Thought Leadership
Das Ausmaß von Cyberangriffen wird im Kerngeschäft oft noch unterschätzt. „Cyberrisiken werden häufig noch als technisches Problem betrachtet, obwohl sie in Wirklichkeit klassische Geschäftsrisiken sind“, sagt Sven Schnierle. Er kennt diese Diskrepanz aus der Praxis der Besetzung von Führungspositionen. Der Berater für C-Level- und Schlüsselpositionen sieht die eigentliche Schwäche vieler Organisationen in fehlender Führung.
Sie sagen, Cybersecurity sei heute eine Führungsfrage. Das klingt fast provokant für ein Fachpublikum wie das von IT Daily. Was meinen Sie damit genau?
Sven Schnierle: In vielen Unternehmen wird heute sehr viel Geld in Security-Technologien investiert. Gleichzeitig stelle ich in Gesprächen mit Führungskräften immer wieder fest, dass auf Vorstandsebene oft nicht klar ist, was ein erfolgreicher Angriff konkret für das Geschäft bedeuten würde – also etwa in Form von Umsatzausfällen, Produktionsstillständen, Vertragsstrafen oder nachhaltigen Reputationsschäden.
Genau hier beginnt die eigentliche Herausforderung. Cyberrisiken werden häufig noch als technisches Problem betrachtet, obwohl sie in Wirklichkeit klassische Geschäftsrisiken sind. Ein Angriff auf ein Produktionssystem kann beispielsweise innerhalb weniger Stunden zu erheblichen Umsatzeinbußen führen oder Lieferketten unterbrechen. Wenn diese Zusammenhänge nicht klar auf Managementebene verankert sind, bleiben Sicherheitsentscheidungen oft rein technisch motiviert.
Deshalb spreche ich bewusst von einer Führungsfrage. Cybersecurity gehört heute in die gleiche Kategorie wie andere unternehmerische Risiken – etwa Finanzrisiken oder operative Risiken – und muss entsprechend auch auf dieser Ebene gesteuert werden.
Wo liegt der Unterschied zwischen Unternehmen, die Cybersecurity als IT-Thema behandeln und denen, die es strategisch angehen?
Sven Schnierle: Der Unterschied liegt weniger in der eingesetzten Technologie als in der Perspektive, mit der das Thema betrachtet wird.
Unternehmen, die Cybersecurity als IT-Thema behandeln, diskutieren häufig über Tools, Budgets und technische Maßnahmen. Der CISO berichtet vielleicht regelmäßig über Bedrohungen und Schwachstellen, jedoch oftmals in einer Sprache, die niemand wirklich einordnen kann.
Organisationen, die Cybersecurity strategisch angehen, stellen dagegen andere Fragen. Dort wird zunächst analysiert, welche Geschäftsprozesse wirklich kritisch sind, welche finanziellen Auswirkungen ein Ausfall hätte und welche regulatorischen oder haftungsrechtlichen Konsequenzen entstehen könnten.
Cybersecurity wird damit nicht mehr als technisches Problem verstanden, sondern als Bestandteil des unternehmensweiten Risikomanagements.
Der entscheidende Unterschied ist also nicht die Technologie – sondern die Einordnung des Themas auf Managementebene. Wer Cybersecurity als Geschäftsrisiko versteht, trifft automatisch andere Entscheidungen als jemand, der es nur als IT-Thema betrachtet.
Milliarden fließen in Security-Lösungen, doch Cyberangriffe scheinen nicht abzunehmen. Lösen wir das falsche Problem?
Sven Schnierle: Teilweise schon. Viele Unternehmen investieren massiv in neue Security-Technologien, gehen aber implizit davon aus, dass sich Sicherheit dadurch automatisch verbessert. In der Praxis zeigt sich jedoch häufig ein anderes Bild: Lösungen werden eingeführt, aber organisatorisch nicht konsequent betrieben.
Man sieht SIEM-Systeme, die zwar implementiert sind, aber mangels Ressourcen im Security Operations Center (SOC) kaum genutzt werden. Oder Zero-Trust-Initiativen, die strategisch sinnvoll wären, aber über Jahre im Pilotstatus bleiben.
Das eigentliche Problem ist deshalb selten fehlende Technologie. Die entscheidende Frage ist, ob Unternehmen Sicherheit organisatorisch ernst genug nehmen – mit klaren Verantwortlichkeiten, funktionierenden Prozessen und ausreichend Ressourcen.
