Im Interview mit Dark Reading beschreibt John Paul Cunningham seinen Werdegang nicht als geradlinige Karriereplanung, sondern als Entwicklung aus einer Gelegenheit heraus. Er begann nach eigenen Angaben im Technologiebereich bei JPMorgan Chase, wo er schließlich Aufgaben rund um Sicherheit und Informationsrisikomanagement übernahm. Im Anschluss vertiefte er diesen Weg unter anderem mit der Zertifizierung CISSP und suchte innerhalb der Bank gezielt nach Möglichkeiten, seine Kenntnisse in der Cybersicherheit auszubauen.

Heute ist Cunningham CISO bei Silverfort, einem Unternehmen für Identity Security. Dort verantwortet er nach eigener Darstellung sowohl den Schutz der Unternehmensinfrastruktur von Silverfort als auch Beiträge zur Identitäts- und Sicherheitsstrategie des Produkts. Hinzu kommt die Rolle als Sprecher innerhalb der Branche zu Themen wie Identity Security und Künstliche Intelligenz. Er bezeichnet diese Funktion als vielschichtig.

Für den Einstieg in die Cybersicherheit sieht Cunningham keinen einheitlichen Ausbildungsweg. Das Feld sei keineswegs homogen, sondern bestehe aus mehreren Disziplinen. Wer aus einem technischen Umfeld komme, könne über Kenntnisse zu Netzwerken, Endpunkten und Cloud-Umgebungen einsteigen und lernen, wie sich diese absichern lassen. Ebenso nennt er Audit-Hintergründe als anschlussfähig, insbesondere für Governance, Risiko und Compliance.

Dabei grenzt er Risikomanagement von klassischer Audit-Arbeit ab. Es gehe nicht nur darum, gegen einen Standard zu prüfen und ein Bestehen oder Nichtbestehen festzustellen. Vielmehr müsse man Lücken identifizieren und Sicherheitslösungen entwickeln, um Kontrollen wirksamer zu machen. Auch Projektmanagement nennt Cunningham als Zugang: Größere Sicherheitsteams benötigten Projektmanager, die Sicherheitsvorhaben umsetzen helfen. Als weitere Möglichkeit erwähnt er die Lösungsarchitektur.

Besonders hervor hebt Cunningham Identity Security. Sie berühre jeden Teil der Sicherheit und sei häufig ein Grund dafür, dass Unternehmen kompromittiert würden. Deshalb sei sie ein guter Spezialisierungspunkt für Menschen, die in die Branche einsteigen wollen. Grundsätzlich empfiehlt er, die eigenen Stärken zu identifizieren und zu prüfen, wie sie sich auf die Anforderungen einer Sicherheitsorganisation übertragen lassen.

Großen Raum nimmt im Gespräch die Frage ein, ob KI Berufschancen für Einsteiger schmälert. Cunningham verneint das klar. Er sagt, Cybersicherheit wachse weiter, auch wenn KI bestimmte Tätigkeiten verdrängen werde. Als Beispiel nennt er die Analyse von Log-Dateien, die KI schneller, effizienter und wahrscheinlich auch präziser erledigen könne als Menschen. Dennoch bleibe menschliche Aufsicht nötig, selbst bei stark automatisierten technischen Aufgaben.

Vor allem außerhalb klar abgrenzbarer Analysearbeiten sieht Cunningham bleibenden Bedarf für Fachkräfte. KI könne keine Projekte führen, nicht mit Projektteams Anforderungen abstimmen und Sicherheit nicht eigenständig an Geschäftsbedürfnisse anpassen. Gerade diese Schnittstellen zu Projekten, Fachbereichen, Führungskräften und Gremien seien aus seiner Sicht zentrale Bestandteile moderner Sicherheitsarbeit.

Zugleich verschärft KI nach Cunninghams Einschätzung die Sicherheitslage. Die rasche Verbreitung von KI habe viele Schwachstellen geschaffen und zwinge Unternehmen dazu, bestehende Praktiken neu zu bewerten. Zwar gebe es bewährte Muster, um Organisationen abzusichern, doch für KI seien diese noch nicht vollständig übertragen. Sicherheitsabteilungen hätten deshalb die Aufgabe, den Einsatz von KI zu ermöglichen und zugleich die damit verbundenen Risiken zu steuern. Unternehmen seien durch diese Entwicklung derzeit wahrscheinlich eher weniger sicher als zuvor.

Auch seine frühere Laufbahn prägt nach eigenen Worten seinen Blick auf das Thema. Cunningham verweist auf seinen militärischen Hintergrund und darauf, dass er dort nicht in einer Technologierolle, sondern im Bereich Strafverfolgung tätig war. Das habe seinen investigativen Ansatz beeinflusst, ebenso den Blick auf regulatorische und rechtliche Aspekte sowie auf physische Sicherheit und betriebliche Resilienz. Als Beispiel nennt er den Schutz von Büros, Rechenzentren und Mitarbeitern von Silverfort in Israel vor möglichen physischen Bedrohungen.