Interim CISO und strategischer Security- und Compliance-Berater
Regulierte Organisationen und Betreiber kritischer Infrastrukturen müssen Sicherheit und Compliance heute belegen können. Als strategischer Berater der Geschäftsführung sorge ich dafür, dass die Anforderungen aus Cybersicherheit, NIS2, ISO 27001, dem ISMS und der KI-Governance nicht im Konzept stecken bleiben, sondern im Betrieb ankommen.
01 Leistungen
Ausgangspunkt unserer Zusammenarbeit ist die Strategie, die wiederum an ihrer Umsetzung gemessen wird. Meine Beratung setzt auf Ebene der Geschäftsführung an, und es bleibt nicht beim Konzept: Vereinbarte Maßnahmen begleite ich bis zur nachvollziehbaren und termingerechten Umsetzung.
Als CISO auf Zeit erarbeite ich mit Ihnen die Sicherheitsstrategie, eine belastbare Roadmap und ein Informationssicherheits-Managementsystem im Einklang mit ISO 27001 und NIS2. Die Sicherheitsorganisation führe ich auf Leitungsebene und berichte direkt an die Geschäftsführung. Die Verantwortung dafür übernehme ich vom ersten Tag an.
Nicht jede Organisation braucht ein Vollmandat. Als virtueller CISO oder im Beirat stehe ich der Geschäftsführung mit ein bis zwei Tagen im Monat als fester Sparringspartner zur Seite: für die Security-Roadmap, die Begleitung von Audits und Zertifizierungen sowie als Ansprechpartner bei anstehenden Richtungsentscheidungen. Das hält Ihren Aufwand überschaubar und sichert zugleich eine kontinuierliche Begleitung auf Leitungsebene.
Zuerst klären wir, ob und in welchem Umfang Ihr Unternehmen betroffen ist. Anschließend priorisiere ich mit Ihnen die erforderlichen Maßnahmen und unterstütze die Geschäftsführung dabei, ihrer Verantwortung gerecht zu werden. Die operative Umsetzung lässt sich delegieren, die Haftung der Leitung dagegen nicht.
Beim Einsatz künstlicher Intelligenz braucht es klare Verantwortlichkeiten und Regeln. Dazu erarbeiten wir gemeinsam eine KI-Governance mit Rollen und Richtlinien, ein Verzeichnis der eingesetzten Systeme samt Risikoeinstufung und ein Schulungskonzept. So bleibt der Einsatz nachvollziehbar und erfüllt zugleich die Pflichten des EU AI Act, dessen Vorgaben für Hochrisiko-Systeme ab August 2026 gelten.
Über die reine Compliance hinaus zählt der tatsächliche Schutz im Betrieb. Gemeinsam bewerten wir die Bedrohungslage und die Risiken, priorisieren die nötigen technischen und organisatorischen Schutzmaßnahmen und steuern ihre Umsetzung. Auch die Vorsorge für den Ernstfall gehört dazu, damit Ihre Organisation einem Angriff standhält und handlungsfähig bleibt.
IT-Strategie, Sanierung und Modernisierung der IT kommen aus einer Hand. Dabei greife ich auf Erfahrung aus KRITIS-relevanten Unternehmen zurück. Das eignet sich besonders für Phasen, in denen die IT eine erfahrene Führung braucht.
02 Hintergrund
Mehrere Regelwerke greifen derzeit ineinander: NIS2 gilt bereits, der EU AI Act folgt im Sommer 2026, und je nach Branche kommen weitere Vorgaben hinzu. Für viele Unternehmen entsteht damit erstmals konkreter Handlungsbedarf, während erfahrene Fachkräfte für diese Aufgaben knapp bleiben.
Rund 29.500 Unternehmen fallen ab 50 Mitarbeitern und in 18 Sektoren erstmals unter die Pflichten der NIS2-Richtlinie.
Die Geschäftsführung muss die Sicherheitsmaßnahmen billigen und ihre Umsetzung überwachen. Diese Verantwortung lässt sich nicht auf andere übertragen.
Ab dem 2. August 2026 gelten die Pflichten des EU AI Act für Hochrisiko-Systeme. Viele Mittelständler führen bislang kein Verzeichnis ihrer KI-Anwendungen.
Etwa 60 Prozent der Sicherheitsverantwortlichen nennen den Fachkräftemangel als ihre größte Herausforderung.
Der Cyber Resilience Act nimmt Hersteller vernetzter Produkte in die Pflicht. Meldepflichten gelten ab September 2026, die vollständigen Anforderungen ab Dezember 2027.
