In dieser Folge von GCC Perspektiven spricht Fabian Flock mit Michael Ruppe über den Wandel der CISO Rolle. Weg von reiner Second Line und Compliance, hin zu echter Präsenz im Unternehmen und einer Security Sprache, die das Business versteht. Es geht um Unterschiede zwischen Schweiz und Deutschland, um Talent, Reputation und Recruiting, sowie um die Frage, warum Wachstum in Security oft nicht an Tools scheitert, sondern an Kommunikation, Ressourcen und Priorisierung.

Show Notes:

In dieser Episode

• Schweiz vs. Deutschland. Regulatorik, Skalierung und Mindset im Security Umfeld.
• Security in KMU. Bewusstsein ist oft da, der Engpass sind Ressourcen, Budget und Management Support.
• Build vs. Buy. Wann intern aufgebaut wird und wann Consulting, Freelancer oder Big Four unvermeidbar sind.
• Reputation im Consulting. Warum große Namen Fehler eher „überleben“ und Boutiquen daran untergehen können.
• Talent und Recruiting. Warum Top Skills oft an Lohnniveau, Rollenprofilen und Ausschreibungslogik hängen.
• CISO im Wandel. Business Value, Board Sprache, Digitalisierung und AI. Security wird „business-fiziert“.
• Sparring statt Bestätigung. Warum unbequeme Fragen zu besseren Antworten und besseren Entscheidungen führen.

Gast

Michael Ruppe, CISO, Schweiz. Einstieg über klassische IT und SAP Security, später breiter in Governance, Assurance und Security Leadership.

Kapitel

00:00 Intro. Wer ist Michael Ruppe, warum diese Perspektive relevant ist.
00:50 Werdegang. Von klassischer IT über SAP Security in die CISO Rolle.
02:30 Schweiz vs. Deutschland. Regulatorik, Peer Austausch, Mindset.
04:30 Security Affinität in CH und die Realität im KMU. Budget, Ressourcen, Support.
06:40 Freelancer, Consulting, Big Four. Unterschiede Public vs. Privatwirtschaft.
09:10 Interner Aufbau. Warum „kritische Masse“ im Security Team entscheidend ist.
10:40 Reputation. Warum große Namen anders wahrgenommen werden als Boutiquen.
14:30 Talent. Top Skills, Top Löhne, Ausschreibungslogik und „Punkte“ Systeme.
29:30 CISO Rollenwandel. Von Second Line zu Business Präsenz und Digitalisierung AI.
58:00 Mindset Shift. CISO muss auf Business Seite, sonst überrollt die Technologierate.
59:50 Sparring, unbequeme Fragen, echte Antworten.
1:01:40 Abschluss. Einladung zum Austausch bei GCC Events.

Daniel Manzer bringt die juristische Perspektive in die Praxis von Informationssicherheit. Er ordnet ein, warum NIS2 keine „neue Haftung“ erfindet, sondern auf bestehende Pflichten aus GmbH- und Aktienrecht verweist. Unternehmen sind bereits heute verpflichtet, Schäden von der Gesellschaft abzuwenden, also auch Risiken aus

Informationssicherheitsvorfällen ernst zu nehmen.

Fabian Flock und Daniel Manzer sprechen darüber, warum viele Unternehmen ihre eigene Digitalisierung unterschätzen. Wer nicht ausschließlich mit Papier arbeitet, sondern E-Mail, IT oder OT nutzt, ist bereits abhängig von digitalen Prozessen und damit risikobehaftet. Ein zentrales Thema ist das fehlende Bewusstsein für Prozess- und Wissensabhängigkeiten. Kritische Abläufe sind oft nicht dokumentiert, hängen an einzelnen Personen und werden erst sichtbar, wenn Menschen ausfallen oder Systeme nicht verfügbar sind.

Ein weiterer Schwerpunkt ist Delegation. Aufgaben können delegiert werden, Verantwortung nicht. Häufig wird NIS2 in die IT „wegdelegiert“, obwohl es ein unternehmensweites Thema ist. Ohne Mandat, Standing und Führungseinbindung kann die IT weder Prozesse in HR, Einkauf oder Operations verändern, noch eine wirksame Governance etablieren. Deshalb diskutieren beide die Notwendigkeit, Stakeholder an einen Tisch zu bringen, Sprachen zu übersetzen und Maßnahmen pragmatisch so zu gestalten, dass sie im Alltag funktionieren.

