„Wer im Vorstand über Firewalls spricht, hat das Spiel bereits verloren.“

Der moderne CISO ist Übersetzer, Vertrauensanker und Risikonom. Ron Kneffel, Vorstandsvorsitzender der CISO Alliance, spricht im Interview darüber, warum Kommunikation, Vertrauen und saubere Dokumentation heute über den Erfolg von Informationssicherheit entscheiden.

Ron Kneffel ist Vorstandsvorsitzender der 2018 gegründeten Berufsverbandes CISO Alliance.

Die Rolle des Chief Information Security Officer (CISO) befindet sich nicht mehr im Wandel – sie hat sich bereits grundlegend verändert. Wer den CISO heute noch als verlängerten Arm der IT oder als „Firewall-Beschaffer“ versteht, unterschätzt nicht nur die Komplexität moderner Bedrohungslagen, sondern auch den strategischen Stellenwert von Informationssicherheit für das gesamte Geschäftsmodell. Im Interview macht Ron Kneffel, Vorstandsvorsitzender der CISO Alliance, deutlich: Der moderne CISO ist vor allem eines – Kommunikator, Übersetzer und Vertrauensperson.

Vom Techniker zum Business Enabler

Lange Zeit war der CISO faktisch ein Anhängsel des CIO: technisch stark, organisatorisch abhängig, strategisch oft isoliert. Dieses Modell ist nach Kneffels Einschätzung nicht nur überholt, sondern gefährlich. Wer dem IT-Leiter berichtet, gerät schnell in strukturelle Interessenkonflikte – insbesondere dann, wenn Sicherheitsanforderungen Projektgeschwindigkeit oder Kostenziele tangieren. Der moderne CISO muss daher unabhängig agieren und in einer zweiten Berichtslinie angesiedelt sein, mit direktem Zugang zum Vorstand.

Entscheidend ist dabei: Der CISO ist nicht mehr primär Techniker. Seine Aufgabe besteht nicht darin, Tools auszuwählen oder Firewalls zu konfigurieren, sondern darin, Risiken einzuordnen, deren Auswirkungen auf das Geschäftsmodell zu erklären und Sicherheit als Wettbewerbsfaktor zu positionieren. Informationssicherheit ist kein IT-Thema mehr – sie ist Teil der Unternehmensstrategie.

Kommunikation als Wunderwaffe

Kneffel bezeichnet Kommunikation wiederholt als den zentralen Gamechanger der Branche. Das ist bemerkenswert, denn es widerspricht dem Selbstbild vieler Sicherheitsverantwortlicher, die ihre Legitimation bislang aus technischer Expertise gezogen haben. Doch genau hier liegt das Problem. Wer im Vorstand über Zero-Trust-Architekturen oder Intrusion-Detection-Systeme spricht, verliert sein Publikum. Entscheider wollen keine Schwachstellenberichte, sie wollen Antworten auf eine andere Frage: Was bedeutet das für unser Geschäft?

Wer sagt: “Wir brauchen eine neue Firewall!”, verliert jedes Gespräch mit einem Entscheider, weil er nicht erklärt: “Wofür brauchen wir sie?” Am Ende des Tages verstehen Entscheider nur: “Was heißt das für mein Business? Kann ich damit mehr Geld verdienen? Bin ich damit wettbewerbsfähiger?”
– Ron Kneffel, Vorstandsvorsitzender CISO Alliance

Der moderne CISO muss daher Risiken und Investitionen in eine Sprache übersetzen, die Vorstände verstehen: Eurobeträge, Geschäftsunterbrechungen, Reputationsschäden, Marktchancen. Angstargumente führen nicht mehr zum Ziel – wer nur vor Bedrohungen warnt, wird als Verhinderer wahrgenommen. Wer dagegen Sicherheit als Enabler für neue digitale Geschäftsmodelle erklärt, schafft Akzeptanz und Wirkung.

Die ersten 100 Tage: Zuhören schlägt Aktionismus

Gerade neue CISOs laufen Gefahr, zu schnell Veränderungen durchsetzen zu wollen. Best Practices aus Schulungen, Frameworks aus der Theorie oder Erfahrungen aus anderen Unternehmen werden ohne Rücksicht auf bestehende Strukturen implementiert – mit oft fatalen Folgen. Kneffel warnt ausdrücklich davor: “Sicherheitskultur lässt sich nicht verordnen.”

Am Ende entscheiden Mensch, Prozess, Kultur darüber, ob Sicherheit wirklich funktioniert, und das lässt sich nicht kaufen.
– Ron Kneffel, Vorstandsvorsitzender CISO Alliance

In den ersten Wochen und Monaten gehe es vor allem darum, zuzuhören, die Organisation zu verstehen und Beziehungen aufzubauen – sowohl im Vorstand als auch bei den Mitarbeitenden. Vertrauen ist die zentrale Währung der Informationssicherheit. Ohne dieses Vertrauen scheitern selbst gut geplante Security-Projekte, weil Mitarbeitende die Maßnahmen nicht mittragen oder ihnen ausweichen. Sicherheit entsteht nicht durch Regeln allein, sondern durch Akzeptanz.

Haftung ist real – aber Angst ein schlechter Ratgeber

Mit neuen Regulierungen wie NIS2 rückte die persönliche Haftung von Vorständen und damit auch von CISOs stärker in den Fokus. Kneffel begegnet diesem Thema bewusst nüchtern. Haftung sei kein neues Phänomen, sondern Teil der unternehmerischen Verantwortung seit jeher. Wer Risiken vorsätzlich ignoriert, macht sich angreifbar – rechtlich wie wirtschaftlich.

„NIS2 hat die Haftung nicht erfunden – unternehmerische Verantwortung gab es schon immer.“
– Ron Kneffel, Vorstandsvorsitzender CISO Alliance

Gleichzeitig warnt er davor, Sicherheit über Angst oder Haftungsdrohungen zu vermitteln. Das führe selten zu nachhaltigem Handeln. Entscheidend sei vielmehr saubere Dokumentation: Risikobewertungen, Empfehlungen, Budgetentscheidungen und abgelehnte Maßnahmen müssen nachvollziehbar festgehalten werden. Diese Transparenz schützt nicht nur den CISO, sondern verbessert auch die Qualität von Entscheidungen im Unternehmen.

„Machen ist krasser als wollen.“

Die größte Herausforderung der Informationssicherheit ist heute nicht die Technik, sondern der Mensch – und damit Kommunikation, Kultur und Führung. Der moderne CISO ist Übersetzer zwischen Fachwelt und Vorstand, Moderator zwischen Sicherheit und Business, Vertrauensperson in Krisenzeiten. Oder, wie Kneffel es am Ende auf den Punkt bringt: “Lasst uns sprechen, lasst andere Perspektiven zu. Es gibt kein Richtig und es gibt kein Falsch. Also lasst uns anfangen.”

--

Weiterführende Links: