Der moderne CISO: Entscheider, Übersetzer oder Feuerwehr?

Die Rolle des CISO ist in vielen Organisationen gleichzeitig überladen und unterdefiniert. Einerseits steigen Erwartungen rasant: Regulatorik (z. B. NIS2, DORA), Cloud-Transformation, steigende Bedrohungslage, Board-Visibility. Andererseits bleiben Mandat, Entscheidungsrechte und Erfolgskriterien oft vage.

Das Resultat ist ein wiederkehrendes Muster: Der CISO soll strategisch führen, endet aber operativ im Reaktionsmodus. Nicht, weil er „zu technisch“ ist – sondern weil das System um ihn herum nicht sauber eingerichtet ist.

Dieser Beitrag beleuchtet, warum viele CISOs im Spannungsfeld zwischen Entscheider, Übersetzer und Feuerwehr hängen bleiben – und was ein wirksames Rollen- und Operating Model auszeichnet.

Warum die CISO-Rolle so häufig „zwischen allen Stühlen“ landet

In der Praxis wird der CISO oft gleichzeitig für drei Dinge verantwortlich gemacht:

1. Sicherheit technisch liefern (Kontrollen, Architektur, SOC, Identity, Cloud)

2. Compliance erfüllen (Audits, Nachweise, Policies, Risk Register)

3. Unternehmensrisiken steuern (Priorisierung, Investitionsentscheidungen, Board-Kommunikation)

   
   

Das sind drei unterschiedliche Logiken – mit unterschiedlichen Taktungen, Stakeholdern und Messgrößen. Wenn diese Logiken nicht bewusst entkoppelt und orchestriert werden, passiert das Erwartbare: Das Operative frisst das Strategische, Compliance wird zum Taktgeber, und das Programm wird „beschäftigt“, aber nicht wirksam.

Die drei Rollen – und warum „alles gleichzeitig“ scheitert

1. Der CISO als Feuerwehr

   Die Feuerwehrrolle entsteht, wenn Incident- und Audit-Druck dominieren. Typische Symptome:

   • „Kannst du das bis Freitag fürs Audit fixen?“

   • „Wir hatten einen Vorfall – was hat das SOC verpasst?“

   • „Die Fachbereiche machen eh, was sie wollen – du musst eskalieren.“

     
     

   In diesem Modus arbeitet der CISO permanent am Symptom. Das bringt kurzfristig Ruhe, aber langfristig verschlechtert es die Lage: Das Security-Programm wird nicht strukturell besser – es wird nur schneller im Reagieren.

   
   

   Risiko: Die Organisation verwechselt Incident-Handling mit Security-Leadership.

2. Der CISO als Übersetzer

   Das ist die wertvollste, aber oft missverstandene Rolle.

   Der Übersetzer verbindet:

   • Business-Ziele ↔ Sicherheitsanforderungen

   • Risiko ↔ Investitionsentscheidungen

   • Technologie ↔ Governance & Operating Model

     
     

   Übersetzung funktioniert aber nur, wenn es ein Gegenüber gibt, das Entscheidungen trifft. Ohne Entscheidungskultur bleibt Übersetzung eine Einbahnstraße: Der CISO liefert Argumente, die Organisation liefert keine Commitments.

   
   

   Risiko: Der CISO wird zum Präsentationsprofi – ohne Durchgriff.

3. Der CISO als Entscheider

   Das ist die Rolle, die Security-Programme wirksam macht. Nicht im Sinne von „alle Entscheidungen selbst treffen“, sondern als jemand, der:

   • ein Zielbild vorgibt,

   • das Programm priorisiert,

   • Risiken entscheidungsfähig macht,

   • Abhängigkeiten managt,

   • Verantwortlichkeiten durchsetzt.

     
     

   Der Entscheider-Modus setzt ein Mandat voraus: Budget-Influence, Governance-Mechanismen, klare RACI, definierte Eskalationspfade.

   
   

   Risiko: Verantwortung ohne Autorität – ein strukturelles Anti-Pattern.

   
   

Der Kernkonflikt: Verantwortung ohne Entscheidungsrechte

Viele CISOs sind formell verantwortlich, aber operativ blockiert. Man erkennt das an Sätzen wie:

• „Ich kann es empfehlen, aber nicht entscheiden.“

• „Ich habe keine Durchgriffsmacht in den Produkten.“

• „Wir haben ein Risk Register, aber keiner entscheidet Risiken.“

  
  

Das ist selten eine individuelle Schwäche – das ist ein Governance-Design-Problem.

