Stell dir folgendes vor.

Ein Schweizer Unternehmen, 100 Mitarbeitende. IT-Team von drei Personen. Infrastruktur läuft stabil, Backups existieren, der MSP überwacht das Netzwerk. Alle sind gut in ihrem Job.

Dann kommt ein potenzieller Grosskunde aus dem Finanzbereich. Due-Diligence-Fragebogen. Frage 14: "Bitte nennen Sie uns Ihren Sicherheitsverantwortlichen sowie die aktuelle Version Ihrer Information Security Policy."

Stille.

Nicht weil das Unternehmen fahrlässig wäre. Sondern weil diese Rolle niemand hat.

Was IT-Betrieb und Security-Leadership unterscheidet

Beides ist nötig. Aber es sind verschiedene Funktionen.

IT-Betrieb hält Systeme am Laufen: Patches, Backups, Helpdesk, Cloud-Infrastruktur, Monitoring. Das erledigen IT-Teams täglich, und die meisten tun das gut.

Security-Leadership fragt andere Fragen: Was sind unsere grössten Risiken? Wie erklären wir unsere Sicherheitslage dem Verwaltungsrat? Was passiert bei einem Incident? Welche Compliance-Anforderungen haben wir, und sind wir darauf vorbereitet?

Das sind keine technischen Fragen. Sie sind strategisch. Und sie tauchen in Meetings auf, die IT-Teams selten in ihrem Kalender haben: Verwaltungsrat, Beschaffungsausschuss, Gespräche mit dem Cyber-Versicherer, externe Audits.

In unserer Erfahrung passiert dann das: Die IT beantwortet diese Fragen nach bestem Wissen, aber ohne das Mandat, Prioritäten zu setzen. Das Unternehmen hat eine Sicherheitslage, aber keine Sicherheitsstrategie.

Das ist das Security-Leadership-Gap.

Drei Situationen, wo die Lücke sichtbar wird

Compliance-Anfragen von Kunden oder Partnern

Enterprise-Kunden, besonders aus dem Finanz- und Gesundheitsbereich, verlangen zunehmend Belege. Ein dokumentiertes ISMS. Eine aktuelle Risikobeurteilung. Manchmal einen Pentest-Bericht. Manchmal einen Fragebogen mit 120 Fragen.

Wer beantwortet das bei dir?

Wenn die Antwort "irgendjemand aus der IT, der gerade Zeit hat" ist, kostet das entweder den Deal oder mehrere Wochen ungeplanter Arbeit. Wir haben beides gesehen.

Die Versicherungsrenewal

Cyber-Versicherungen stellen heute andere Fragen als noch vor drei Jahren. Dokumentiertes ISMS, Verantwortlichkeiten für Sicherheitsthemen, getestete Backup-Prozesse, ein Incident-Response-Plan.

Wer diese Fragen nicht beantworten kann, bekommt entweder keinen Vertrag oder eine deutlich höhere Prämie. Manchmal beides.

Der Incident

Den hofft jeder zu vermeiden. Aber wenn er eintritt: Wer entscheidet, welche Systeme abzuschalten sind? Wer kommuniziert mit der Geschäftsleitung? Wer koordiniert mit dem MSP, der Versicherung, externen Forensik-Spezialisten?

Ohne klare Security-Leadership wird ein Incident zum improvisierten Krisenmanagement. Das Ergebnis ist teurer und chaotischer als nötig.

Was ein Fractional CISO konkret ändert

Ein Fractional CISO ist keine Vollzeitstelle. Typisch sind ein bis zwei Tage pro Woche. Das reicht, um:

• eine dokumentierte Risikobeurteilung durchzuführen

• ein pragmatisches ISMS aufzubauen, das im Unternehmen tatsächlich gelebt wird

• Sicherheitsthemen der Geschäftsleitung verständlich zu machen

• Compliance-Fragebögen strukturiert und zuverlässig zu beantworten

• im Incident-Fall als Koordinationspunkt zu fungieren

• Investitionsentscheidungen in Sicherheitstools zu begleiten

Das IT-Team macht weiter, was es gut kann. Der Fractional CISO ergänzt die Funktion, die bisher fehlte.

Was wir regelmässig beobachten: Das IT-Team ist erleichtert. Sie können sich auf ihren eigentlichen Job konzentrieren, statt Fragen zu beantworten, für die sie nicht beauftragt wurden.

Für wen es Sinn macht, für wen nicht

Nicht jedes Unternehmen braucht das.

Unter 30 Mitarbeitende, kaum regulatorische Anforderungen, keine Enterprise-Kunden mit eigenen Sicherheitsanforderungen: Oft reicht ein MSP mit Sicherheitsfokus.

Wenn du dagegen in einem regulierten Umfeld arbeitest, Kundendaten verarbeitest, von Grosskunden geprüft wirst oder in eine Wachstumsphase eintrittst, die mehr Governance erfordert: dann ist Security-Leadership keine optionale Ergänzung mehr.

Die Prüffrage ist einfach: Gibt es in deinem Unternehmen jemanden, der die Frage "Was ist unsere aktuelle Sicherheitsstrategie?" beantworten kann, ohne in Erklärungsnot zu geraten?

Wenn die Antwort zögerlich ist, weisst du, wo du stehst.

Auf den Punkt

IT-Betrieb hält Systeme am Laufen. Security-Leadership sorgt dafür, dass Sicherheit eine Strategie hat, Verantwortlichkeiten klar sind und das Unternehmen im Ernstfall handlungsfähig bleibt.

Für die meisten Schweizer KMUs zwischen 50 und 300 Mitarbeitenden ist das der fehlende Baustein. Und er ist günstiger, als die meisten denken.

Wenn du einschätzen möchtest, ob ein Fractional CISO das Richtige für euch ist, sprechen wir gerne.