"Mit unserer Idee rannten wir ­offene Türen ein"

Wie kamen Sie auf die Idee einer Ausbildung zum eidgenössisch diplomierten "ICT Security Expert"?

Jörg Aebischer: Vor etwa zwei Jahren diskutierten wir das Thema zum ersten Mal auf Vorstandsebene. Dabei fassten wir den Entschluss, zunächst anhand einer Studie den Ausbildungs- und Zertifizierungsmarkt kennenzulernen. Wir wollten mehr über die bestehenden Zertifizierungen und die Bedürfnisse der Unternehmen erfahren. Dabei hat sich gezeigt, dass etwa die Hälfte der Unternehmen fand, dass es eine staatlich organisierte Ausbildung für die Schweiz brauche. Die andere Hälfte meinte, dass die bestehenden internationalen Zertifizierungen für sie ausreichten.

Wie ist es dann weitergegangen?

Wir wollten dann zunächst ein von der Industrie getragenes Projekt starten. Unser Ziel war es zunächst rund sechs starken Industriepartnern zu überzeugen, sozusagen der Lackmustest für unsere Idee. Die Partner hatten wir recht schnell beisammen.

Gab es auch vonseiten des Bundes Unterstützung für Ihre Idee?

Ja, beim Informatiksteuerungsorgan des Bundes, ISB, war das Interesse sehr gross. In der «Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken» wurde ein Handlungsfeld für eine Schweizer Sicherheitszertifizierung definiert. Wir rannten dort offene Türen ein. Das ISB unterstützte uns in der Folge auch bei Informationsveranstaltungen. Auf diesem Weg konnten wir ein grosses Interesse wecken und viele Unterstützer wie auch Sponsoren gewinnen.

IT-Sicherheit ist ja immer ein Thema. Die vielen Sicherheitsvorfälle in der letzten Zeit haben Ihnen sicherlich auch in die Hände gespielt?

Das kann man sagen. Ich möchte aber betonen, dass wir schon lange vor den aktuellen Skandalen mit der Planung begonnen haben und unsere Planung unabhängig davon war. In den letzten Monaten ist auch die Stimmung in der Schweizer Industrie zu unserem Gunsten gekippt. Eine deutliche Mehrheit sieht einen erheblichen Zuatzbedarf an Sicherheitsspezialisten.

Warum reichen die bestehenden internationalen Zertifizierungen nicht aus?

Unseren Zahlen nach werden in der Schweiz jährlich 250 bis 300 international anerkannte Abschlüsse gemacht. Diese Zertifizierungen sind aber häufig reine Wissenstests. In diesen wird etwa anhand von Multiple-Choice-Fragen über Onlineplattformen Wissen abgefragt. Dies ist für uns zu wenig aussagekräftig. Denn eine zentrale Rolle in der IT spielt immer noch der Mensch. Daher sollten die Zertifizierungen auch den Prüfling mit einbeziehen. Ich denke hier auch an Aspekte wie einen einwandfreien Leumund, der in Sicherheitsbereichen notwendig ist. Wir wollen aber kein neues Produkt entwickeln. Wir sind auch dafür offen, internationale Zertifizierungen in der Ausbildung anzuerkennen. Der "ICT Security Expert" ist vielmehr als eine Ergänzung zu diesen Angeboten zu verstehen und soll sich dort integrieren. Mit der Bundesprüfung definieren wir nur ein Qualitätsmerkmal.

Können Sie schon etwas zu den Inhalten sagen, die in der Zertifizierung abgefragt werden?

Wir haben zwar schon Eckpunkte definiert, die Details werden wir aber erst in diesem Jahr ausarbeiten. Insbesondere welche Kompetenzen, Fähigkeiten und Techniken vermittelt werden müssen.

Welche Klientel soll die Zertifizierung ansprechen?

Wir adressieren ein breites Klientel. Angefangen von IT-Leitern über Sicherheitsmitarbeiter bis hin zu Quereinsteigern. Beispielsweise könnte sich ein auf IT-Sicherheit spezialisierter Jurist mit dem "ICT Security Expert" eine Zusatzqualifikation erwerben. Viele schon heute im Sicherheitsbereich tätige Personen haben auch noch keine formelle Ausbildung in diesem Bereich. Häufig arbeiteten sie sich während ihrer Tätigkeit ein. Mit der Zertifizierung könnten sie einen aussagekräftigen Titel erwerben. Auch Personen, die sich im Sicherheitsbereich weiterentwickeln wollen, möchten wir ansprechen, etwa mit dem Berufsziel Sicherheitsexperte.

Was fehlt ihnen inhaltlich an den bisherigen Zertifikaten?

Insbesondere rechtliche Aspekte in Bezug auf die Schweiz kommen dort zu kurz. Neben Landesrecht und dem Datenschutz sollen auch umfangreiche Kompetenzen im Büpf oder Fernmeldegesetz vermittelt werden. Aber auch Business-Aspekte sollen eine grössere Rolle spielen.

Welche Bildungsweinrichtungen werden die Ausbildung zuerst anbieten?

In den Vorbereitungen haben wir schon einige Bildungsanbieter angeschrieben. Vor allem die ZHAW und die Wirtschaftsinformatikschule Schweiz haben ihr Interesse bekundet. Die ZHAW auch schon bestehende Lehrgänge für IT-Security. Eventuell werden diese an die neuen Anforderungen angepasst. Prinzipiell kann aber jede Bildungseinrichtung mit den nötigen Fachkompetenzen Lehrgänge anbieten. Als Verband sind wir selber nur für die Durchführung der zentralen eidgenössischen Prüfung und die Einhaltung der Zulassungskriterien zuständig. Wie die Bildungseinrichtungen die Ausbildung organisieren, regelt der freie Markt.

Wie sieht die weitere Planung aus?

In diesem Jahr werden wir grösstenteils mit der inhaltlichen Ausarbeitung beschäftigt sein. Im kommen Jahr soll der formale Gesetzgebungsprozess auf Bundesebene anlaufen. Die Prüfungsordnung könnte dann am 1.1.2018 in Kraft treten. 

Wann ist mit den ersten Absolventen zu rechnen?

Die erste eidgenössische Prüfung soll im Sommer 2018 abgehalten werden. Voraussichtlich werden die ersten Bildungseinrichtungen aber schon im Jahr 2017 mit den ersten Lehrgängen starten.