Cybersecurity scheitert heute weniger an Tools als an der Art, wie Organisationen Sicherheit führen und steuern.
Regulierungen wie zum Beispiel NIS-2 erhöhen den Druck. Sehen Sie das als Chance oder als Risiko?
Sven Schnierle: Für viele Sicherheitsverantwortliche sind regulatorische Anforderungen zunächst ein wichtiger Türöffner. Themen wie Cyberrisiken, Governance-Strukturen und Sicherheitsprozesse erhalten dadurch deutlich mehr Aufmerksamkeit auf Managementebene.
Gleichzeitig entsteht ein Risiko, wenn Unternehmen Compliance mit tatsächlicher Sicherheit gleichsetzen. Eine vollständig ausgefüllte NIS-2-Dokumentation schützt ein Unternehmen nicht automatisch vor einem Ransomware-Angriff, wenn die zugrunde liegenden Prozesse nicht funktionieren oder Verantwortlichkeiten unklar sind.
Regulierung definiert letztlich eine Mindestanforderung. Entscheidend ist, wie Unternehmen diese Anforderungen in eine funktionierende Sicherheitsorganisation überführen – etwa durch klare Governance-Strukturen, regelmäßige Risikoanalysen und belastbare Incident-Response-Prozesse.
Fachkräfte fehlen, wie in anderen Bereichen auch, in der Cybersecurity. Was bedeutet das für die Personalstrategie?
Sven Schnierle: Der Fachkräftemangel ist in der Cybersecurity besonders deutlich spürbar. Wer das heute nicht ernst nimmt, hat in einigen Jahren strukturelle Schwierigkeiten.
Dazu gehört zunächst, klare Karrierepfade im Security-Bereich zu schaffen und Weiterbildung systematisch zu fördern. Viele Unternehmen unterschätzen, wie stark die Entwicklung einer leistungsfähigen Security-Organisation von erfahrenen CISOs und Security-Leadern abhängt, die sowohl technologische Expertise als auch strategisches Verständnis für das Geschäft mitbringen.
Gerade auf dieser Ebene zeigt sich häufig ein Engpass im Markt: Erfahrene Führungskräfte mit internationaler Erfahrung im Aufbau und der Skalierung von Security-Organisationen sind stark nachgefragt und nur begrenzt verfügbar. Unternehmen, die hier zu spät oder zu unspezifisch suchen, verlieren wertvolle Zeit. Das ist keine Panikmache, sondern Realität.
Angesichts der begrenzten Verfügbarkeit erfahrener Security-Leader wird ein strategischer Executive-Search-Partner zum kritischen Erfolgsfaktor: Er kombiniert Markttransparenz, ein belastbares Netzwerk und einen systematischen Suchansatz, um nicht nur passende Kandidaten zu identifizieren, sondern auch langfristig wirksame Besetzungen sicherzustellen.
Was ist abschließend Ihre wichtigste Botschaft an CIOs und CISOs, die dieses Interview lesen?
Sven Schnierle: Cybersecurity muss raus aus der reinen IT-Perspektive und hinein in die Unternehmensführung. In vielen Organisationen verbringen Sicherheitsverantwortliche noch immer einen Großteil ihrer Zeit damit, Risiken zu erklären und Berichte zu erstellen. Das schafft Transparenz – verändert aber noch keine Risikolage.
Der entscheidende Schritt ist, Cyberrisiken aktiv zu steuern. Dafür braucht es klare Verantwortlichkeiten, belastbare Governance-Strukturen und eine Sicherheitsfunktion, die fest in strategische Entscheidungen eingebunden ist.
Die Rolle des CISO verändert sich dabei grundlegend. Er oder sie darf nicht nur technischer Spezialist sein, sondern muss als Risikomanager und Sparringspartner des Vorstands agieren. Nur wenn Cybersecurity auf dieser Ebene verankert ist, lassen sich Sicherheitsmaßnahmen sinnvoll priorisieren und mit Geschäftsentscheidungen verzahnen.
Unternehmen, die Cybersecurity als Bestandteil ihrer Unternehmensführung verstehen, verschaffen sich einen echten strategischen Vorteil. Nicht, weil Angriffe seltener werden – sondern weil sie schneller, strukturierter und resilienter darauf reagieren können.
