Der Chief Enabling Officer: Die Stelle, die niemand ausgeschrieben hat — und die trotzdem alles entscheidet

Es gibt eine Stelle in jedem mittelständischen Unternehmen, die niemand ausgeschrieben hat, weil niemand weiß, dass sie fehlt. Keine Leerstelle im Organigramm, kein offener Headcount. Eher eine strukturelle Blindstelle: der Punkt, an dem Strategie auf Umsetzung trifft — und beide aneinander vorbeigehen.

Sie kennen das Symptom. Projekte, die im Lenkungsausschuss beschlossen werden und auf der Ebene darunter versanden. IT-Investitionen, die technisch funktionieren und organisatorisch nichts verändern. Governance-Dokumente, die niemand liest, weil niemand erklärt hat, warum sie existieren. Eine Sicherheitsrichtlinie, die als PDF im Intranet liegt und deren letzte Änderung drei Jahre zurückliegt. Ein Automatisierungsprojekt, das nach acht Monaten Pilotbetrieb still eingeschlafen ist, weil der Sponsor die Abteilung gewechselt hat. Und irgendwo dazwischen: ein Geschäftsführer, der sich fragt, warum er für Steuerung bezahlt, die nicht steuert.

Die übliche Antwort lautet: mehr Projektmanagement, bessere Kommunikation, ein neues Framework. Schicken Sie den IT-Leiter auf ein Seminar. Holen Sie einen Berater, der eine Roadmap baut. Führen Sie ein Ticketsystem ein, das niemand konsequent befüllt. Meine Antwort ist eine andere. Was fehlt, ist keine Methode. Was fehlt, ist eine Funktion.

Warum das ein Mittelstandsproblem ist

Im Konzern gibt es für jede dieser Lücken eine Stabsstelle. Chief Information Security Officer, Chief Digital Officer, Head of PMO, Head of Enterprise Architecture — das sind eigene Rollen, eigene Budgets, eigene Berichtswege. Das Koordinationsproblem zwischen diesen Rollen ist real und bekannt, aber zumindest sind die Rollen besetzt. Im Mittelstand ist das anders.

Das ist keine Frage der Kompetenz. Es ist eine Frage der Struktur. Im Mittelstand ist der IT-Leiter entweder in alles eingebunden — und damit operativ so ausgelastet, dass strategisches Denken zur Residualgröße wird — oder er sitzt strukturell außen vor und wird gerufen, wenn die Entscheidung bereits gefallen ist. Beides produziert dasselbe Ergebnis: keine Gestaltung, nur Reaktion. Kein Mandat, nur Ausführung.

Der Mittelstand skaliert Produkte, Märkte und Umsatz — aber er skaliert nicht die Führungsfunktionen, die diese Skalierung ermöglichen.

Das ist die eigentliche Ursache hinter den Symptomen, die ich oben beschrieben habe. Nicht schlechte Führung. Strukturell unterdimensionierte Führung.

Als wir das PSKO-Modell entwickelten — eine produktorientierte, skalierbare Kernprozessorganisation für ein mittelständisches Handelsunternehmen — stießen wir auf genau dieses Problem, und zwar nicht als theoretische Überlegung, sondern als praktische Blockade. Die Prozesse waren definiert, die Verantwortlichkeiten klar, die Werkzeuge vorhanden. Und trotzdem blieb eine Frage offen, die sich mit keinem Methodenbaustein schließen ließ: Wer sorgt dafür, dass das alles zusammenhält?

Nicht im Sinne von Projektkoordination. Sondern im Sinne von Führung. Wer verbindet Sicherheit mit Wertschöpfung, operative Steuerung mit strategischer Richtung?

Wer stellt sicher, dass eine Automatisierungsentscheidung nicht das Sicherheitskonzept untergräbt — und dass ein Sicherheitskonzept nicht jede Automatisierung verhindert?

Die Funktion, die wir beschreiben mussten, nenne ich Chief Enabling Officer. Ich kürze den Titel bewusst nicht ab, weil er es nicht verdient, im nächsten Akronym-Friedhof zu verschwinden. Es geht nicht um Titel.

Es geht um drei Mandate, die zusammengehören und die fast überall getrennt gehalten werden — mit strukturell vorhersehbaren Folgen.

Das erste Mandat: Sicherheit als Designprinzip

Security by Design beginnt nicht nach dem Projekt, sondern vor der ersten Architekturentscheidung. Das klingt selbstverständlich. Es ist es nicht.

