Quelle: Swiss Infosec
Kolumne «Security Post»: Lieber CISO - Brief an einen VIP
von Reto C. Zbinden
Artikel erschienen in IT Reseller 2026/03
Artikel erschienen in IT Reseller 2026/03
Lieber CISO
Ich kann mir gut vorstellen, dass du dir ein «das wurde auch Zeit» nicht verkneifen kannst. Nachdem ich mich in meinen Kolumnen bisher an die Achtsamkeit, das TPRM, das ISMS und viele mehr gewandt habe, kommen endlich die Menschen zum Zug, die hinter all diesen abstrakten Begriffen stehen und dafür sorgen, dass Sicherheit funktioniert.
Es ist kein Zufall, dass ich mit dir beginne, lieber Chief Information Security Officer. Du bist ein VIP der Sicherheit, gewissermassen das Sicherheitsgewissen eines jeden Unternehmens, ausgestattet mit Querschnitts- und Drehscheibenfunktion. Und den Dreh musst du raus haben, denn deine Aufgaben haben es in sich (ISMS, Risikoanalysen, Krisenmanagement, Compliance, Awareness). Und sie verändern sich nicht zuletzt aufgrund von KI zusehends. Ich denke da etwa an die Steuerung von Third-Party- und Supply-Chain-Risiken und die Integration von Security in die digitale Transformation als neue Aufgabengebiete.
Ich kann mir gut vorstellen, dass du dir ein «das wurde auch Zeit» nicht verkneifen kannst. Nachdem ich mich in meinen Kolumnen bisher an die Achtsamkeit, das TPRM, das ISMS und viele mehr gewandt habe, kommen endlich die Menschen zum Zug, die hinter all diesen abstrakten Begriffen stehen und dafür sorgen, dass Sicherheit funktioniert.
Es ist kein Zufall, dass ich mit dir beginne, lieber Chief Information Security Officer. Du bist ein VIP der Sicherheit, gewissermassen das Sicherheitsgewissen eines jeden Unternehmens, ausgestattet mit Querschnitts- und Drehscheibenfunktion. Und den Dreh musst du raus haben, denn deine Aufgaben haben es in sich (ISMS, Risikoanalysen, Krisenmanagement, Compliance, Awareness). Und sie verändern sich nicht zuletzt aufgrund von KI zusehends. Ich denke da etwa an die Steuerung von Third-Party- und Supply-Chain-Risiken und die Integration von Security in die digitale Transformation als neue Aufgabengebiete.
So vielfältig deine Aufgaben sind, so gross sind die Erwartungen an dich: Du wirst als Alleskönner gehandelt, als Top-Techniker, Stratege, Risiko- und Krisenmanager und Compliance-Spezialist in Personalunion. Gewissermassen der Prototyp einer eierlegenden Wollmilchsau. Und ja, die Anforderungen an dich sind nicht ohne: Dein technisches, strategisches und soziales Know-how muss mindestens so breit sein wie dein Rücken. Denn du bewegst dich permanent in einem Spannungsfeld zwischen Sicherheit und Business-Agilität, kämpfst vielleicht mit begrenzten Ressourcen und möglicherweise mangelnder Awareness im Management und/oder bei Mitarbeitenden und siehst dich immer komplexeren IT-Landschaften und Bedrohungen gegenüber – unter anderem getrieben durch Künstliche Intelligenz. Zu schaffen macht dir, dass die Verantwortlichkeiten zwischen IT, Risk, Compliance und Business sehr oft sehr unklar geregelt sind. Incidents, Audits und neue Vorgaben und Regulatorien sorgen dafür, dass du öfter in den Krisenmodus schalten musst, als dir lieb ist.
Unternehmen tun deshalb gut daran, Rahmenbedingungen zu schaffen, die deine Rolle als CISO stärken. Das fängt schon mit der Verankerung deiner Funktion im Unternehmen an: idealerweise bist du direkt der Geschäftsleitung unterstellt und damit unabhängig von der operativen IT, also vom CIO. Damit werden Interessenkonflikte schon einmal vermieden. Was du dir sonst noch vom Management wünschst? Dass es dir den Rücken stärkt, klare Aufgaben und Entscheidungsbefugnisse formuliert, angemessene Budgets und Ressourcen zur Verfügung stellt und messbare Ziele und Kennzahlen definiert.
Unternehmen tun deshalb gut daran, Rahmenbedingungen zu schaffen, die deine Rolle als CISO stärken. Das fängt schon mit der Verankerung deiner Funktion im Unternehmen an: idealerweise bist du direkt der Geschäftsleitung unterstellt und damit unabhängig von der operativen IT, also vom CIO. Damit werden Interessenkonflikte schon einmal vermieden. Was du dir sonst noch vom Management wünschst? Dass es dir den Rücken stärkt, klare Aufgaben und Entscheidungsbefugnisse formuliert, angemessene Budgets und Ressourcen zur Verfügung stellt und messbare Ziele und Kennzahlen definiert.
Das klingt jetzt alles so, als ob du dich ausschliesslich in grossen Unternehmen wohlfühlst und auch nur dort Bedarf an einem CISO wäre. Weit gefehlt: Jede Organisation braucht jemanden, der sich der Verantwortung für die Informationssicherheit stellt: ausgestattet mit klaren Zuständigkeiten und Kompetenzen. Manchmal ist in einem KMU die CISO-Rolle nur als Teilfunktion angelegt oder Unternehmen entscheiden sich aus Ressourcen- und Qualitätsgründen gleich dafür, dich auf Mandatsbasis als externen CISO einzusetzen.
So oder so: Du bist unverzichtbar. Ein VIP der Sicherheit, wie ich dich zu Beginn dieses Briefs genannt habe. Als solcher solltest du auch wertgeschätzt werden.
In diesem Sinne herzlichen Dank für dein Wirken und alles Gute.
MfG Reto Zbinden
So oder so: Du bist unverzichtbar. Ein VIP der Sicherheit, wie ich dich zu Beginn dieses Briefs genannt habe. Als solcher solltest du auch wertgeschätzt werden.
In diesem Sinne herzlichen Dank für dein Wirken und alles Gute.
MfG Reto Zbinden
Reto C. Zbinden
Reto Zbinden hat 1989 die Swiss Infosec AG gegründet. Das Unternehmen Sitz in Sursee (LU) gehört in der Schweiz zu den führenden, unabhängigen Beratungs- und Ausbildungsunternehmen in den Bereichen Informationssicherheit, Datenschutz und IT-Sicherheit. Es beschäftigt zusammen mit den Schwesterunternehmen Swiss GRC AG und Team Visual AG über 130 Mitarbeitende.
Reto Zbinden hat 1989 die Swiss Infosec AG gegründet. Das Unternehmen Sitz in Sursee (LU) gehört in der Schweiz zu den führenden, unabhängigen Beratungs- und Ausbildungsunternehmen in den Bereichen Informationssicherheit, Datenschutz und IT-Sicherheit. Es beschäftigt zusammen mit den Schwesterunternehmen Swiss GRC AG und Team Visual AG über 130 Mitarbeitende.
Artikel kommentieren