Zum Abschluss geht es um die Geschäftsleitungsschulung. Daniel Manzer erklärt, warum reine Standard-Schulungen nicht reichen werden und warum sich Schulungen in Zukunft stärker am individuellen Risikoprofil, an organisatorischen Änderungen und an Vorfällen orientieren müssen. Wichtig ist außerdem die Einordnung, dass viele Unternehmen bereits viel „richtig“ machen, es aber nicht transparent dokumentiert haben. Genau diese Sichtbarkeit ist entscheidend, um Risiken, Maßnahmen und Prioritäten sauber zu steuern.

Kapitelmarken

00:00 Intro, Gast und Kontext
01:10 Regulatorik und Einordnung, warum NIS2 keine neue Haftung erfindet
03:10 Geschäftsführerpflichten, Schaden abwenden, bestehende Rechtsgrundlagen
05:10 Warum Unternehmen ihre Digitalisierung unterschätzen
06:20 Haftungslogik und Basisschutz, sobald IT genutzt wird
08:10 Selbstverständnis von Digitalisierung und falsche Sicherheitsannahmen
11:40 Prozessrealität, fehlende Dokumentation, „taktisches Arbeitswissen“
15:10 Business Continuity statt reines IT-Security-Thema
17:40 Delegation versus Verantwortung, warum Wegdelegieren scheitert
20:10 RACI, Stakeholder, Sprachen im Unternehmen, aneinander vorbeireden
24:30 Demand Management, pragmatische Maßnahmen statt Papiertiger
29:40 GCC Perspektiven, ganzheitlicher Blick, warum Austausch wirkt
36:30 Regulatorik als Wirtschafts- und Resilienzthema
38:20 „Wie tief ist der Fall“, Sicherheitsniveau statt 100 Prozent Sicherheit
40:50 Feuerübung als Vergleich, Handlungsfähigkeit bei IT-Ausfall
43:10 Verantwortung bleibt, auch wenn Aufgaben delegiert werden
45:20 Geschäftsleitungsschulung, Ziel, Entwicklung, Individualisierung
50:40 Häufige Fehlannahme, Unternehmen tun schon viel, es ist nur nicht sichtbar
52:30 80-20, Fokus und Priorisierung statt Perfektion
53:30 Prinzip Hoffnung ist keine Strategie, Abschluss

Key Takeaways

• Haftung und Pflicht zur Schadensabwendung bestehen seit Jahrzehnten, NIS2 macht es sichtbarer.
• Aufgaben delegieren ist möglich, Verantwortung nicht.
• Business Continuity und Informationssicherheit sind Unternehmensführung, nicht IT-Task.
• Pragmatische, gelebte Maßnahmen schlagen Papiertiger.
• Viele Unternehmen sind weiter als sie denken, aber ohne Sichtbarkeit und Dokumentation fehlt Steuerung.

Zentraler Punkt der Folge ist die Einordnung von NIS2 als Management und Führungsthema. Persönliche Verantwortung und Haftung auf der Leitungsebene sind für Matthias ein entscheidender Hebel, weil dadurch die Organisation gezwungen ist, Wissen aufzubauen, Entscheidungen zu treffen und nicht nur Aufgaben zu delegieren.

Gemeinsam sprechen wir über die typische Vorgehensweise aus der Praxis. Erst Aufklärung und Ist Analyse, dann Zielzustand, dann Delta und Umsetzungsroadmap. Dabei wird klar, warum Dokumentation bei Changes und Major Changes häufig zu schwach ist, was das in Audits und in Incident Situationen bedeutet und warum „historisch gewachsen“ kein Argument für fehlende Nachvollziehbarkeit sein darf.

Ein weiterer Schwerpunkt ist das Thema digitale Souveränität und Datenflüsse. Wir ordnen ein, warum ein vollständiger Plattformwechsel selten als Big Bang gelingt, welche Schritte zumindest Risiken reduzieren können und weshalb Datenklassifizierung nur dann wirklich hilft, wenn sie durch technische Kontrollen, DLP Logik und klare Policies abgesichert ist.

