Hallo Nicola. Wer bist du?

Ich bin seit rund 20 Jahren in der IT und Informationssicherheit tätig. Einen grossen Teil dieser Zeit verbrachte ich in der IT-Dienstleistungsbranche, wo ich durch verschiedene Beratungsmandate zahlreiche Unternehmen und Branchen kennenlernen durfte. 

Während meiner Zeit als Mitinhaber einer IT-Beratungsfirma konnte ich enorm viel dazulernen. Wir wuchsen innerhalb kurzer Zeit von vier auf fast zwanzig Mitarbeitende - eine spannende Phase mit vielen Höhen und Tiefen. In dieser Zeit konnte ich meinen Rucksack in den Bereichen Leadership und Unternehmertum stark erweitern. Parallel absolvierte ich ein Studium in Wirtschaftsinformatik, um die Brücke zwischen Business und Technologie zu schliessen. Später folgte ein Weiterbildungs-Master in Information System Management, den ich 2022 vor meinem Wechsel zur Schweizerischen Post abschloss. Im Post-Konzern war ich knapp drei Jahre für die Informationssicherheit der Post Digital Services AG verantwortlich.

Neben meiner beruflichen Tätigkeit engagiere ich mich als Offizier und Einsatzleiter bei der Feuerwehr der Stadt Olten. In der Hektik schnell zu entscheiden und im Team Verantwortung zu übernehmen sind Fähigkeiten, die mir auch in meinem Job in der Informationssicherheit zugutekommen. Gleichzeitig bietet es mir einen wertvollen Ausgleich zum Büroalltag. Den sportlichen Ausgleich finde ich beim Fussball, Tennis oder auch mal beim Padel.

Und nun hast du diesen August bei bratschi als CISO gestartet.

Erklär uns doch mal: Was macht ein CISO?

Als CISO sehe ich meine Hauptaufgabe darin, die Informationssicherheit in einen geschäftlichen Mehrwert zu übersetzen. Dabei geht es darum eine Informationssicherheitsstrategie zu entwickeln und zu überwachen, Risiken sichtbar zu machen, diese richtig zu bewerten und so zu steuern, dass das Vertrauen unserer Mandanten langfristig gesichert bleibt.

Was unterscheidet deine Rolle von der IT?

Während die IT für den operativen Betrieb und die Umsetzung technischer Massnahmen verantwortlich ist, sorge ich für den übergeordneten Rahmen: Strategie, Richtlinien, Risikobewertungen, die Integration der Sicherheit in die Unternehmensziele sowie eine etablierte Sicherheitskultur. Diese klare Aufgabentrennung ist entscheidend, weil sie eine unabhängige Sichtweise sicherstellt und Informationssicherheit als unternehmerisches, nicht nur als technisches Thema verankert.

Oft wird die CISO-Rolle als IT-Funktion gesehen. Was ist daran?

Das ist leider ein weit verbreitetes Missverständnis. Informationssicherheit umfasst weit mehr als IT-Security, sie betrifft die gesamte Organisation und ist ein Zusammenspiel von Menschen, Prozessen und Technik.

Natürlich arbeite ich eng mit der IT zusammen, sie setzt die technischen Schutzmassnahmen wie Firewalls, Systemhärtung oder Überwachung um. Aber ich bin bewusst nicht Teil des operativen IT-Betriebs und habe keine administrativen Zugriffe. Diese Unabhängigkeit ist wichtig, um die notwendige Aufgabentrennung zu gewährleisten und Risiken ganzheitlich betrachten zu können.

Warum macht es Sinn, dass eine Kanzlei wie Bratschi einen CISO anstellt?

Mandanten vertrauen uns ihre sensibelsten Informationen an. Dieses Vertrauen ist die Basis unseres Erfolgs. Mit einem CISO stellen wir sicher, dass wir Risiken proaktiv steuern, regulatorische Anforderungen erfüllen und gleichzeitig unsere Wettbewerbsfähigkeit und Kundenbeziehungen durch gelebte Sicherheit stärken.

Auch in der Vergangenheit haben wir mit vertraulichen Daten gearbeitet. Warum ist Informationssicherheit gerade heute so entscheidend?