Wenn die Organisation nicht festlegt, wo Security-Entscheidungen getroffen werden, werden sie implizit getroffen: durch Zeitdruck, durch Lautstärke, durch das nächste Audit oder den nächsten Vorfall. Das ist teurer als jede geplante Roadmap.

Genau deshalb sind Operating Models und Entscheidungslogiken so wichtig – und ein wiederkehrendes Thema in meinem Buch „Informations- und Cybersicherheit: Ein strategischer Praxis-Leitfaden für moderne CISOs und Security-Entscheider“: Nicht, um „mehr Security“ zu machen, sondern um Security steuerbar, erklärbar und wirksam zu machen.

Was ein wirksames CISO-Operating Model ausmacht

Ein moderner CISO braucht nicht „mehr Tools“, sondern ein System aus Entscheidungsfähigkeit und Verantwortlichkeit. Vier Bausteine sind besonders entscheidend:

Klarer Auftrag und Zielbild

• Wofür steht das Security-Programm? (Resilienz, Risiko-Reduktion, Compliance-Fähigkeit, Trust)

• Welche Outcomes zählen? (z. B. Risk Exposure, Recovery Readiness, Control Coverage, Time-to-Detect/Respond)

Ohne Zielbild wird jede Maßnahme „irgendwie wichtig“

Echte Governance statt Meeting-Kalender

Governance heißt:

• Wer entscheidet Risikoakzeptanz?

• Wer priorisiert Security-Arbeit gegenüber Produktarbeit?

• Welche Entscheidungen sind delegiert, welche nicht?

• Wie sieht der Eskalationspfad bei Deadlocks aus?

Wenn das nicht definiert ist, wird der CISO zur Feuerwehr – unabhängig von Erfahrung und Kompetenz.

Ein Security-Portfolio statt Projekt-Zufall

Wirksame CISOs führen ein Portfolio:

• Initiativen nach Risiko und Business-Impact priorisieren

• Stop/Start-Entscheidungen treffen

• Kapazitäten bewusst steuern (nicht „alles parallel“)

• Abhängigkeiten zu IT/Engineering sichtbar machen

Das hebt Security von Task-Management zu Unternehmenssteuerung.

Metriken, die Entscheidungen ermöglichen

Reporting ist kein Selbstzweck. Gute Metriken beantworten Managementfragen:

• Wo sinkt Risiko messbar?

• Wo zahlen wir viel und bekommen wenig Wirkung?

• Welche Controls reduzieren welches Verlustszenario?

Wenn Metriken das nicht leisten, entsteht eine Reporting-Fassade – und Entscheidungen werden weiter vertagt.

Ein praktischer Selbsttest: In welcher Rolle stehst du gerade?

Schau auf die letzten 30 Tage:

• Wie viel Zeit ging in Vorfälle/Audit-Fixes? → Feuerwehr

• Wie viel Zeit ging in Alignment, Stakeholder, Übersetzung? → Übersetzer

• Wie viel Zeit ging in Priorisierung, Stop/Start, Governance, Entscheidungen? → Entscheider

  
  

Ein gesundes Programm braucht alle drei Rollen – aber der Schwerpunkt muss klar sein:Wenn Entscheiden und Steuern nicht dominiert, dominiert irgendwann das Reagieren.

Fazit

Der moderne CISO ist nicht nur Techniker und nicht nur Compliance-Verwalter. Er ist im Kern ein Programm- und Risikosteuerer – ein Entscheider, der übersetzt und nur im Ausnahmefall Feuerwehr spielt.

Wenn CISOs scheitern, liegt es selten am Können. Häufig liegt es daran, dass die Organisation die Rolle so gebaut hat, dass sie nicht funktionieren kann: Verantwortung ohne Mandat, Erwartung ohne Operating Model, Risiko ohne Entscheidungen.

Die gute Nachricht: Das lässt sich gestalten – bewusst und pragmatisch.

Hinweis in eigener Sache: Buch & CISO-Masterclass

Wenn du das Thema vertiefen willst:

• Im Buch „Informations- und Cybersicherheit: Ein strategischer Praxis-Leitfaden für moderne CISOs und Security-Entscheider“ beschreibe ich ein durchgängiges Vorgehen, wie Sicherheitsprogramme aufgebaut, gesteuert und messbar gemacht werden – inkl. Governance-, Risiko- und Operating-Model-Blueprints.

• In der CISO-Masterclass übersetze ich diese Inhalte in konkrete Umsetzung: Rollen- und Mandatsklärung, Governance-Design, Portfolio-Steuerung, Board-Kommunikation und messbare Programmführung – mit Vorlagen, Beispielen und Praxisübungen.