ErweiterungFür IT-Sicherheit zählt technische und Managementkompetenz

Die Funktion des IT-Sicherheitsbeauftragten wird in naher Zukunft weiter an strategischer Bedeutung gewinnen. Dafür maßgeblich sind nicht alleine veränderte IT-Bedrohungen, sondern gleichermaßen die Verschärfung der regulatorischen und gesetzgeberischen Rahmenbedingungen. Dies hat Konsequenzen für die Rollengestaltung und Qualifikation der IT-Sicherheitsbeauftragten: Mit technischem Wissen allein können die Fragestellungen der Informations- und IT-Sicherheit nicht mehr vollständig beantwortet werden.

Gastbeitrag von Dr. Peter Berlich, Zürich *

In den letzten Jahren wurden die gesetzlichen und regulatorischen Kontrollanforderungen an die unternehmensinternen EDV-Dienstleistungen in den USA (HIPAA, Sarbanes-Oxley Act, Graham-Leach-Bliley Act), aber auch in Europa (Basel II), erheblich verschärft. Die unter dem Begriff „Corporate Governance“ geführte Diskussion hat damit einen verbindlichen Rechtsrahmen erhalten, der für viele Unternehmen die Notwendigkeit mit sich bringt, die Sicherheit und Zuverlässigkeit rechnergestützter Prozesse neu zu bewerten.

Die Anforderung einer verbesserten Kontrolle der operativen Risiken, entspringt politischen Forderungen auf so verschiedenen Gebieten, wie Datenschutz und Aktionärsschutz. Gesetzliche Regelungen, die die IT-Sicherheit direkt regulieren, sind allerdings bislang die Ausnahme.

Gleichzeitig führt sowohl die unternehmensübergreifende Prozessintegration als auch die Weitergabe von Sicherheitsanforderungen entlang der Wertschöpfungskette dazu, dass ganze Industriezweige sicherheitstechnisch verkettet werden. Die genannten Bestimmungen werden damit für Unternehmen aller Größenordnungen und Rechtsformen bedeutsam. Darüber hinaus tritt in den Unternehmen mehr und mehr eine geschäftsorientierte Risikoabwägung im Sinne einer Investitions- und Wirksamkeitsoptimierung an die Stelle der bisherigen bedrohungsorientierten Risikovermeidung.

Unternehmen werden sich deshalb in Zukunft darauf einstellen müssen, dass Ausmaß und Beherrschungsgrad ihrer operativen Risiken direkte finanzielle Auswirkungen haben, was sich beispielsweise auf Finanzierungskonditionen, Investitionen und Rückstellungsbedarf niederschlagen kann.

Neue Anforderungen an Sicherheitsmanager und -experten

In diesem veränderten Umfeld bekommt die Funktion des Sicherheitsbeauftragten einen neuen Stellenwert: Aus dem Sicherheitsexperten, von dem erwartet wurde – nicht selten auf sich allein gestellt – eine Fülle komplexer technischer Einzelmaßnahmen einzuführen, durchzusetzen und zu überwachen, wird der Sicherheitsmanager, der sich vorrangig am geschäftlichen Bedarf anstatt rein an der technischen Machbarkeit orientiert.

Im gleichen Zuge ändert sich die Rolle des Sicherheitsspezialisten zu einer hoch entwickelten und qualifizierten Expertenfunktion, von der reproduzierbare Ergebnisse erwartet werden.

Mit technischem Wissen allein können folglich die mit Informations- und IT-Sicherheit verbundenen Fragestellungen nicht mehr vollständig beantwortet werden.

  • Wer in der IT- und Informationssicherheit erfolgreich sein will, braucht ein tiefgehendes Verständnis der Geschäftsprozesse und der Kultur des Unternehmens. Dazu gehören Kenntnisse der wirtschaftlichen und gesetzlichen Rahmenbedingungen des jeweiligen Industriezweigs und der bedienten Märkte genauso wie allgemeines Managementwissen.
  • In den Bereich des Sicherheitsmanagers, aber zunehmend auch des Sicherheitsexperten, fällt die Zuständigkeit für die Kontrolle der Unternehmenssicherheit als ganzes, der Sicherheitsarchitektur, des Systemzugangs, und des Business Continuity Planning.
  • Der Markt verlangt nach verifizierbaren Sicherheitsmassnahmen und der Einführung etablierter Standards. Der Umgang mit diesen Standards, wie z. B. ISO/IEC 17799, BS7799-2, ISF Standard of Good Practice, BSI Grundschutzhandbuch, um nur die gängigsten zu nennen, gehört zum ständigen Handwerkszeug des Sicherheitsmanagers und der internen Revision.
  • Die in Breite und Tiefe gewachsenen Anforderungen verlangen vom Einzelnen die Bereitschaft und Fähigkeit zu ständiger Fortbildung, aber auch zur Entwicklung seiner eigenen Persönlichkeit. Nicht zuletzt verlangen alle Sicherheitspositionen gleichermassen ethische Integrität, Rückgrat, und die persönliche Fähigkeit, Menschen in Organisationen Orientierung zu geben.

