Illustration Absmeier Foto (c) butterflymanager

Managementexperte Dr. Harald Schönfeld: »Mit Inkrafttreten der Anti-Hacker-Richtlinie NIS2 ist der Chief Information Security Officer die gefragteste Person auf der obersten Führungsebene.«

»Cyberresilienz ist derzeit eines der Hauptthemen im Topmanagement«, sagt der Managementexperte Dr. Harald Schönfeld. Er macht das an einer »stark steigenden Nachfrage nach Chief Information Security Officers auf Zeit« am Personalmarkt fest. Dr. Harald Schönfeld ist Geschäftsführer der Personalberatung butterflymanager, die auf die Vermittlung von Interim Managern, also Führungskräften auf Zeit, spezialisiert ist. »Wir hatten noch nie so eine hohe Nachfrage nach Managern, die sich in Projekten auf Vorstands- oder Geschäftsleitungsebene um die Cyberresilienz von Unternehmen kümmern sollen«, erklärt der Personaler.

Haftung auf Vorstands-, Geschäftsleitungs- und Aufsichtsratsebene

Das Gros der Nachfrage kommt von mittelständischen Firmen, die nicht selbst eine sogenannte Kritische Infrastruktur (KRITIS) betreiben, aber KRITIS-Unternehmen im Kundenstamm haben, hat Dr. Harald Schönfeld in zahlreichen Gesprächen festgestellt. Der Hintergrund ist nach Ansicht des Managementfachmanns offensichtlich: Nach Umsetzung der EU-Cybersicherheitsrichtlinie NIS2 (Network & Information Security) in deutsches Recht haften die Firmen bei Hackerangriffen. »Diese Haftung greift nach oben durch bis auf Vorstands- und Geschäftsleitungsebene«, erklärt Dr. Harald Schönfeld, warum Cyberresilienz plötzlich zum Topthema auf der obersten Führungsebene aufgestiegen ist. Er führt aus: »Verletzt das Topmanagement seine Pflicht oder unterlässt die Einführung von Maßnahmen zur Minimierung von Cyberrisiken, drohen hohe Bußgelder sowie rechtliche Konsequenzen für die Führungskräfte. Auch die Mitglieder der Überwachungs- und Kontrollorgane des Unternehmens stehen persönlich in der Haftung, insbesondere der Aufsichtsrat.«

Die Anpassung an die neuen rechtlichen Vorgaben erfordere nicht nur technologische Investitionen, sondern ebenso sehr eine Stärkung der Governance-Strukturen. »Governance ist im Grunde immer ein Thema für die oberste Führungsebene und den Aufsichtsrat. Deshalb suchen die Unternehmen einen Chief Information Security Officer und keinen bloßen Cybersicherheitsexperten«, weiß Dr. Harald Schönfeld aus Gesprächen mit Vorständen, Geschäftsführern und Aufsichtsräten.

Die NIS-2-Richtlinie setzt erhöhte Cybersicherheitsstandards für Unternehmen ab 50 Mitarbeitenden und 10 Millionen Euro Umsatz in 18 festgelegten Sektoren, die als kritisch für die Aufrechterhaltung wichtiger Infrastrukturen eingestuft werden. Dazu gehören die Branchen Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwässer, digitale Infrastruktur, IKT-Dienstleistungsmanagement, Öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallwirtschaft, Herstellung, Produktion und Vertrieb von Chemikalien, Lebensmittelproduktion, -verarbeitung und -vertrieb, Produktion, Herstellung von Medizinprodukten, Maschinen, Fahrzeugen sowie elektrischen/elektronischen Geräten, digitale Anbieter und Forschung.

Haftung umfasst die gesamte KRITIS-Wertschöpfungskette

»Vielen Führungskräften im Mittelstand ist offenbar erst spät klargeworden, dass NIS2 nicht nur für die Betreiber kritischer Infrastrukturen gilt, sondern für die gesamte KRITIS-Wertschöpfungskette, also auch alle Zulieferer«, hat Managementexperte Dr. Harald Schönfeld festgestellt. »Deshalb ist Cyberresilienz in vielen Firmen beinahe über Nacht von der IT-Abteilung auf die Agenda der obersten Führungsebene und auch des Aufsichtsrates als Überwachungs- und Kontrollgremium gesetzt worden. Daher sucht man nun auf Topebene einen schnell verfügbaren Interim Manager, der das Unternehmen in der Rolle des Chief Information Security Officer auf die neuen NIS2-Anforderungen einstellt.«

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rechnet mit knapp 30.000 von NIS2 betroffenen Firmen in Deutschland, andere Zählungen kommen auf rund 40.000 Unternehmen über die gesamte Wertschöpfungskette hinweg. »Die hohe Nachfrage nach Interim Managern zur Stärkung der Cyberresilienz auf Topebene ist auch die Folge eines leergefegten Personalmarktes mit entsprechend qualifizierten Personen«, sagt Dr. Harald Schönfeld. Er erklärt: »Immer häufiger erhalten wir einen Doppelauftrag: einen Interim Manager zu finden, der praktisch sofort als Chief Information Security Officer einspringt, und parallel dazu einen Manager zu suchen, der diese Funktion in dauerhafter Festanstellung antreten will. Der erste gelingt uns immer kurzfristig, aber für die zweite Aufgabe gehen unter Umständen Monate dahin, bis sich eine geeignete Führungskraft findet.«

Butterflymanager (www.butterflymanager.com) ist eine seit mehr als 20 Jahren auf die Vermittlung von Interim Managern spezialisierte Personalberatung. Interim Manager sind Führungskräfte auf Zeit, die Vakanzen überbrücken oder Sonderaufgaben übernehmen. Die von Geschäftsführer Dr. Harald Schönfeld entwickelte butterflymanager-Methode ist ein 5-Schritte-System, um den jeweils passenden Interim Manager auf systematische Weise innerhalb kürzester Zeit zu finden und erfolgreich im Unternehmen einzusetzen. Die fünf Schritte umfassen: 1. Auftragsklärung, 2. Kandidatensuche, 3. Entscheidungsunterstützung, 4. Vertragspartnerschaft und 5. Projektbegleitung. Angesichts des Mangels an qualifizierten Fach- und Führungskräften fällt Interim Managern eine Schlüsselrolle für den betrieblichen Erfolg zu. Dr. Harald Schönfeld ist zugleich Gründer und Geschäftsführer von United Interim, der führenden Online-Community für Interim Manager im deutschsprachigen Raum. Er ist auch Herausgeber der Fachbuchreihe »Von Interim Managern lernen«, die im Verlag der UNO-Denkfabrik Diplomatic Council erscheint. Als zertifizierter Aufsichtsrat und Beirat übernimmt Dr. Harald Schönfeld persönlich entsprechende Mandate.

310 Artikel zu „Cyberresilienz“

Ausgabe 9-10-2024 | Security Spezial 9-10-2024 | News | IT-Security

Von der Firewall zur Cyberresilienz: Wie Axians den Mittelstand auf zukünftige Bedrohungen vorbereitet – Cyber Security in IT und OT

19. Oktober 2024

Im Interview erklärt Martin Lutz, Leader Cyber Squad & Deputy CISO – Central and Eastern Europe bei Axians die spezifischen Sicherheitsanforderungen von IT und OT und die Notwendigkeit der engen Zusammenarbeit und abgestimmten Sicherheitsstrategien dieser so unterschiedlichen Welten.