| 
Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per E-Mail. Vielen Dank.
Berufs-Zertifikate helfen doppelt: Einerseits weil man sich selbst sicher sein kann, gut vorbereitet zu sein, und zweitens weil das anderen gegenüber auch von unabhängiger Seite bestätigt wird. Besondere Bedeutung erlangt das durch zunehmend notwendiges nicht-technisches Wissen.
Trotz erheblicher Investitionen in die IT-Sicherheit ist nicht immer gewährleistet, dass die eingesetzten Mittel in optimaler Weise risikomindernd für das jeweilige Unternehmen wirken. Wesentliche Gründe für diese Beobachtung liegen in der häufigen Fokussierung auf möglichst vollständigen Lösungen von Einzelproblemen, der ausschließlichen Behandlung von IT-Security-Fragen in Form von Projekten – anstelle ihrer Einbettung in Geschäftsprozesse – sowie der Konzentration auf rein technische Fragestellungen.
Um nicht falsch verstanden zu werden: Technische Sicherheitslösungen sind wichtige Bestandteile eines Managementsystems für Informationssicherheit. Aber es kommt zunehmend auf die umfassende Einhaltung von Sicherheitsanforderungen an. Weil sich immer mehr Unternehmen zum Beispiel angemessen vor Haftungsrisiken schützen wollen, ist Informationssicherheit keine alleinige Sache der IT-Abteilungen mehr. Die Geschäftsführung entscheidet hier maßgeblich mit. Um sicherzustellen, dass die richtigen Entscheidungen getroffen werden, müssen die IT-Sicherheitsexperten deshalb auch die Ziele des Managements kennen und in Gesamtzusammenhängen denken.
In den letzten Jahren wurden die gesetzlichen und regulatorischen Rahmenbedingungen vor allem in den USA (Sarbanes-Oxley Act, Graham-Leach-Bliley Act), aber auch in Europa (Basel II, European Privacy Act), erheblich verschärft. Die unter dem Begriff "Corporate Governance" geführte Diskussion hat damit teilweise einen verbindlichen Rechtsrahmen erhalten, der für viele Unternehmen auch die Notwendigkeit einschließt, die Überwachung von IT-gestützten Prozessen neu zu organisieren und dem Thema IT-Sicherheit einen erhöhten Stellenwert einzuräumen.
Durch diese Entwicklungen wird IT-Security jetzt als wesentlicher Bestandteil eines ganzheitlichen Corporate-Governance-Ansatzes zur Steuerung, Kontrolle und zum Schutz eines Unternehmens betrachtet. Für die IT-Sicherheitsverantwortlichen muss es deshalb darum gehen, die Risiken auf ein für das Unternehmen vertretbares Niveau zu reduzieren und dadurch einen Wertbeitrag zu liefern. Das bedingt eine Ausrichtung der Sicherheitsarchitektur an den Unternehmenszielen und -prozessen. Das Erreichen dieser Ziele muss natürlich überwacht werden – dazu kann man beispielsweise bewährte Managementinstrumentarien wie Reporting-Instrumente oder die Balanced Scorecard adaptieren.
Die Corporate Governance Task Force der amerikanischen National Cyber Security Partnership (NCSP) hat im April 2004 Unternehmen dazu aufgerufen, Informationssicherheit in ihre Corporate-Governance-Prozesse zu integrieren. Die NCSP mahnt dabei die drei Schlüsselelemente für Corporate Governance (und damit auch für Informationssicherheitssysteme) durchgängig und konsequent zu definieren: Mitarbeiter, Prozesse und Technologie.
Informationssicherheit spielt im Rahmen von Corporate Governance in den Bereichen Risiko-Management, Reporting und Verantwortlichkeit eine wichtige Rolle. Mit technischem Wissen allein lassen sich die hiermit verbundenen Fragestellungen jedoch nicht vollständig beantworten.
Informationen, aber auch die unterstützenden Prozesse, Systeme und Netzwerke, sind heute in den meisten Unternehmen wichtige geschäftliche Vermögenswerte; ihre Vertraulichkeit, Integrität und Verfügbarkeit können entscheidend für den Erhalt eines Wettbewerbsvorsprungs und die geschäftliche Reputation sein. Eine Informationssicherheits-Policy muss dafür den übergeordneten Rahmen bilden. Dazu gehört zum Beispiel auch, Risikoniveaus durch Definition von Kennzahlen beherrschbar zu machen.
Die für IT-Sicherheit Verantwortlichen müssen deshalb aber nicht jedes neue Virus-Update oder jede neue Sicherheitsschwachstelle im Detail kennen, sondern vielmehr die Risiken verstehen, denen ihr Unternehmen im weltweiten elektronischen Wirtschaftsverkehr ausgesetzt ist und die zur Risikominimierung wichtigen internationalen Best Practices parat haben.
