Aimee Cardwell hat einen unkonventionellen Weg zum CISO-Posten beschritten. Ohne formalen Universitätsabschluss startete sie ihre Karriere bei Netscape – nicht als Entwicklerin, sondern als Produktmanagerin. “Ich habe es versucht, aber ich war einfach nicht gut im Programmieren,” erinnert sie sich. Ihre Einführung in die Cybersicherheit war eher zufällig: Als sie den Head of Security bei Netscape datierte, fand sie sich um 4 Uhr morgens in der Security Operations Center wieder und jagte Anfang der 2000er-Jahre “Script Kiddies”.
Danach folgte eine steile Karriere als CIO in Finanzdienstleistern, darunter American Express und Optum Financial Services. Die UnitedHealth Group – Mutterunternehmen von Optum – beförderte sie schließlich zur CISO.
Cardwell ist überzeugt, dass moderne CISOs gleichzeitig Technologen, Geschäftsmenschen, Personalführer und Sicherheitsexperten sein müssen. Entscheidend für diese Entwicklung ist ein Bewusstsein darüber, dass Problemlösung mit Menschen genauso wichtig ist wie technische Lösungen. “Man muss gerne Probleme mit Menschen lösen wollen – nicht nur oder zusätzlich zu Problemen mit Code,” betont sie. “Es hat eine Weile gedauert, bis ich erkannt habe, dass das Problemlösen mit Menschen genauso viel Spaß macht, wenn nicht sogar mehr.”
Neben dieser “Menschen-ersten”-Philosophie ist strategisches Denken essentiell. CISOs dürfen sich nicht in taktischen Details verlieren und dabei den strategischen Überblick verlieren – gleichzeitig können einzelne taktische Fehler die gesamte Sicherheitsarchitektur gefährden. Cardwell vergleicht dies mit einem schwachen Baum in einem Wald: Ein schlechter Incident-Response-Leiter könnte katastrophal sein. Sie setzt auf einen “T-förmigen” Managementansatz: tiefes Wissen in einzelnen Disziplinen, aber breite strategische Perspektive.
Zum Aufbau starker Teams nutzt Cardwell Empowerment als primäres Werkzeug. Statt Anweisungen zu erteilen, bringt sie das Team zusammen: “Was sollten wir tun? Lass uns gemeinsam eine Strategie entwickeln.” Sie hasst es, anderen zu sagen, was sie tun sollen – und glaubt, dass das für die meisten Menschen zutrifft. “Die Menschen lieben es, Teil einer Mission zu sein, Teil einer Sache.”
Was sind die wichtigsten Charaktereigenschaften eines großartigen CISO? Cardwell nennt zwei: tiefe Neugier und großes Ego-Management. “Wenn man glaubt, die intelligenteste Person im Raum sein zu müssen, erstickt man die Fähigkeit anderer, ihre eigenen Vorschläge zu machen. Teams sind nur stark, wenn jedes Mitglied aktiv teilnimmt.”
Ein oft übersehenes Thema ist Burnout. Cybersicherheit ist ein Hochdruckumfeld – Profis sind praktisch 24/7 erreichbar. Cardwell führte deswegen “halbe Freitage” ein: Donnerstag nach Mittag frei – eine Geste der Anerkennung. “Das hat den Burnout im Team fast sofort reduziert.”
Cardwell identifiziert mehrere zentrale CISO-Herausforderungen: Erstens ist es unmöglich, die Abwesenheit von Angriffen zu “beweisen”. Wenn nichts passiert, fällt niemand die gute Sicherheitsarbeit auf – und es ist schwer, für mehr Budget zu argumentieren. Zweitens betont sie die Wichtigkeit von Partnerschaften. Sie empfiehlt neuen CISOs, sofort den Chief Privacy Officer und den Audit-Leiter zu kontaktieren. “Wenn man nicht mit seinen Peers zusammenarbeitet, macht man es falsch.”
Die dringlichste neue Bedrohung? KI-generierte, hochpersonalisierte Phishing-E-Mails. “Wir sehen jetzt E-Mails, die so präzise und persönlich zugeschnitten sind – beispielsweise mit kompletten Konversationsthreads zwischen CEO und CFO, alle fake, alle von KI generiert – dass Spam-Filter sie nicht erkennen. Das ist eine völlig neue Dimension des Social Engineering, für die ich denke, dass wir noch nicht vorbereitet sind.”