2010-11: IT-Sicherheit im Unternehmen: Eine interne oder externe Angelegenheit?
Auf der Sicherheitsmesse it-sa in Nürnberg beteiligte ich mich an einer Podiumsdiskussion der (ISC)2 – dem Herausgeber der Zertifikate CISSP und CSSLP. Das Diskussionsthema lautete: "Das richtige Team für die IT Security". Die Gesprächsrunde sollte klären, wer zu einem idealen Security-Team gehört, welche technischen, welche theoretischen Know-how-Träger dafür nötig sind und wo welche Verantwortungen liegen und wie man dieser Verantwortung auch nachkommt. Sehr schnell tauchte die Fragestellung auf: Kann der Geschäftsführer seine IT Security guten Gewissens und auf rechtlich sicherem Terrain outsourcen? Kann er externen Mitarbeitern die Verantwortung für interne Unternehmensbelange übergeben?
Verantwortung heißt Priorität einräumen
Die Geschäftsführung für die Sicherheit zu 100 Prozent verantwortlich – und damit auch für die Schäden, die durch mangelhafte Vorkehrungen entstehen. Der erste Schritt, dieser Verantwortung gerecht zu werden heißt: Dem Thema hohe Priorität einräumen. Denn gleichgültig, wer IT Security in Unternehmen um- und durchsetzen muss, er braucht die volle Unterstützung der obersten Managementebene, sonst geht gar nichts. Wenn der Chef nicht mitzieht, ist es auch gleichgültig, ob der CISO (Chief Information Security Officer) fest angestellt ist oder als externer Experte "von draußen" eingekauft wurde. Er wird die nötigen Maßnahmen nicht durchsetzen können und die Mitarbeiter werden nicht mitspielen – denn Sicherheitsvorkehrungen empfinden die meisten doch als lästiges Übel.
Sich selber kümmern?
Kein Vorstand kann selbst die Arbeit eines "IT-Sicherheitsbeauftragen" oder "Information Security Officers" übernehmen. Dafür ist das Thema zu komplex und erfordert zu viel Spezialwissen. Auf der anderen Seite geht es bei IT-Security um sehr sensible Materie, um Informationen über Schwächen im Unternehmen, um interne Strukturen und Prozesse – die das Management auch am liebsten "im Haus" behalten würden. Ist also ein interner Mitarbeiter vorzuziehen, der aber teuer und schwer zu finden ist? Oder kann man einen Externen und als internen IT-Sicherheitsbeauftragen anheuern?
IT Security von draußen hat Vorteile
Ich bin seit einigen Jahren "Externer" und kann aus Erfahrung sagen: IT-Security lässt sich guten Gewissens auslagern. Denn die Grundvoraussetzungen für einen IT-Sicherheitsbeauftragen – egal ob intern oder extern – sind gleich: Er muss kompetent und verlässlich arbeiten, loyal zum Unternehmen stehen und in dessen Interesse handeln. Und die Geschäftsleitung muss ihm Vertrauen entgegenbringen. Wichtiger ist in beiden Fällen, dass die Geschäftsleitung zu ihrer eigenen Verantwortung für die IT-Security steht.
Ganz nebenbei hat jedoch das Outsourcing noch einige Vorteile gegenüber einem fest angestelltem Mitarbeiter:
Ein externer Mitarbeiter ist schon allein aufgrund seines eigenen Verkaufswertes gezwungen, sich wissensmäßig auf dem neusten Stand zu halten. Was bei einem dynamischen Gebiet wie IT-Security nicht trivial ist.
Und: Ein Externer wird ein Projekt leichteren Herzens kündigen, wenn er die Lust verliert, weil etwa die interne Unterstützung fehlt, als ein Festangestellter. Diese "verabschieden sich oft innerlich", bleiben auf dem Stuhl kleben und erfüllen den Job ohne Verantwortung und Loyalität. Und das ist für die IT-Sicherheit höchst fatal.