/
Cybersecurity als Neugestaltung des Operating Models, Governance und der CISO-Position
In vielen Organisationen wird Cybersecurity weiterhin als eine spezialisierte Funktion innerhalb der IT positioniert. Es gibt einen CISO, es gibt Sicherheitsteams, es gibt Tools, es gibt Richtlinien. Aus regulatorischer und technologischer Perspektive scheint der Rahmen vorhanden zu sein.
Dennoch zeigt sich in der Praxis, dass strukturelle Cybertransformationen selten an der Technologie scheitern. Sie werden verzögert, fragmentiert oder verlieren an Wirkung aufgrund unklarer Mandate, zersplitterter Verantwortlichkeiten und eines Operating-Models, das nicht darauf ausgelegt ist, digitale Risiken ganzheitlich zu verwalten.
Für Sie als CISO oder Cybersecurity-Executive liegt die zentrale Frage daher nicht nur in der Reife der Kontrollmaßnahmen, sondern in der organisatorischen Architektur, innerhalb derer diese agieren.
Cybersecurity als Betriebsmodellfrage
Ein Operating Model bestimmt, wie die Strategie in die Ausführung übersetzt wird. Es definiert Rollen, Verantwortlichkeiten, Entscheidungsstrukturen, Berichtslinien und die Integration zwischen Funktionen.
Wenn Cybersicherheit in diesem Modell keinen expliziten Platz erhält, entsteht ein Spannungsfeld zwischen Ambition und Realität. Sicherheit wird dann zu bestehenden Strukturen hinzugefügt, die ursprünglich nicht für kontinuierliche digitale Bedrohungen, komplexe Abhängigkeiten und regulatorische Verantwortung konzipiert sind.
Dies führt typischerweise zu drei Mustern:
Erstens: eine Trennung zwischen Sicherheit und Lieferung, wobei Sicherheit als Kontrollmechanismus im Nachhinein fungiert, anstatt als Entwurfsparameter im Voraus.
Zweitens: eine Fragmentierung von Verantwortlichkeiten über IT, Risiko, Compliance, Recht und Geschäftsbereiche ohne integrierte Entscheidungsfindung.
Drittens: ein unklarer Mandat des CISO, wodurch strategische Verantwortung und operative Befugnis nicht im Gleichgewicht sind.
Die Positionierung des CISO
Die Rolle des CISO hat sich in den letzten Jahren von einem technischen Experten zu einem strategischen Risikoführer entwickelt. Dennoch spiegelt die formale Positionierung in vielen Organisationen diese Entwicklung oft nicht ausreichend wider.
Der Platz des CISO in der Berichtstruktur beeinflusst direkt die Effektivität des Mandats. Ein CISO, der ausschließlich unter dem CIO berichtet, wird oft primär als IT-Verantwortlicher angesehen. Ein CISO mit einer direkten Linie zum CEO oder Vorstand hat eine andere Legitimität in Diskussionen über Risikobereitschaft, Investitionen und Prioritäten.
Für Sie ist daher die Frage grundlegend, ob Sie sowohl über das formale als auch das informelle Mandat verfügen, um digitale Risiken als Unternehmensrisiken zu rahmen und einzugreifen, wenn Entscheidungen strukturelle Risiken erhöhen. Mandate ohne Zugang zur Entscheidungsfindung bleiben beratend, während Verantwortung ohne Befugnis unweigerlich zu strukturellen Spannungen führt.
Governance als Integrationsmechanismus
Cybersecurity-Governance ist mehr als Politik und Berichterstattung. Sie bildet das Mechanismus, das die Entscheidungsfindung über digitale Risiken strukturiert und mit der Durchführung verbindet.
Effektive Governance integriert drei Dimensionen. Auf strategischer Ebene geht es um Risikobereitschaft, Prioritäten, Investitionsentscheidungen und Eskalation. Auf taktischer Ebene betrifft es die Übersetzung von Strategie in Architekturprinzipien, Kontrollrahmen und Integration in Lieferprozesse. Auf operativer Ebene umfasst es Überwachung, Vorfallmanagement, Tests und kontinuierliche Verbesserung.
Wenn diese Ebenen nicht kohärent aufeinander abgestimmt sind, entsteht eine Kluft zwischen formaler Verantwortung und tatsächlicher Kontrolle. Governance wird dann zum nachträglichen Bericht, während das Wesen davon gerade in der vorhergehenden Entscheidungsfindung liegt.
Zentralisierung versus Föderation
In größeren Organisationen stellt sich unweigerlich die Frage, wie Cybersecurity organisatorisch gestaltet wird: zentral, föderal oder in hybrider Form.
Ein vollständig zentrales Modell schafft Konsistenz und Skaleneffekte, kann jedoch zu wenig Anschluss an spezifische Geschäftskontexte finden. Ein vollständig föderales Modell erhöht die lokale Beteiligung, birgt jedoch das Risiko von Fragmentierung und Inkonsistenz bei den Steuerungsmaßnahmen.
Die meisten reifen Organisationen bewegen sich in Richtung eines hybriden Modells, in dem strategische Rahmenbedingungen, Architekturprinzipien und minimale Steuerungsmaßnahmen zentral festgelegt werden, während Implementierung und operative Durchführung näher am Geschäft stattfinden. Die Herausforderung für Sie besteht darin, ein Modell zu entwerfen, das gleichzeitig konsistent und anpassungsfähig ist, ohne dass Kohärenz verloren geht.