Zum Schluss gibt Matthias drei konkrete Leitplanken für Organisationen. Bestandsaufnahme plus Zielbild, passende Partner und Wissenstransfer, sowie konsequentes KVP, weil man in Security und Compliance nie „fertig“ ist.

In dieser Episode

1. NIS2 ist Führungs und Managementthema, nicht nur IT.
2. Praxisvorgehen. Ist Analyse, Soll Zustand, Delta, Roadmap.
3. Warum die Umsetzung oft weh tut, weil das Delta größer ist als erwartet.
4. Dokumentation als Schwachstelle. Changes, Major Changes, Nachvollziehbarkeit, Risikobetrachtung.
5. Kontinuierliche Verbesserung. Man ist nie fertig, weil sich Bedrohungslage und Anforderungen weiterentwickeln.
6. Digitale Souveränität. Warum Alternativen häufig nur partiell funktionieren und Umstieg Investition bedeutet.
7. Datenklassifizierung. Metadaten reichen nicht, es braucht Kontrollen und technische Durchsetzung.
8. Kronjuwelen Ansatz. Kritische Systeme, Abhängigkeiten, Wiederanlaufzeiten, Auswirkungen pro Ausfallzeit.
9. Übersetzen zwischen IT und Management als Kernaufgabe.

Gast
Matthias Totzauer. Information Security Fokus, NIS2 und Compliance, praktische Begleitung von Organisationen.

Host
Fabian Flock, Global Cyber Circle.

Kapitel

00:00 Begrüßung, Einordnung der Folge, warum OT und Risk unterschätzt werden
01:20 Manu stellt sich vor. Risk Management, Architecture, Digital Leadership, OT IT AI
04:30 OT Realität im Mittelstand. Alte Systeme, Protokolle, Vernetzung, typische Fallstricke
07:30 Regulatorik als Druck. Warum es nicht nur Konzerne betrifft
10:10 Kronjuwelen und Prozesse. Warum Risikoarbeit immer dort starten muss
14:00 Mensch statt Tool. Warum Wirkung über Kultur, Verantwortung und Verständlichkeit entsteht
18:30 Dokumentation, Wissenssicherung, Single Points of Failure in der Praxis
22:30 AI im Unternehmen. Nutzen, Risiken, Governance, realistische Reifegrade
27:00 Praktischer Ansatz. Wie Unternehmen OT Risiken priorisieren und Maßnahmen ableiten
32:00 GCC Perspektive. Warum Austausch und Cross Capability Denken der Hebel ist
35:00 Abschluss, wichtigste Takeaways, Ausblick

Matthias zeigt, warum Produktmanagement keine reine Anforderungsaufnahme ist, sondern eine Management Disziplin. Er erklärt, weshalb ein Product Owner nicht automatisch Produktmanagement abbildet, warum Silos Rendite kosten, und wie ein Product driven Operating Model Organisationen fokussierter und steuerbarer macht.

Ein Schwerpunkt der Folge ist außerdem die Frage, wie Regulatorik und Marktbedingungen, zum Beispiel der Cyber Resilience Act, das Denken in Produktarchitektur, Skalierbarkeit und Lieferfähigkeit verändern. Und warum auch Individualprogrammierung Produktmanagement braucht, nicht wegen des Ergebnisses, sondern wegen des Herstellungsprozesses.

In dieser Episode

• Matthias Werdegang. Vom Sozialwesen über Plattformen und Portfolios bis zur Produktverantwortung.
• Produktmanagement als C Level Kompetenz. Warum es mehr ist als Anforderungsmanagement.
• Product driven Operating Model. Warum sich Organisationen um Produkte drehen sollten.
• Business Resilience. Resilienz als Antizipation und Zukunftshandlungsfähigkeit.
• Silo Effekte. Warum getrennte Zuständigkeiten Cashflow und Rendite kosten.
• Skalierbarkeit und Produktdefinition. Wann ein Produkt ein Produkt ist.
• Regulatorik und Produktverantwortung. Was Produktteams frühzeitig antizipieren müssen.
• Individualprogrammierung. Warum der Prozess das Produkt ist.

