Warum die Kombination von IT- und Cyber Security-Verantwortung in einer Führungsrolle ein Risiko ist

Kürzlich meinte LinkedIn, ich solle mich doch bewerben als “Director Global IT & Cyber Security“: mittelständisches Unternehmen, mehrere Standorte, bekannte Marke. Abgesehen davon, dass ich bei der TEN Information Management genügend zu tun habe, habe ich mich mal mit der Stellenbeschreibung auseinandergesetzt.

Warum? Weil ich aus der Organisation höre, dass die Position seit bald einem Jahr unbesetzt ist. Das muss ja einen Grund haben, dachte ich mir. Und der ergibt sich m.E. schon aus der Stellenbezeichnung.

Auch ohne die Stellenbeschreibung in jedem Detail gelesen zu haben denke ich, dass so eine Verantwortungs-Allokation in einer Rolle kontraproduktiv und sogar schädlich ist – und zwar aus folgenden Gründen:

• Zielkonflikte: IT sorgt für Betrieb & Verfügbarkeit, Security für Schutz & Compliance. In einer Person vereint, werden Sicherheitsanforderungen oft zugunsten des Tagesgeschäfts vernachlässigt.
• Komplexität & Regulatorik: Die Bedrohungslage und regulatorische Anforderungen (z.B. ISO 27001, NIS2) wachsen stetig. Nur spezialisierte Security-Teams können diese meistern.
• Fachkräftemangel: Es gibt kaum Fachkräfte, die beide Bereiche auf höchstem Niveau abdecken können. Die Trennung ermöglicht gezieltere Entwicklung und Ressourcennutzung.
• Governance: Für wirksames Risikomanagement und Compliance muss Security unabhängig von IT agieren – nur so sind objektive Kontrollen und “Checks & Balances” möglich.

In Summe denke ich nicht, dass die Firma für die Position in ihrer derzeitigen Form jemanden findet, der den Job lange machen wird. Für eine IT-Führungskraft ist der Job zu Security-lastig, und für einen Security Professional zu sehr mit IT-Verantwortung beladen.

Für nachhaltige Resilienz und Sicherheit ist eine klare Trennung von IT- und Security-Verantwortung unerlässlich.

Ihre Security-Rolle ist unbesetzt? Wir helfen wir mit unserem InfoSec-Navigator. Jetzt Termin vereinbaren.