Die Bedrohungslage hat sich in den letzten Jahren fundamental verändert. Cyberangriffe sind heute professionell, gezielt und oft gut organisiert. Gleichzeitig steigt die Abhängigkeit von digitalen Prozessen. Was früher in physischen Aktenordnern verschickt wurde, läuft heute fast ausschliesslich digital. Damit sind nicht nur Vertraulichkeit und Integrität unserer Daten im Fokus, sondern auch die Geschäftskontinuität. Die Informationssicherheit ist deshalb ein zentrales Element unserer unternehmerischen Verantwortung.

Du hast als erster CISO der Bratschi gestartet. Wie setzt du Prioritäten? Wo fängst du an?

Zum Start war mir wichtig, einen Überblick über den Reifegrad der Informationssicherheit zu erhalten, das Geschäft zu verstehen und den direkten Austausch mit unseren Mitarbeitenden zu suchen. Informationssicherheit ist für mich kein Selbstzweck, sie muss unsere Dienstleistungen spürbar unterstützen. Deshalb habe ich eine Strategie und Roadmap erarbeitet, die Prioritäten nach Wirkung und Umsetzbarkeit setzt, von Quick Wins, die einfach und schnell umgesetzt werden können, bis hin zu langfristigen Initiativen mit strategischem Wert. Besonders wichtig ist dabei die enge Zusammenarbeit mit dem Business und der IT, sowie die Prioritäten laufend den neuen Risiken und Anforderungen anzupassen.

Welche Rolle spielt Security bei neuen Projekten und Innovationen?

Sicherheit soll Innovation nicht bremsen, sondern ermöglichen. Deshalb ist es wichtig, dass Informationssicherheit bereits in der Initialisierungs- und Konzeptphase berücksichtigt wird. Nur so kann sichergestellt werden, dass neue Dienstleistungen und Lösungen von Beginn an auf einem soliden Fundament stehen und regulatorische Anforderungen erfüllen, ohne den Innovationsprozess zu blockieren.

Welche neuen Technologien sehen Sie als Chance oder Risiko für die Unternehmenssicherheit? Wie gehst du damit um?

Künstliche Intelligenz ist aktuell eines der prägendsten Themen. Sie bietet auch in der Informationssicherheit enorme Chancen, etwa bei der Automatisierung von Analysen oder bei der Erkennung von Angriffsmustern. Gleichzeitig führt die Technologie dazu, dass Angriffsvektoren wie Phishing komplexer und raffinierter werden. Mein Ansatz ist dabei, Chancen zu nutzen und Risiken bewusst in der Entscheidungsfindung zu berücksichtigen.

Welche Investitionen in Security hältst du für unvermeidbar in den nächsten 3-5 Jahren? Welche Herausforderungen ergeben sich dabei?

Ein zentraler Aspekt ist die Stärkung der Cyber-Resilienz. Die Frage lautet nicht, ob ein Angriff erfolgt, sondern wann. Im technologischen Bereich sind Investitionen in Cloud-Security, Zero Trust und Quantum-safe Kryptographie unvermeidbar. Genauso entscheidend ist der Aufbau einer nachhaltigen Sicherheitskultur. Das bedeutet, Mitarbeitende einzubeziehen und sie zu aktiven Mitgestaltern zu machen. Nur wenn alle gemeinsam Verantwortung übernehmen, haben wir nachhaltigen Erfolg.

Die grössten Herausforderungen sehe ich bei der zunehmenden Komplexität der Bedrohungslage sowie in der Balance zwischen Risikobereitschaft, Sicherheit, Kosten und Benutzerfreundlichkeit.

Zu guter Letzt, was begeistert dich in deiner Rolle als CISO?

An der CISO-Rolle begeistert mich die Vielseitigkeit: Jeden Tag neue Themen zu beobachten, zu lernen und pragmatisch ins Business einzubringen. Besonders die Kommunikation und der Austausch mit Menschen, das Verstehen von Geschäftsanforderungen und das Verbinden von Security mit Benutzerfreundlichkeit, um echten Mehrwert zu schaffen.

Lieber Nicola, schön, dich im Team zu haben.