Security by Design als strukturelles Prinzip
Ein klarer Maßstab für die organisatorische Reife ist das Maß, in dem Sicherheit in die Produktentwicklung und digitale Bereitstellung integriert ist.
Wenn Sicherheit hauptsächlich über Überprüfungsprozesse nach Design- und Bauphasen hinzugefügt wird, entsteht Reibung. Lieferteams empfinden Sicherheit als Verzögerung, während Sicherheit die Lieferung als risikobehaftet betrachtet.
Ein Betriebsmodell, das Security by Design strukturell verankert, verändert diese Dynamik grundlegend. Architekturprinzipien, Identitätsstandards, Protokollanforderungen und grundlegende Steuerungsmaßnahmen werden im Voraus definiert, sodass Lieferteams innerhalb klarer Rahmenbedingungen operieren können, ohne ständige Eskalation.
Dies erfordert nicht nur geeignete Werkzeuge, sondern auch eine bewusste organisatorische Integration der Sicherheitsexpertise in Plattformteams, DevOps-Strukturen und Architekturkonferenzen.
Die Beziehung zwischen dem CISO und der Risikofunktion
In Organisationen mit einer formalen Risikofunktion entsteht oft ein Spannungsfeld zwischen Cybersecurity und Enterprise Risk Management. Cybersecurity generiert technische Risikoanalysen, während das Enterprise Risk Management auf unternehmensweite Priorisierung und Berichterstattung fokussiert.
Wenn beide Disziplinen nicht ausreichend integriert sind, werden Cyberrisiken entweder ungenügend in Unternehmensauswirkungen übersetzt oder unzureichend technisch untermauert.
Für Sie bedeutet dies, dass eine effektive Positionierung nicht nur von Ihrer Beziehung zur IT abhängt, sondern ebenso von Ihrer Zusammenarbeit mit dem CRO, Compliance und interner Prüfung. Cybersecurity erreicht erst dann seine strategische Reife, wenn es vollständig in den breiteren Risikorahmen der Organisation integriert ist.
Regulatorische Rahmenbedingungen verstärken die Notwendigkeit organisatorischer Kohärenz. Rechenschaftspflicht kann nicht nachhaltig von einer isolierten Sicherheitsfunktion getragen werden.
Wenn Aufsichtsbehörden Fragen zur Entscheidungsfindung, Effektivität von Kontrollmaßnahmen und Vorfallreaktionen stellen, wird sichtbar, wie robust Ihr Organisationsmodell tatsächlich ist. Ein starkes Modell macht Entscheidungswege transparent, Verantwortlichkeiten explizit und Eskalationsmechanismen vorhersehbar. Ein schwaches Modell hingegen bleibt von Einzelpersonen, informellen Netzwerken und Ad-hoc-Lösungen abhängig.
Die Reifegradfrage für Sie als Führungskraft
Die grundlegende organisatorische Frage ist nicht, wie viele Kontrollmaßnahmen Sie implementiert haben, sondern ob Ihre Organisation darauf ausgelegt ist, digitale Risiken strukturell zu bewältigen. Diese Frage wird konkret, wenn Sie sie in Ihre eigene Verwaltungspraxis übersetzen.
Verfügen Sie über eine klar definierte Rolle mit einem entsprechenden Mandat?
Ist Governance ein lebendiger Entscheidungsmechanismus oder lediglich eine Berichtstruktur?
Ist Sicherheit in die Architektur und Lieferung integriert, oder bleibt es eine Nachkontrolle?
Sind die Verantwortlichkeiten kohärent verteilt oder bleiben sie von individueller Überzeugungskraft abhängig?
Abschließend
Cybersecurity-Transformation ist im Wesentlichen ein Neudesign des Betriebsmodells. Technologie kann eingekauft und Fachwissen kann eingearbeitet werden, aber ohne organisatorische Klarheit über ein Mandat, Governance und Integration bleibt die digitale Widerstandsfähigkeit fragil.
Wenn Sie Cybersecurity als integralen Bestandteil Ihrer Organisationsarchitektur positionieren, anstatt als separate Funktion, verlagert sich die Diskussion von der Vorfallreaktion zur strukturellen Kontrolle. Genau hier liegt der Unterschied zwischen technischer Reife und verwaltungstechnischer Reife.
Andere interessante Themen
Cloud- und Plattform-Engineering
Die Beherrschbarkeitkrise in komplexen Cloudumgebungen
Lesen
Cybersecurity und digitales Risikomanagement
Identitäts- und Zugriffsmanagement: das Betriebssystem der digitalen Kontrolle
Lesen
IT-Architektur, Governance und digitale Transformation
Warum digitale Transformation ohne Architekturreferenz zu Fragmentierung, Risiken und Wertverlust führt.
Lesen
Data, Analytics und Künstliche Intelligenz
Warum Daten- und KI-Initiativen selten strukturelle Unternehmensauswirkungen erzielen
Lesen
Applikationsentwicklung und Software-Delivery
Wenn die Anwendungsarchitektur die strategische Wendigkeit zu untergraben beginnt
Lesen
Enterprise-Plattformen und Kernsystemen
Die Plattformverhardung in Unternehmensorganisationen: warum Kernsysteme Innovationen blockieren, anstatt sie zu beschleunigen
Lesen