Nur durch das Zusammenspiel von Risikoanalysen, allgemeinen Policies (z. B. Umgang mit Geschäftsgeheimnissen, Wettbewerbsrecht), IT-Security und Corporate Governance (Aufsicht und Unternehmensorganisation) können Sicherheitsrisiken in großen Unternehmen richtig priorisiert und minimiert werden. Hiermit verbunden ist ein ständiger Zwang zur Überprüfung und Anpassung der festgelegten Prioritäten.
----------Anfang Textkasten----------
Nach einer Analyse des International Information Systems Security Certification Consortium (ISC)2 sprechen aus Sicht der von ihr zertifizierten Security-Professionals (CISSP) folgende Vorteile für eine Zertifizierung:
Unternehmen, die zertifizierte Security-Professionals beschäftigen, gaben als Vorteile an:
----------Ende Textkasten----------
Die Frage, welches technische und welches Geschäftsprozess-Know-how Sicherheitsverantwortliche benötigen und wie sie ihre Kompetenz auch belegen können, beschäftigt deshalb immer mehr Unternehmen. Persönliche Zertifikate, die auf anerkannten Best Practices beruhen und die IT-Sicherheitsexperten zur laufenden Erweiterung dieses Wissens motivieren, werden deshalb zukünftig eine immer wichtigere Rolle spielen.
Zur Einhaltung von Best Practices gehört inzwischen auch der Nachweis, dass die eigenen Fachleute in einem unternehmenskritischen Gebiet wie der IT-Sicherheit qualifiziert sind und dass sie das Unternehmen, das sie schützen sollen, sowie seine Geschäftsprozesse verstehen.
Das hat sowohl bei der Personalgewinnung als auch in der Personalentwicklung Einfluss. Vor allem international anerkannte Zertifikate bieten hier eine Lösung; denn um mit unternehmenskritischen Sicherheitsrisiken angemessen umgehen zu können, ist eine möglichst breite Basis erforderlich.
Die Weiterbildungsbranche hat dies erkannt und verschiedene neue Zertifizierungen zur IT-Sicherheit auf den Markt gebracht. Um ein möglichst breit gefächertes Sicherheitswissen zu erlangen, empfiehlt es sich, herstellerneutrale Zertifizierungen zu absolvieren. Diese decken auf verschiedenen Qualifikationsstufen – von der Führungskraft über IT-Praktiker bis hin zu Einsteigern – die gesamte Bandbreite der Sicherheitsthematik ab, ohne sich dabei auf die Produkte eines Herstellers zu konzentrieren. In Deutschland werden sie von unabhängigen internationalen Organisationen wie der ISACA und der (ISC)2 oder von nationalen Verbänden wie TeleTrusT oder der IHK angeboten. Darüber hinaus spielen Trainingskurse und Abschlüsse von Herstellern eine wichtige Rolle im Rahmen der Sicherung spezifischer IT-Systeme.
Eine Zertifizierung ermöglicht es einerseits den Fachleuten, bereits erworbene Handlungskompetenzen in einer anerkannten Form nachzuweisen. Andererseits ergibt sich aus der Personalzertifizierung für die Unternehmen die Chance, Fachkenntnisse sowie Methoden-, Prozess- und Handlungskompetenzen eines aktuellen oder zukünftigen Mitarbeiters einstufen zu können. Zukünftig wird zumindest im internationalen Umfeld der Nachweis vorhandener oder erworbener Fähigkeiten durch eine neutrale Personalzertifzierung erheblich an Bedeutung gewinnen.
Die Logik des Compliance-Gedankens und auch der Zertifizierung lautet: Es reicht nicht gut zu sein, man muss es auch belegen können. Eine anerkannte Zertifizierung von Kompetenz in der IT-Sicherheit belegt gegenüber Vorständen, Aktionären, Partnern und Kunden, dass diese unternehmenskritische Aufgabe ernst genommen wird.
Derzeit entscheiden sich Sicherheitsexperten eher vereinzelt im Rahmen ihrer Karriereplanung für eine Ausbildung, die sie für eine anspruchsvolle Aufgabe als Sicherheitsverantwortlicher qualifiziert, und die anschließende Zertifizierung. Nach einer Analyse des International Information Systems Security Certification Consortium (ISC)2 unter den von dieser Organisation zertifizierten Security Professionals (CISSP) sind die Hauptgründe einer Zertifizierung die Ausweitung der Arbeitsbereiche und Verantwortung im Unternehmen, verbunden mit dem Ziel, effektivere Sicherheitsstandards in einem Unternehmen zu implementieren (vgl. Kasten).
Mit wachsenden Ansprüchen in den Unternehmen und dem zunehmenden Bewusstsein, dass IT-Sicherheit mehr erfordert als Technik, darf man erwarten, dass sich in den nächsten Jahren die Situation ändern wird: Die Entscheidung für eine Zertifizierung wird dann verstärkt fallen, weil der Markt und die Personalabteilungen der Unternehmen einen derartigen Qualifikationsnachweis von den Bewerbern fordert.
Manfred Hübner (CISSP, CISM) ist Information Security Officer der WestLB AG, Düsseldorf, und Mitglied des European Advisory Boards des International Information Systems Security Certification Consortium (ISC)2.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004#5, Seite 22
|