Springe zum Hauptinhalt

2010-11: IT-Sicherheit im Unternehmen: Eine interne oder externe Angelegenheit?

Auf der Si­cher­heits­mes­se it­-­sa in Nürn­berg be­tei­lig­te ich mich an ei­ner Po­di­ums­dis­kus­si­on der (ISC)2 – dem Her­aus­ge­ber der Zer­ti­fi­ka­te CISSP und CSSL­P. Das Dis­kus­si­ons­the­ma lau­te­te: "Das rich­ti­ge Team für die IT Se­cu­ri­ty­". Die Ge­sprächs­run­de soll­te klä­ren, wer zu ei­nem ide­a­len Se­cu­ri­ty­-­Team ge­hör­t, wel­che tech­ni­schen, wel­che the­o­re­ti­schen Know­-­how­-­Trä­ger da­für nö­tig sind und wo wel­che Ver­ant­wor­tun­gen lie­gen und wie man die­ser Ver­ant­wor­tung auch nach­komm­t. Sehr schnell tauch­te die Fra­ge­stel­lung auf: Kann der Ge­schäfts­füh­rer sei­ne IT Se­cu­ri­ty gu­ten Ge­wis­sens und auf recht­lich si­che­rem Ter­rain out­sour­cen? Kann er ex­ter­nen Mit­a­r­bei­tern die Ver­ant­wor­tung für in­ter­ne Un­ter­neh­mens­be­lan­ge über­ge­ben?

Verantwortung heißt Priorität einräumen

Die Ge­schäfts­füh­rung für die Si­cher­heit zu 100 Pro­zent ver­ant­wort­lich – und da­mit auch für die Schä­den, die durch man­gel­haf­te Vor­keh­run­gen ent­ste­hen. Der ers­te Schrit­t, die­ser Ver­ant­wor­tung ge­recht zu wer­den heißt: Dem The­ma ho­he Pri­o­ri­tät ein­räu­men. Denn gleich­gül­tig, wer IT Se­cu­ri­ty in Un­ter­neh­men um- und durch­set­zen muss, er braucht die vol­le Un­ter­stüt­zung der obers­ten Ma­na­ge­men­tebe­ne, sonst geht gar nichts. Wenn der Chef nicht mit­zieht, ist es auch gleich­gül­tig, ob der CI­SO (Chief In­for­ma­ti­on Se­cu­ri­ty Of­fi­cer) fest an­ge­stellt ist oder als ex­ter­ner Ex­per­te "von drau­ßen" ein­ge­kauft wur­de. Er wird die nö­ti­gen Maß­nah­men nicht durch­set­zen kön­nen und die Mit­a­r­bei­ter wer­den nicht mit­spie­len – denn Si­cher­heits­vor­keh­run­gen emp­fin­den die meis­ten doch als läs­ti­ges Übel.

Sich selber kümmern?

Kein Vor­stand kann selbst die Ar­beit ei­nes "IT­-­Si­cher­heits­be­auf­tra­gen" oder "In­for­ma­ti­on Se­cu­ri­ty Of­fi­cer­s" über­neh­men. Da­für ist das The­ma zu kom­plex und er­for­dert zu viel Spe­zi­al­wis­sen. Auf der an­de­ren Sei­te geht es bei IT­-­Se­cu­ri­ty um sehr sen­si­ble Ma­te­rie, um In­for­ma­ti­o­nen über Schwä­chen im Un­ter­neh­men, um in­ter­ne Struk­tu­ren und Pro­zes­se – die das Ma­nage­ment auch am liebs­ten "im Haus" be­hal­ten wür­den. Ist al­so ein in­ter­ner Mit­a­r­bei­ter vor­zu­zie­hen, der aber teu­er und schwer zu fin­den ist? Oder kann man einen Ex­ter­nen und als in­ter­nen IT­-­Si­cher­heits­be­auf­tra­gen an­heu­ern?

IT Security von draußen hat Vorteile

Ich bin seit ei­ni­gen Jah­ren "Ex­ter­ner" und kann aus Er­fah­rung sa­gen: IT­-­Se­cu­ri­ty lässt sich gu­ten Ge­wis­sens aus­la­gern. Denn die Grund­vor­aus­set­zun­gen für einen IT­-­Si­cher­heits­be­auf­tra­gen – egal ob in­tern oder ex­tern – sind gleich: Er muss kom­pe­tent und ver­läss­lich ar­bei­ten, loy­al zum Un­ter­neh­men ste­hen und in des­sen In­ter­es­se han­deln. Und die Ge­schäfts­lei­tung muss ihm Ver­trau­en ent­ge­gen­brin­gen. Wich­ti­ger ist in bei­den Fäl­len, dass die Ge­schäfts­lei­tung zu ih­rer ei­ge­nen Ver­ant­wor­tung für die IT­-­Se­cu­ri­ty steht.

Ganz ne­ben­bei hat je­doch das Out­sour­cing noch ei­ni­ge Vor­tei­le ge­gen­über ei­nem fest an­ge­stell­tem Mit­a­r­bei­ter:

Ein ex­ter­ner Mit­a­r­bei­ter ist schon al­lein auf­grund sei­nes ei­ge­nen Ver­kaufs­wer­tes ge­zwun­gen, sich wis­sens­mä­ßig auf dem neus­ten Stand zu hal­ten. Was bei ei­nem dy­na­mi­schen Ge­biet wie IT­-­Se­cu­ri­ty nicht tri­vi­al ist.

Un­d: Ein Ex­ter­ner wird ein Pro­jekt leich­teren Her­zens kün­di­gen, wenn er die Lust ver­lier­t, weil et­wa die in­ter­ne Un­ter­stüt­zung fehl­t, als ein Fes­t­an­ge­stell­ter. Die­se "ver­ab­schie­den sich oft in­ner­lich", blei­ben auf dem Stuhl kle­ben und er­fül­len den Job oh­ne Ver­ant­wor­tung und Loy­a­li­tät. Und das ist für die IT­-­Si­cher­heit höchst fa­ta­l.

Portrait von Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer

Haben Sie noch Fragen?
Anruf oder Mail genügt:
  +49 871 6606-318
  +49 175 29 78 072
  h.goebel@goebel-consult.de