In der Praxis sieht es so aus: Ein Fachbereich entscheidet sich für eine Cloud-Lösung, weil sie günstig ist und schnell eingeführt werden kann. Die IT wird informiert, wenn der Vertrag unterschrieben ist. Der CISO — sofern vorhanden — bekommt das System zur Absicherung vorgelegt, wenn es bereits produktiv ist. Was dann folgt, ist Security by Retrofitting: teuer, unvollständig, und strukturell immer einen Schritt hinter der Realität.

Der klassische CISO sitzt zu oft zu spät am Tisch — nach dem Bau, zum Absichern. Das ist keine Kritik an der Person, sondern an der Position. Wer als Kontrollinstanz am Ende des Prozesses sitzt, kann nur noch korrigieren, nicht gestalten. Wer als Sicherheitsverantwortlicher als Bremser wahrgenommen wird, hat bereits verloren — nicht weil er bremst, sondern weil seine Funktion strukturell als Gegengewicht zur Agilität konstruiert wurde, anstatt als deren Voraussetzung.

Security by Design denkt das anders. Nicht: Wie schützen wir, was wir gebaut haben? Sondern: Wie bauen wir so, dass Schutz entsteht? Das ist ein Architekturprinzip, aber vor allem ein Führungsprinzip. Wer entscheidet, wie ein Prozess aufgebaut wird, entscheidet auch über seine Angriffsfläche. Wer ein System einführt, ohne Governance mitzudenken, kauft sich Risiko auf Raten — und zahlt die Rechnung spätestens beim nächsten Audit oder beim ersten ernsthaften Vorfall.

Der Chief Enabling Officer sitzt vor dieser Entscheidung am Tisch. Nicht als Verhinderer. Als Mitgestalter. Das ist kein technischer Grundsatz. Das ist Führungshaltung.

Das zweite Mandat: Wertschöpfung als Maßstab

IT-Führung, die sich auf Betrieb und Verfügbarkeit reduzieren lässt, optimiert Betrieb und Verfügbarkeit. Das ist korrekt und folgenlos. Die Systeme laufen, die Tickets werden abgearbeitet, die SLAs werden eingehalten — und das Unternehmen gewinnt dadurch keinen einzigen Wettbewerbsvorteil.

Das liegt nicht an mangelndem Willen. Es liegt daran, dass eine Funktion das liefert, wofür sie gemessen wird. Wenn der IT-Leiter am Jahresgespräch erklärt, warum die Verfügbarkeit bei 99,7 Prozent lag und das Ticket-Backlog abgebaut wurde, dann ist das die Sprache seiner Rolle. Niemand hat ihn gefragt, wie viel Marge durch manuelle Prozesse verloren geht. Niemand erwartet von ihm, dass er eine Antwort auf diese Frage hat.

Ein Wertstrom-Enabler denkt in der Logik des Geschäfts, nicht der Technik.

Er fragt: Wo verlieren wir im Ablauf Zeit, Qualität, Marge — und was kann Technologie dort konkret leisten? Er verbindet KI-Prozessautomation nicht mit Hype, sondern mit konkreten Abläufen. Er weiß, dass Automatisierung nicht interessant ist, weil sie ein elegantes Konzept ist, sondern weil sie Stunden eliminiert, die kein Mensch mehr haben will, und weil sie Entscheidungsqualität erhöht, die kein Mensch aus dem Bauch verlässlich liefert.

Das bedeutet konkret: Er kennt die Wertströme des Unternehmens. Er weiß, wo ein Medienbruch liegt, der täglich zwanzig Minuten Handarbeit kostet. Er weiß, welche Auswertung jede Woche manuell in Excel zusammengebaut wird, weil niemand je eine Schnittstelle gebaut hat. Und er hat den Auftrag — und das Mandat — diese Lücken zu schließen, nicht zu verwalten.

KI-Prozessautomation ist nicht interessant, weil sie ein elegantes Konzept ist. Sie ist interessant, weil sie das Unternehmen schneller macht als den Wettbewerb. Diese Haltung entsteht nicht von allein. Sie muss geführt werden — von jemandem, der beide Welten kennt und in beiden ernst genommen wird.

Das dritte Mandat: Steuerung mit echtem Mandat

Projektportfolio, strategische Priorisierung, PMO — das sind Instrumente. Was dahintersteht, ist die Fähigkeit, Komplexität sichtbar zu machen, ohne sie zu verwalten. Und die Bereitschaft, aus dieser Sichtbarkeit Konsequenzen zu ziehen.

