Chief Information Security Officer (CISO) über verschiedene Branchen hinweg fühlen sich in ihrem Job gestresst. In einer Befragung gaben sie an, dass das erhöhte Stressniveau zu psychischen und physischen Gesundheitsproblemen, Beziehungsproblemen oder Medikamenten- und Alkoholmissbrauch geführt habe. Der stressige Job führt zu einer durchschnittlichen Amtszeit von lediglich 26 Monaten.

Dies geht aus einer Online-Befragung von 400 CISO sowie 400 anderen C-Level-Managern hervor, die in Unternehmen mit 3000 Angestellten oder mehr arbeiten. Die Befragten stammen aus Unternehmen in den USA und Grossbritannien; die Ergebnisse könnten aber auch für Schweizer Grossfirmen interessant sein. Die Studie wurde im Auftrag von Nominet, dem Verwalter der UK-Top-Level-Domain, in Auftrag gegeben.

In der Umfrage erklärten fast 9 von 10 CISO an, "mässig oder sehr gestresst" zu sein. Die Hälfte sagte, dass sich der Stress negativ auf ihre Gesundheit auswirke. Von je einem Drittel wurde angegeben, dass sich ihr Job Auswirkungen auf Freundschaften und Beziehungen habe.

Wie 'ZDnet' berichtet, geht dies nicht nur den Top-Security-Mitarbeitenden so. Auch bei anderen IT-Security-Angestellten wie Pen-Testern oder Threat-Analysten sei ein hohes Stress-Niveau zu beobachten.

Befragt nach dem Aspekt ihrer Arbeit, der die CISO am meisten belastet, gab die Mehrheit die Verantwortung für die Sicherung des Netzwerkes und Business-Betriebs an.

Dahinter folgt mit 40% die Herausforderung, den Überblick über die Bedrohungslage zu haben. 39% nannten die Arbeitstage als den Aspekt ihres Jobs, der sie am meisten stresst. Fast alle der Befragten würden mehr arbeiten, als es ihr Vertrag vorsehe – im Schnitt seien es zusätzlich 10 Stunden pro Woche.

Auch der Anstieg von Cyber-Crime helfe nicht, schreiben die Autoren. Bei 66 Prozent der IT-Security-Chefs habe es im vergangenen Jahr einen Cyber-Vorfall gegeben; bei einem Drittel seien es gar mehrere gewesen.

Die Last der Verantwortung werde verschlimmert durch einen gefühlten Mangel an Unterstützung durch das restliche Management und den Verwaltungsrat. So sage zwar die Mehrheit des Managements, dass sie die Gefahr eines Cyber-Angriffes als hoch einstufe, und dass Cyber-Sicherheit bei Sitzungen regelmässig besprochen werde. Die Mehrheit der CISO widersprach und sagte, dass Security selten und nur auf ihren Wunsch hin in GL-Sitzungen thematisiert werde.

Hinzu kommt, so die Mehrheit der CISO, dass die Geschäftsleitung nicht verstehe, dass ein Cyber-Vorfall unvermeidlich sei. Etwa ein Drittel der CISO glaubt ausserdem, nach einem Cyber-Vorfall entlassen zu werden. 

Die vollständigen Ergebnisse der Befragung sind online als PDF verfügbar.