Cyberangriffe gehören längst zum Alltag von Unternehmen, Behörden und kritischen Infrastrukturen. Laut dem Bundesamt für Cybersicherheit (BACS) gingen 2023 insgesamt 49’380 Meldungen von Cybervorfällen ein – rund 30 Prozent mehr als im Vorjahr. Betroffen waren Spitäler, Gemeinden und zahlreiche KMU.
Warum nicht jedes Unternehmen einen CISO hat
Trotz wachsender Risiken verfügen viele Firmen noch nicht über eine CISO-Funktion. Die Security Priorities Study 2024 von CSO zeigt, dass nur 45 Prozent der nordamerikanischen Unternehmen einen CISO benannt haben. Besonders KMU tun sich schwer, die nötigen Mittel für eine eigene Sicherheitsleitung bereitzustellen. Laut einer Studie der ENISA betrifft dies auch Europa.
Unternehmen mit einer CISO-Funktion binden ihren Verwaltungsrat nachweislich stärker in Sicherheitsfragen ein – das belegt die State of the CISO 2024-Studie von IANS.
Politische Frage: Wo der CISO aufgehängt ist
Die organisatorische Verankerung sagt viel darüber aus, wie ernst ein Unternehmen Cyberrisiken nimmt. Untersteht der CISO dem CIO, wird Sicherheit oft als IT-Kostenfaktor betrachtet. Wird er dem CSO zugeordnet, gilt Cybersecurity als Teil der physischen Sicherheit. Am klarsten ist das Signal, wenn der CISO direkt an CEO oder Verwaltungsrat berichtet – wie es die EU-Richtlinie NIS-2 vorsieht.
Aufgabenfelder mit realem Druck
Die Rolle des CISO reicht von Prävention über Governance bis hin zur Krisenbewältigung. Beispiele aus der Schweiz verdeutlichen den Handlungsdruck: Die Gemeinde Rolle (VD) war 2021 wochenlang nach einer Ransomware-Attacke beeinträchtigt (Le Temps). Mit dem revidierten Datenschutzgesetz (revDSG) gelten seit September 2023 strengere Pflichten zur Transparenz. Und der MOVEit-Hack im Sommer 2023 zeigte die Verwundbarkeit globaler Lieferketten.
Kompetenzprofil: Mehr als nur Technik
Ein CISO muss Technik und Strategie verbinden können. Die FINMA fordert von Finanzinstituten ein systematisches IKT-Risikomanagement auf Geschäftsleitungsebene. International anerkannte Zertifizierungen wie CISSP, CISA oder CCSP sind auch in der Schweiz stark verbreitet und signalisieren Fachwissen und kontinuierliche Weiterbildung.
Unterschiedliche Anforderungen je nach Branche
Die CISO-Rolle variiert je nach Branche. Im Gesundheitswesen sind Spitäler ein primäres Ziel von Ransomware (ENISA). Im Finanzsektor müssen Banken Cyberrisiken im internen Kontrollsystem offenlegen (FINMA-Jahresbericht 2023). KMU wiederum konzentrieren sich oft darauf, mit beschränkten Mitteln Basis-Massnahmen wie Multi-Faktor-Authentisierung umzusetzen.
Flexible Modelle: CISO as a Service und CISO on Demand
Nicht jedes Unternehmen kann sich einen vollamtlichen CISO leisten. Darum setzen viele Firmen auf CISO as a Service (CISOaaS) oder CISO on Demand. Laut der Cynomi-Studie 2024 berichten über 70 Prozent der Managed Security Provider von steigender Nachfrage nach diesen Modellen. Angesichts dessen, dass 99 Prozent der Schweizer Unternehmen KMU sind, bieten diese Modelle eine pragmatische Lösung.
Fazit
Der CISO ist weit mehr als ein technischer Spezialist. Er ist Übersetzer zwischen Technologie, Risiko und Strategie – und damit für jedes Unternehmen unverzichtbar. Ob fest in der Geschäftsleitung verankert oder als Service-Modell: Die Frage lautet nicht, ob sich ein Unternehmen einen CISO leisten kann, sondern ob es sich leisten kann, keinen zu haben.
CISO as a Service – Ihr nächster Schritt
Nicht jedes Unternehmen verfügt über die Ressourcen, eine CISO-Stelle dauerhaft zu besetzen. Genau hier setzt unser Angebot CISO as a Service an. Sie erhalten Zugang zu erfahrenen Sicherheitsexperten, die Ihr Unternehmen flexibel und bedarfsgerecht unterstützen – von Cyberstrategie und Governance bis zur operativen Krisenführung.
So profitieren Sie von denselben Kompetenzen wie bei einem festangestellten CISO – in einem Modell, das sich nahtlos an Ihre Grösse und Ihr Budget anpasst. Kontaktieren Sie uns für ein unverbindliches Gespräch.
Key Take-away – Jetzt handeln statt warten
Stärken Sie Ihre Resilienz mit einem klaren Verantwortungsmodell: CISO-Funktion verankern, Verwaltungsrat regelmässig einbinden, Basis-Massnahmen (MFA/Passkeys, Segmentierung, Backup-Resilienz) konsequent umsetzen – und bei fehlenden Ressourcen CISO as a Service als skalierbaren Weg nutzen.