Mittelstandsunternehmen haben selten zu wenig Projekte. Sie haben zu viele — und zu wenig Klarheit darüber, welche davon ihre Strategie tragen und welche sie ausbremsen, weil sie Ressourcen binden, ohne Richtung zu geben. Ein typisches Portfolio im Mittelstand enthält Projekte, die vor drei Jahren gestartet wurden und seitdem im Status „in Bearbeitung" eingefroren sind. Projekte, die zwei verschiedene Fachbereiche parallel beauftragen, ohne voneinander zu wissen. Und Projekte, deren ursprünglicher Sponsor längst in einer anderen Rolle sitzt, während das Team weiterarbeitet, weil niemand die Entscheidung trifft, aufzuhören.

Das ist kein Versagen des Projektmanagements. Das ist das Ergebnis fehlender Steuerungshaltung an der Spitze.

Echte strategische Steuerung bedeutet nicht, ein schönes Dashboard zu bauen. Es bedeutet, Nein zu sagen.

Nein zu Vorhaben, die politisch gewollt, aber strategisch falsch sind. Nein zu Projekten, die Ressourcen binden, ohne Richtung zu geben. Nein zu Investitionen, deren Nutzenversprechen niemand je zu Ende gedacht hat.

Das kann kein Projektmanager, der auf Wohlwollen angewiesen ist. Das kann nur jemand, der mit echtem Mandat am Tisch sitzt, der die Strategie kennt, weil er an ihr mitgearbeitet hat, und der bereit ist, dieses Mandat auch gegen interne Widerstände einzusetzen. Steuerung ohne diese Bereitschaft ist Berichterstattung. Aufwendig, regelmäßig, folgenlos.

Die Verbindung, die niemand hält

Diese drei Mandate sind nicht neu. Sicherheit, Wertschöpfung, Steuerung — das sind keine Erfindungen. Was neu ist: die Einsicht, dass sie zusammengehören, und dass ein Unternehmen, das sie auf drei verschiedene Stellen verteilt oder auf eine Stelle stapelt, ohne ihr das Mandat für alle drei zu geben, strukturell verliert.

Nicht weil die Einzelfunktionen schlecht besetzt sind. Sondern weil die Verbindung zwischen ihnen niemandes Aufgabe ist. Niemand hält die Spannung zwischen Sicherheit und Geschwindigkeit, weil das immer auf Kosten einer der beiden Seiten geht und niemand bereit ist, den Konflikt zu tragen. Niemand übersetzt Strategie in Portfolio und Portfolio in operative Konsequenz, weil das unbequeme Priorisierungen bedeutet. Niemand sorgt dafür, dass eine Automatisierungsentscheidung die Sicherheitsarchitektur nicht untergräbt und gleichzeitig die Steuerungsziele des Unternehmens voranbringt.

In dieser Lücke entstehen die Symptome, die ich am Anfang beschrieben habe. Nicht durch Fehler. Durch Struktur.

Der Chief Enabling Officer ist derjenige, der diese Lücke schließt — nicht durch Methoden, sondern durch Mandat, Haltung und die Fähigkeit, alle drei Felder gleichzeitig zu sehen.

Kein Generalist im Sinne von oberflächlich breit — sondern jemand, der die Tiefe der einzelnen Mandate kennt und trotzdem die Vogelperspektive hält. Im Mittelstand ist das keine Luxusrolle. Es ist die fehlende.

Ob Sie sie brauchen, werden Sie spätestens dann wissen, wenn das nächste Projekt im Sand verläuft und Sie zum dritten Mal dieselbe Frage stellen: Warum hat das wieder niemand zusammengehalten?

Die Antwort kennen Sie jetzt.

Über den Autor

Gerd Kopp ist Wirtschaftsinformatiker mit 14 Jahren Erfahrung als CIO und Head of Corporate Operations in einem großen Finanzinstitut im DACH-Raum. Seit 2020 ist er als Interim Manager und Berater selbständig — unter gerds-it.de arbeitet er mit mittelständischen Unternehmen an den Schnittstellen, die in Organigrammen selten auftauchen: IT-Governance und ISMS nach ISO 27001 und BSI IT-Grundschutz, KI-Prozessautomation auf Basis von n8n, und Connected Spaces — die operative Vernetzung von Gebäuden, Prozessen und Systemen.

Er hat über 100 Zertifizierungen, ein laufendes Innovation Lab für GenAI, IoT und Workflow-Automatisierung — und die Überzeugung, dass Governance kein Bremspedal ist, sondern der einzige Weg, Geschwindigkeit nachhaltig zu sichern. Das PSKO-Modell, das in diesem Artikel als Ausgangspunkt dient, ist aus einer konkreten Kundensituation entstanden: nicht am Whiteboard, sondern im laufenden Betrieb.

Er schreibt regelmäßig auf gerds-blog.de — für Geschäftsführer, die Klartext gegenüber Consulting-Prosa vorziehen.