Krankenhäuser müssen nach § 75c SGB V den Stand der Technik in der IT-Sicherheit umsetzen und nachweisen, in der Regel über den branchenspezifischen Standard B3S.
Die Übergangsfrist auf die Fassung ISO 27001:2022 endete am 31. Oktober 2025. Ältere Zertifikate sind ungültig, die aktuelle Version ist verbindlich.
Der Digital Operational Resilience Act gilt seit Januar 2025 für den Finanzsektor. Banken, Versicherer und ihre IT-Dienstleister müssen ihre digitale Widerstandsfähigkeit nachweisen.
03 Werdegang und Erfahrung
Die folgende Auswahl zeigt einige Stationen meiner Laufbahn und die erzielten Ergebnisse.
Als Leiter Digitalisierung und IT begleitete ich die Einführung von NIS2 und eines ISMS und verantwortete die Telematikinfrastruktur als Gesamtprojekt. Hinzu kamen eine neue Digitalisierungsstrategie und die Begleitung der IT-Anforderungen für einen Krankenhausneubau. Der Verbund umfasste rund 1.200 Anwender, etwa 200 Server und zwei Standorte, mit direkter Berichtslinie an die Geschäftsführung. Alle Projekte habe ich abgeschlossen und übergeben, die Tätigkeit wurde mit einer uneingeschränkten Empfehlung bewertet.
Ich begleitete KHZG-Projekte sowie Vorhaben rund um das Krankenhausinformationssystem und CAFM für Medizintechnik, Betriebstechnik und Bauplanung. Darüber hinaus beriet ich bei öffentlichen Ausschreibungsverfahren, bewertete eingehende Angebote und unterstützte die Umsetzung der Projekte.
Das Geschäft mit Cloud Services, Branchenlösungen, IT-Architektur und dem Rechenzentrumsbetrieb lag in meiner Verantwortung.
Der Cloud- und Rechenzentrumsbetrieb sowie die Restrukturierung und Portfolio-Steuerung gehörten zu diesen Mandaten.
Zu den Rollen zählten VP Managed Services für die Region D-A-CH bei Avanade, Lead Engagement Manager für Zentraleuropa bei Tata Consultancy Services und Client Solution Executive für Strategic Outsourcing bei IBM. Geführt wurden dabei internationale Teams über mehrere Länder hinweg.
Berufseinstieg 1984, mit Stationen unter anderem bei Sun Microsystems, Digital Equipment Corporation, Credit Suisse und Winter Partners AG.
04 Zertifizierungen
Die folgenden Zertifizierungen werde ich 2026 abschließen. Sie bestätigen die fachliche Grundlage meiner Arbeit und ergänzen meine praktische Erfahrung.
05 Über mich
Über 40 Jahre in der IT bedeuten Verantwortung auf jeder Ebene, vom Geschäftsführer über die Bereichs- und Vertriebsleitung bis zum C-Level, unter anderem bei IBM, Avanade und Tata Consultancy Services.
Zuletzt begleitete ich als Leiter Digitalisierung und IT eines Klinikverbunds die Einführung von NIS2 und ISMS, übernahm die Verantwortung für die Implementierung der Telematikinfrastruktur und half beim Aufbau der Digitalstrategie.
Die Kommunikation auf Ebene der Geschäftsführung und des Vorstands ist mir vertraut, ebenso die Steuerung der anschließenden Umsetzung. Wichtig ist dabei, dass Ergebnisse messbar sind und im vereinbarten Zeitrahmen vorliegen.
Dass ich Technologie nicht nur berate, sondern selbst entwickle, zeigt der PKV-Agent, eine KI-gestützte Anwendung im Umfeld der privaten Krankenversicherung aus einem eigenen Projekt, die künftig unter pkv-agent.de erreichbar ist.
Hamburg ist seit langem mein Zuhause. Mein Einsatzraum umfasst Hamburg und etwa 50 Kilometer im Umkreis sowie remote; eine Reisetätigkeit ist nach Absprache natürlich möglich.
06 Kontakt
Eine kurze Beschreibung des Anliegens genügt; eine Rückmeldung erfolgt zeitnah.
Per E-Mail: [E-Mail wird im Browser geladen]
Ein unverbindliches Erstgespräch lässt sich kurzfristig vereinbaren, auf Wunsch vorab mit einer Vertraulichkeitsvereinbarung.
Sprachen: Deutsch als Muttersprache, verhandlungssicheres Englisch und etwas Französisch.