Gast

Matthias Lachmann. Spezialist für Produktmanagement, Operating Model und Business Resilience, Beirat im Global Cyber Circle.

Gastgeber

Fabian Flock. Global Cyber Circle.

In diesem Gespräch teilt Stefan Bayer seine 25-jährige Erfahrung in der IT- und Cybersecurity-Branche, von den Anfängen in den 1990er Jahren bis zu aktuellen Herausforderungen und Trends. Das Interview bietet wertvolle Einblicke in die Entwicklung der Branche, die Bedeutung von Asset Management, Standardisierung und die Herausforderungen bei der Tool-Vielfalt. In diesem Gespräch tauchen wir tief in Stefans Werdegang, seine Erfahrungen mit Remote-Arbeit, Training und seinem Leben auf Zypern ein. Er teilt wertvolle Einblicke in Infrastruktur, Unternehmertum und die Vorteile des Lebens im Ausland.

Chapters

00:00 Einführung in die Cyber Security

03:01 Stefans Werdegang in der IT

05:40 Die Entwicklung der IT-Messen und Tools

08:44 Herausforderungen im Software-Management

11:33 Die Bedeutung von Asset Management

14:22 Schwachstellenmanagement und Sicherheitsstrategien

23:58 Der Weg zur Selbstständigkeit in der IT-Sicherheit

33:52 Wissenstransfer und Training in der IT-Branche

39:48 Die Vor- und Nachteile von Präsenz- und Online-Trainings

42:08 Authentizität im Training

44:33 Remote Arbeiten und internationale Zusammenarbeit

52:34 Unternehmertum in Zypern

55:22 Lebensqualität und Arbeitsweise in Zypern

Keywords

Cybersecurity, IT-Sicherheit, Asset Management, Standardisierung, Tools, Cybersecurity-Trends, IT-Werdegang, Sicherheitsstrategien Remote-Arbeit, Training, Zypern, Unternehmertum, Infrastruktur, IT, Beratung, Work-Life-Balance, Digitalisierung, Internationalität

 k

Key  Topics

Werdegang von Stefan Bayer in der IT-Branche

Entwicklung der Cybersecurity-Tools und -Märkte

Bedeutung von Asset Management und Standardisierung

Herausforderungen bei Tool-Vielfalt und Integration

Praxisnahe Tipps für mittelständische Unternehmen Stefans Werdegang in der IT und Beratung

Vorteile und Herausforderungen des Remote-Arbeitens

Leben und Arbeiten auf Zypern als Unternehmer

Bedeutung von Infrastruktur und Netzwerken in der IT

Training, Wissenstransfer und Weiterbildung

In diesem Gespräch teilt Timo seine Erfahrungen in der Cyber Security und seinen Werdegang zur Selbstständigkeit. Er spricht über die Herausforderungen und Chancen, die mit der Implementierung von Sicherheitslösungen verbunden sind, insbesondere im Kontext von Microsoft Security. Timo betont die Bedeutung von Mentoren und persönlicher Entwicklung sowie die Herausforderungen, die Selbstständige im Marketing und Sales bewältigen müssen. Abschließend gibt er wertvolle Ratschläge für angehende Unternehmer.

Chapters

00:00 Einführung in die Cyber Security und Unternehmenssicherheit

01:06 Timos Werdegang in der Cyber Security

03:46 Der Wechsel zu Microsoft 365 und Enterprise Mobility

05:54 Aufbau eines Security Operations Centers

08:32 Herausforderungen bei der Implementierung von Microsoft-Lösungen

10:35 Lessons Learned aus Sicherheitsvorfällen

13:34 Die Bedeutung von Sichtbarkeit in der Cyber Security

14:50 Der Weg in die Selbstständigkeit

19:08 Reaktionen des Umfelds auf die Selbstständigkeit

21:39 Motivation hinter der Selbstständigkeit

22:34 Wertschätzung der eigenen Arbeit

23:55 Freiheiten der Selbstständigkeit

26:01 Selbstreflexion und persönliche Entwicklung

28:55 Die Herausforderungen der Selbstständigkeit

32:49 Marketing und Sales für Selbstständige

37:45 Tipps für angehende Selbstständige