Warum der IT-Security-Manager mehr Berater als Polizist sein sollte
Der IT-Security-Manager ist heute in vielen Unternehmen mehr Polizist als Berater, hat Thomas Jörger, Security-Manager bei Bayer, den Eindruck. Warum er das nicht gut findet und weshalb er für einen Community-Ansatz plädiert, erläutert er im Gespräch mit der Netzwoche.
Ausgaben im Bereich Informationssicherheit werden laut dem "ISPIN Security Radar 2011" in der Schweiz am häufigsten (24 Prozent) durch rechtliche und behördliche Anforderungen gerechtfertigt.
Als wichtigster Treiber für Budget und Ressourcen werden "rechtliche und gesetzliche Vorgaben" angegeben ("absolut wichtig" bis "eher wichtig": 99 Prozent), aber auch Business Continuity/Desaster Recovery ("absolut wichtig" bis "eher wichtig": 98 Prozent) und Reputation des Unternehmens ("absolut wichtig" bis "eher wichtig": 94 Prozent) spielen eine wichtige Rolle.
Weniger wichtig ist die wirtschaftliche Entwicklung ("absolut wichtig" bis "eher wichtig": 71 Prozent) als Treiber für das Budget für Informationssicherheit.
Schweiz anders als der Rest der Welt
In einer laut Ispin vergleichbaren weltweit angelegten Studie von Pricewaterhousecoopers dagegen lagen gesetzliche und rechtliche Vorgaben als Budgettreiber "nur" auf Platz fünf. Demgegenüber liegt die "wirtschaftlichen Entwicklung" im globalen Umfeld auf dem ersten Platz als Treiber für das Budget.
"So müsste es eigentlich sein", meint Thomas Jörger, Security Manager beim Chemie- und Pharmakonzern Bayer (Schweiz) AG in Zürich. Er ist etwas erstaunt darüber, dass man in der Schweiz die Ausgaben für die Sicherheit nicht stärker am Business ausrichtet, und ist der Meinung, dass Sicherheit durchaus ein gutes Marketing-Argument ist.
Immer mehr Richtlinien
Die in der Schweiz weit verbreitete Einstellung, sich vergleichsweise stark an der Einhaltung von Vorschriften zu orientieren und weniger an den Bedürfnissen des Business, hat Folgen auf den Berufsalltag.
"Die Security wird als Verhinderer gesehen. Der Mitarbeiter bekommt aufs Dach, wenn er einen Fehler macht", sagt Jörger. "Wenn er etwas gut macht, wird er allerdings nicht gelobt."
IT-Angestellte unter Generalverdacht
Gerade der Fall Hildebrand habe IT-Angestellte einmal mehr unter Generalverdacht gestellt. "Das führt nicht unbedingt dazu, dass man die Zügel lockert", ergänzt Jörger. Im Gegenteil: Die Folge ist dann oftmals, dass die Richtlinien verschärft werden. "Das ist Quatsch", sagt Jörger.
"Je mehr ein Mitarbeiter kriminalisiert wird, desto tiefer wird die Hemmschwelle, tatsächlich gegen etwas zu verstossen." Vielmehr müssten die Chefs ihren Mitarbeitern Vorbilder sein, wie man sich zu verhalten habe, so Jörger.
"Den Menüplan der Kantine muss man nicht schützen"
Die Erweiterung von Richtlinien hat zudem zur Folge, dass diese für immer weniger Mitarbeiter verständlich sind. Ein Beispiel dafür sei die Klassifizierung von vertraulichen und öffentlichen Informationen: "Man will heute alles klassifizieren und geht dann viel zu weit."
Vielmehr müsste man laut Jörger mit ganz wenigen Kategorien arbeiten. "Nur verhältnismässig wenige Daten sind wirklich relevant, und die muss man schützen. Es hat doch keinen Sinn, wenn man versucht, den Menüplan der Betriebskantine zu schützen."
Reputation der Mitarbeiter wird wichtiger
Viele der angesprochenen Probleme dürften sich indes auch ohne neue Richtlinien lösen. Unternehmen arbeiten immer häufiger mit externen Dienstleistern und Spezialisten zusammen. "Die Unternehmen können ihre IT nicht mehr derart abschotten, wie sie das lange Zeit getan haben", so Jörger.
"Deshalb wird die Reputation von externen Mitarbeitern wichtiger. Bauen sie Mist oder begehen gar eine kriminelle Tat, ist der Dienstleister weg vom Fenster."
Ein Sicherheits-Guru bringt's nicht unbedingt
Jörger findet weitere Entwicklungen in der Informationssicherheit bedenklich, zum Beispiel die Zentralisierung aller sicherheitsrelevanten Themen an einer Stelle.
Die Ernennung eines Informationssicherheitsbeauftragten, so der Eindruck von Jörger, sei aber oft nicht vielmehr als eine Beruhigungspille für das Management. Pointiert ausgedrückt heisst das: "Die Schaffung der Position eines Sicherheits-Gurus ist nicht zielführend."
CISOs nicht per se gute Führungskräfte
Bei Bayer dagegen hat man laut Jörger ein "vernünftiges Set-up" gefunden: die entsprechenden Sicherheitsfunktionen sind keine "Elfenbeintürme". Und man arbeitet unter anderem mit Sicherheits-Communitys. Damit sei der Informationsfluss gewährleistet, so Jörger.
"CISOs müssen sich meiner Ansicht nach hauptsächlich darauf fokussieren, Trends aufzuspüren, Entwicklungen zu antizipieren, bei ihren Mitarbeitern Awareness zu schaffen und sich mit anderen Abteilungen regelmässig auszutauschen. Sie sind nicht per se gute Führungskräfte, obwohl sie dies im Sinne der Vorbildfunktion sein sollten."
Anmerkung der Redaktion: Dieser Artikel ist Teil einer Serie über das Sicherheitsbefinden in Unternehmen in unserer Printausgabe. Die Netzwoche hat dafür sechs IT-Sicherheitsverantwortliche, CIOs und CISOs mit den Resultaten des "ISPIN Security Radar 2011" konfrontiert und ihnen den Puls gefühlt. Online bringen wir Artikel aus dieser Serie in unregelmässigen Abständen.
Dienstleistungen könnten 2024 zum grössten IT-Bereich werden
Das Galaxy S24 Ultra zeigt: KI ist gut, Kontrolle ist besser
Luzerner Kantonsspital digitalisiert die Dienstplanung
Swisscom ärgert Stammkundschaft mit automatischem Abo-Wechsel
United Security Providers bekommt neuen Chef
Eiskunstlaufendes Hühnchen hebt ab
visiONstage – wo Business auf Zukunft trifft
Cyberkonferenz an der EPFL lädt zum Capture-the-Flag-Turnier
Noser Group wächst weiter
