Information Technology Reference
In-Depth Information
verspürt, den allgemeineren Begriff IT-Sicherheit zu verwenden, muss man nach
dem treffenderen Begriff suchen, damit die Akteure verstehen, um was es konkret
geht.
Die IT-Sicherheitsbeauftragten müssen sich zu dieser sprachlichen Disziplin selbst
zwingen und sich die Zeit nehmen, ihr Thema besser zu erklären. Niemand weiß
so gut wie sie, dass der Mensch als Sicherheitsrisiko dominiert und daher
besonderer Pflege bedarf. Ein einziger unkooperativer Mitarbeiter ist in der Lage
immense technische Sicherheitsbudgets ad absurdum zu führen. Auf der Security-
Bühne des IT-Sicherheitsbeauftragten werden alle technischen Raffinessen
aufgeboten, die es für Geld zu kaufen gibt. Sie kennen das damit verbundene
Problem aus dem Kino: Die schönsten Special Effects bringen nichts, wenn die
Schauspieler das Niveau nicht halten können.
Das hat auch Auswirkungen auf die Prioritäten und Risiken, die den IT-
Sicherheitsbeauftragten beschäftigen. Das größte Risiko, dass einem reibungslosen
Auftritt droht sind die menschlichen Schwächen. Nicht selten wird der Fokus in
der täglichen Arbeit aber auf die Technik gelegt. Für IT-Sicherheitsbeauftragte ist
das bekanntes Terrain - gewissermaßen eine Flucht in einfache Tätigkeiten. Bevor
man sich an die Arbeit macht, den Mitarbeitern ihre Security-Marotten
auszutreiben, kümmert man sich lieber nochmal um die Regelsätze der Firewalls.
Bisher funktioniert diese Flucht auch ganz gut. Der angesprochene
Etikettenschwindel zeigt seine Wirkung auch bei Schuldzuweisungen: In den
seltensten Fällen werden IT-Sicherheitsbeauftragte für menschliches Versagen im
Zusammenhang mit einem Informationsverlust verantwortlich gemacht und
gefragt, was sie gegen menschliches Fehlverhalten unternommen hätten. Würden
Sie Informationssicherheitsbeauftragte heißen, wäre das schon nicht mehr so
einfach. Aus Sicht des Unternehmens ist das natürlich fatal. Geht es doch nicht
darum, hinterher jemanden zur Verantwortung ziehen zu können, sondern darum,
Vorfälle von vornherein zu verhindern.
Der Trend weg von der IT-Sicherheit hin zur Informationssicherheit wirkt sich
bisher wenig auf Positionsbeschreibungen und die Arbeit aus. Während es
hunderte von Büchern zu den technischen Aspekten von Informationssicherheit
gibt, gibt es bestenfalls eine Hand voll Bücher, die sich mit der menschlichen
jedoch auf der Security-Bühne von entscheidender Bedeutung. Auch hier hilft der
Kino-Vergleich: Mit guten Schauspielern kommt man auch ohne technische
22
Beispielsweise das derzeit einzige umfassende deutsche Buch zum Thema Security
