizieren, motivieren und moderieren werden zu den wichtigsten Fähigkeiten einer Führungskraft.
Das Dilemma des IT-Leiters und des CISO
Hier sind der IT-Leiter und der Chief Information Security Officer (CISO) in einer besonderen Situation: ihre Aufgabenbereiche fordern von ihnen, proaktiv Entscheidungen zu treffen. Schließlich verhindern sie idealerweise Cyberangriffe. Damit ist allerdings ein Dilemma verbunden: verhindern sie Cyberangriffe erfolgreich, entsteht kein Schaden. Dieser ist aber erforderlich, um die Notwendigkeit der Umsetzung von Cybersicherheits-Maßnahmen der Cybersicherheit zu legitimieren.
Der IT-Leiter und CISO haben es also doppelt schwer: Sie benötigen zusätzliche Ressourcen, um die Folgen der Unplanbarkeit zu reduzieren, gleichzeitig fehlen ihnen mangels Schaden aber Argumente, um diese Ressourcen einzufordern. Ebenso mangelt es ihnen an historischen Daten und effektiven Metriken. Insgesamt verschlechtert sich daher ihre Fähigkeit, zukünftige Ereignisse vorherzusagen, zu quantifizieren und zu legitimieren. Auf diese Weise entstehen erhebliche Verzögerungen, wodurch computergestützte Informationssysteme anfällig bleiben. Dies ist eine Erkenntnis aus einer Simulationsstudie, die durch Wissenschaftler der Universitäten Harvard und Massachusetts Institute of Technology (Management Sloan School) durchgeführt wurden.
Fazit: Vom Entscheider zum Coach
Auch in der Zukunft wird der Manager ein „begrenzter Rationalist“ bleiben. Aufgrund der Unplanbarkeit muss er aber seine Aufgaben und sein Rollenverständnis erneuern: Anweisungen und Kontrolle gehören der Vergangenheit an. Vielmehr sind Kommunikation, Moderation und unterstützende Begleitung die wichtigsten Fähigkeiten, um Komplexität und Unplanbarkeit zu beherrschen. IT-Leiter und CISOs hingegen stehen einer zusätzlichen Herausforderung gegenüber: sie benötigen evidente und quantifizierbare Argumente, um die erforderlichen Maßnahmen der Cybersicherheit durchzusetzen.