Die Erhebung von ISSA International und Omdia zeichnet das Bild eines Berufs, der in kurzer Zeit spürbar belastender geworden ist. 55 Prozent der befragten Cybersecurity- und IT-Profis sagen, dass sowohl Komplexität als auch Arbeitslast zugenommen haben. 52 Prozent empfinden Cyberbedrohungen als stärker überwältigend als noch vor zwei Jahren.

Shawn Murray, ehemaliger ISSA-Präsident, führt einen Teil der Entwicklung auf strukturelle Probleme in Unternehmen zurück. Sicherheitsverantwortliche mit Wochenarbeitszeiten von 50, 60 oder 70 Stunden kämpften mit Themen, die auch im Bericht genannt werden: Unternehmenskultur, die Einführung neuer Technologien ohne strategische Abstimmung und die fehlende Einbindung der richtigen Stakeholder. Viele CISOs hätten zudem das Gefühl, für ihre Sicherheitsaufgabe nicht ausreichend Unterstützung zu bekommen.

Die Sorge vor persönlicher Haftung, die laut dem Bericht durch die Strafverfolgung der CISOs bei Uber und Solarwinds angeheizt worden war, ist dagegen etwas in den Hintergrund gerückt. Sie zählt demnach nicht mehr zu den wichtigsten Stressfaktoren. Als besonders belastend beschreibt die Umfrage stattdessen den Druck, mit den Sicherheitsanforderungen neuer IT-Initiativen Schritt zu halten — vor allem bei KI-Einführungen.

Melinda Marks, Practice Director für Cybersecurity bei Omdia, bezeichnet KI als zweischneidiges Thema für CISOs. Insbesondere die nicht abgestimmte Nutzung von KI innerhalb von Unternehmen bereite dem Sicherheitsmanagement zusätzliche Probleme. Sie vergleicht das mit früheren Cloud-Einführungen: Beschäftigte aktivierten Funktionen, ohne das Sicherheitsteam einzubeziehen. Das erschwere später Risikomanagement sowie Erkennung und Reaktion auf Bedrohungen und Angriffe, weil den Sicherheitsteams Sichtbarkeit und Verständnis über vorhandene Prozesse und Werkzeuge fehlten.

Gleichzeitig setzen viele Sicherheitsverantwortliche Hoffnungen auf KI-Werkzeuge zur Entlastung. 37 Prozent der befragten Cybersecurity- und IT-Fachleute nutzen laut Studie bereits KI-Lösungen, um Sicherheitsprobleme zu lösen, weitere 46 Prozent planen das. Besonders häufig wollen Teams automatisierte Sicherheitsbewertungen und Softwaretests, vorausschauende Risikoanalysen sowie die Erkennung von Bedrohungen an KI abgeben.

Alex Hutton, CISO der Regionalbank Atlantic Union Bank, sieht in dieser Umbruchphase vor allem einen steigenden Bedarf an Weiterbildung, Information und konkretem Handeln. Das Arbeitsumfeld sei nicht mehr mit dem von vor zwei oder drei Jahren vergleichbar, was den Druck im Beruf weiter erhöhe.

Die Veränderungen spiegeln sich auch in der Besetzung der Rolle wider. Der Anteil der Unternehmen mit Vollzeit-CISO sank laut Umfrage auf 63 Prozent, nach 76 Prozent im Jahr 2024. Zugleich stieg der Einsatz teilzeitiger oder „fractional“ CISOs auf 15 Prozent, nach 6 Prozent im Jahr 2024. Murray wertet das nicht als kurzfristigen Ausschlag, sondern als Trend. Gleichzeitig wachse der Markt für strategische Cybersecurity-Beratung, auch weil mittelgroße und kleinere Unternehmen ihre Cyberhygiene nachweisen müssten und dies oft mit Anforderungen an Cyberversicherungen zusammenhänge.

Hutton interpretiert die Entwicklung etwas anders. Er sieht die stärkere Nachfrage nach Beratung als wahrscheinlichere Erklärung für die Verschiebung weg von Vollzeit-CISOs. Viele Unternehmen hätten ein ähnliches inhärentes Cyberrisiko und ähnliche Anforderungen wie besser finanzierte Organisationen, bräuchten aber vor allem punktuelle Unterstützung. Teilzeitige und virtuelle CISOs seien deshalb ein geeignetes Modell, um Bedarf und Kosten besser zu verteilen. Einen generellen Abbau von CISO-Stellen beobachte er nicht.