Der Allround-Dilettant

Haben Sie Sich schon einmal gefragt, wofür Unternehmen überhaupt einen Informationssicherheitsmanager (nachfolgend ISM) benötigen? Sind das nicht nur überbezahlte Anzugträger, die überall mitreden, sich aber nirgends wirklich auskennen? Nun, ich möchte Ihnen in diesem Artikel erläutern, warum sich zumindest in der letzten Aussage ein Fünkchen Wahrheit verbirgt und was die Ursachen hierfür sind.

Ein ISM ist verantwortlich für die Entwicklung, Implementierung und Überwachung von Sicherheitsmaßnahmen zum Schutz von Informationen und Daten innerhalb einer Organisation. Soweit, so generisch. Aber welche Aufgaben verbergen sich hinter dieser Berufsbezeichnung genau? Nun hier kommen wir den Ursachen der obigen Aussage etwas näher. Ein ISM muss Fachwissen in den verschiedensten Gebieten mitbringen. So muss er unter anderem Informationssicherheitsrichtlinien verfassen, Risikomanagement betreiben, Netzwerk- und System-Sicherheit überwachen, die Datensicherheit gewährleisten und die Einhaltung rechtlicher und interner Vorgaben sicherstellen. Doch das ist noch nicht alles. Weiter muss er Notfallpläne ausarbeiten für den Fall, dass die Informationsverarbeitung einmal stockt, er muss Mitarbeiter und Vorgesetzte schulen und deren Bewusstsein für das Thema Informationssicherheit schärfen. Hierfür müssen anschauliche Folien und Anleitungen erstellt werden, welche auf den jeweiligen Adressatenkreis zugeschnitten sind. Nebenbei gilt es technologische Entwicklungen zu verfolgen und etwaige Risiken für die Organisation zu identifizieren und zu behandeln. Bestes Beispiel aktuell: Die rasante Entwicklung im Quanten-Computing und die Gefahr für die Vertraulichkeit nahezu des gesamten Informationsaustausches mittels Asymmetrischer Verschlüsselung. Um eine solche Abwägung durchführen zu können und seinen Aufgaben nachkommen zu können, benötigt ein ISM ein sehr breites Spektrum an Fachwissen über verschiedenste Technologien, Systeme und Verfahren wie beispielsweise:

• Firewall-Technologien

• Intrusion Detection/Prevention-Systeme

• Verschlüsselungstechnologien

• Authentifizierungs-technologien

• Zugangssysteme

• Perimeter Schutz

• Anwendungen zum Netzwerk- und System-Management

• Security-Information- und Eventmanagementsysteme (SIEM-Systeme)

• Cloud-Technologien

• mobile Geräte

• Bring-Your-Own-Device-Ansätze

Weiter sollte ein ISM natürlich auch die psychologischen Kniffe von Social Engineering-Techniken kennen und wirksame Gegenmaßnahmen ergreifen können. Ein ISM sollte sich in Systemarchitekturen zurechtfinden, ITIL beherrschen und verschiedene Frameworks anwenden können. Er sollte Standards wie DIN/ISO 27001, IT-Grundschutz, BSI-Standard 200-4 nahezu auswendig kennen oder das Risk Management Framework des NIST in englischer Sprache sicher übersetzen können. Er muss wissen, wie er mit Behörden bei Ermittlungen zusammenarbeitet, Beweise rechtssicher sichern kann oder welche Meldepflichten er als KRITIS-Betreiber zu erfüllen hat. Und zu guter Letzt gilt es natürlich auch hier immer up to Date zu bleiben um den Anschluss nicht zu verlieren und alle relevanten Vorgaben zu erfüllen. Sie sind von der Vielzahl der Aufgaben erschlagen und wissen teilweise nicht einmal, was sich hinter den Begriffen genau verbirgt? Nun – Willkommen in der Welt eines Informationssicherheitsmanagers! Es erklärt sich von selbst, dass kein Mensch der Welt in all diesen Aufgaben und Technologien ein absoluter Experte sein kann. Damit hätten wir die Ursache der Aussage am Anfang dieses Textes gefunden. Es ist nämlich gar nicht die Aufgabe eines ISM, in all diesen Bereichen bis ins letzte Detail mitreden zu können. Dafür hat er in jeder Organisation passende Ansprechpartner wie Netzwerkexperten, Administratoren, Kryptologen, Manager, Personalentwickler, Solution- und Servicearchitekten, Ingenieure, Juristen oder andere Fachexperten zur Hand. Die Aufgabe eines ISM ist es den Überblick zu behalten, er muss die verschiedensten Bedürfnisse und Herausforderungen aller Stakeholer verstehen, muss sich auf Augenhöhe mit Ihnen unterhalten können und deren Anliegen berücksichtigen. Nur dann ist eine reibungslose Informationsverarbeitung sowohl in normalen als auch in Krisenzeiten möglichst gut sichergestellt. Was braucht ein guter Informationssicherheitsmanager um diese Aufgabe möglichst zur Zufriedenheit aller erfüllen zu können? Er muss ein Netzwerker sein, ein Vermittler und ein Generalist. Nur wenn er grundlegende Aspekte der einzelnen Akteure in einer Organisation versteht, kann er diese berücksichtigen. Wenn sich die Wünsche und Anforderungen mal nicht vereinbaren lassen oder gesetzlichen Vorgaben entgegen stehen, muss er andere Lösungen finden und machmal, auch zwischen streitenden Parteien vermitteln. Denn ein guter ISM hat nur ein Ziel: Dass manipulationssichere Informationen zur richtigen Zeit dort verfügbar sind, wo sie benötigt werden – Wenn notwendig vertraulich, versteht sich.

Bei Bedarf beraten und unterstützen Sie die Experten von Digital Shepherd gerne bei der Einführung, Umsetzung und Pflege eines ganzheitlichen ISMS.

Kontaktieren Sie uns hierzu gerne unter: Info@DigitalShepherd.de