Geeignete formale Qualifikationen und geprüfte Lerninhalte werden deshalb künftig eine immer wichtigere Rolle spielen. Während Universitäten und Fachhochschulen zunehmend diesen Markt bedienen werden, behalten außeruniversitäre und betriebliche Fortbildungen ihren Platz in der Qualifikation der IT-Sicherheitsbeauftragten. Insbesondere bieten neutrale (z. B. ISO/IEC 17024-überprüfte) Zertifizierung der Mitarbeiter im Sicherheitsbereich den Unternehmen die Chance, Fachkenntnisse der Mitarbeiter sowie die Methoden-, Prozess- und Handlungskompetenzen einstufen zu können.

Letztlich kommt dies nicht nur der Qualität der eingeführten Sicherheitsmassnahmen zugute, sondern könnte bald als Ausweis der Erfüllung unternehmerischer Sorgfaltspflichten verlangt sein. Damit schließt sich der Kreis zu den eingangs beschriebenen, gesetzlichen Anforderungen.

Gute Gründe für einen Fähigkeitsnachweis

Das Marktforschungsunternehmen IDC hat 2004 im Auftrag des International Information Systems Security Certification Consortium, (ISC)2, erstmalig den Arbeitsmarkt der IT-Sicherheitsexperten untersucht und analysiert, welche Ausbildungsanforderungen und -wünsche den Markt bestimmen.

Bereits ein Drittel der befragten Unternehmen sehen eine Berufszertifizierung als wichtiges Einstellungs- und Aufstiegskriterium an. Etwa 15 Prozent fordern gar von ihren Mitarbeitern im Sicherheitsbereich einen Fähigkeitsnachweis als Tätigkeits- und Einstellungsvoraussetzung.

Von der Ablegung einer Fachprüfung mit international anerkanntem Zertifikat versprachen sich die befragten Mitarbeiter folgende Vorteile:

  • Höhere Arbeitsmarktchancen und potenziell größerer Verantwortungsbereich
  • Abbau vorhandener Wissenslücken und Bestätigung der Aktualität des Wissens
  • Glaubwürdigkeit in Sicherheitsfragen und Vertrauen des Arbeitgebers in die eigene Person

Dies stimmt mit den aus Unternehmenssicht hervorgehobenen Vorteilen weitgehend überein:

  • Anwendung etablierter Vorgehensweisen, höhere Glaubwürdigkeit gegenüber Kunden
  • Zugang zu einem weltweiten Netzwerk von Sicherheitsspezialisten
  • Aufrechterhaltung und Verbesserung der erreichten Fähigkeiten durch kontinuierliche Weiterbildung

International haben sich neutrale Ausweise wie der Certified Information Systems Security Professional (CISSP) der (ISC)2 und der Certified Information Systems Auditor (CISA) von ISACA etabliert. In Deutschland begann im vergangenen Jahr die Ausbildung zum Teletrust Information Security Professional (TISP). Daneben existiert eine grosse Bandbreite hersteller- und anbieterspezifischer Qualifikationsnachweise unterschiedlicher Bedeutung und Zielgruppen.

Die gestiegenen qualitativen Anforderungen erhöhen damit einerseits die Schranken für den Einstieg in den Arbeitsmarkt der IT-Sicherheit. Andererseits wird bis 2008 ein jährliches Wachstum des Berufstands um über 11 Prozent erwartet. Diese Steigerung von heute weltweit 1,3 Millionen auf dann 2,2 Millionen bedeutet gleichzeitig enorme Karrierechancen für qualifizierte Sicherheitsmanager und -experten.

Dr. Peter Berlich, CISSP-ISSMP, ist Security Delivery Project Executive für On Demand Data Center Services, EMEA, bei IBM Schweiz und Mitglied des European Advisory Boards von (ISC)2.

Dazu im Management-Handbuch

Ähnliche Artikel

Gesundheitstipps