Als Administrator hat man es nicht leicht, ein Projekt jagt das nächste, die Controller wollen Dokumentationen und eigentlich möchte man doch gerne das neueste Spielzeug aus Redmond oder Cupertino testen. Wann soll da noch Zeit sein um den Benutzern IT-Sicherheit näher zu bringen? Zudem oftmals mit Unverständnis reagiert wird weil man „für sowas“ eh keine Zeit hat. Tja, da haben wir das Dilemma. Also wird eine neue Stelle geschaffen und derjenige der als letzter aus dem Meeting wegrennt ist mit sofortiger Wirkung „IT-Sicherheitsbeauftragter“ ob er will oder nicht. Am liebsten in Personalunion um Kosten zu sparen und weil man diese Stelle zwar schaffen soll (meinten die Wirtschaftsprüfer beim letzten Audit) aber eigentlich soll mit der Stellenschaffung die Sache auch erledigt sein. Gut … jetzt will der frisch gebackene ITSB (IT-Sicherheitsbeauftragte, ich werde das nicht mehr wiederholen also merkt euch diesen noch nie dagewesenen Fachausdruck 😊) auch noch eine Fachschulung haben um das Handwerkszeug für seine neuen Aufgaben zu erlernen, sei es drum denkt sich die Geschäftsleitung und willigt ein, was das wieder kostet!
Wenig später ist es soweit, der ITSB kommt frisch von der Schulung und hat jede Menge Ideen und Anforderungen (teils mit rechtsverbindlichem Hintergrund) im Gepäck. Seine Position erlaubt ihm direkt bei der Geschäftsleitung vorzusprechen und von diesem Recht macht er Gebrauch – schließlich hat er gelernt was die Firma alles umsetzen muss (oder längst hätte müssen) um „sicher“ zu sein. Das innerliche Bild des einstigen Administrators aus Fleisch und Blut weicht dem ITSB-Kämpfer immer mehr…. Doch oh Schreck – die Geschäftsleitung arbeitet zwar ein bisschen mit aber so wirklich ist der ITSB nicht überzeugt das seine IT-Sicherheitsleitlinie von der obersten Leitung mitgetragen wird. Immer mehr fühlt er sich wie ein „notwendiges“ Übel und auch seine Kollegen gehen seit neuestem dann in die Kantine wenn Sie wissen das er nicht da ist. Aber seine Freunde sucht man sich in der Freizeit und kämpft der ITSB für seine IT-Sicherheit. Im Laufe der Zeit kann er einiges etablieren und stabilisieren und man gewöhnt sich daran mit der IT-Sicherheit zusammen arbeiten zu müssen, es hilft ja nichts. Teilweise ist es sogar praktisch erkennt man im Haus – wann immer man bei einem Projekt einen zusätzlichen Puffer braucht schickt man einfach allerhand Anfragen an den ITSB – der kommt dann nicht mehr hinterher (und eine zusätzliche Stelle bekommt er natürlich ebenfalls nicht da diese eine Stelle bereits hart verdaulich ist für die Führungsebene) und schon hat man als Projektleiter den schwarzen Peter mit dem Verweis „liegt noch zur Klärung bei der IT-Sicherheit“ weitergegeben. Ja, alles hat zwei Seiten.
Der ITSB kämpft sich weiter durch den BSI-Grundschutz oder die ISO 27001 und kommt unweigerlich an den Punkt Mitarbeiter schulen …. Das kennt der ITSB noch aus seiner Administrationszeit, das wird kein Spaß! Die Mitarbeiter wollen eigentlich gar nicht kommen, verstehen dann meist nicht viel und stellen im schlimmsten Fall noch Fragen wofür man im Mittelalter …. Lassen wir das …. Der ITSB stellt also seine Schulung zusammen, er gibt sich wirklich Mühe die 90 Minuten (hart erkämpft bei der Leitung schließlich handelt es sich um bezahlte Arbeitszeit) so informativ und spannend wie möglich zu machen. Er zieht aus allen Registern und zeigt Live den Einbruch in ein Smartphone, USB-Dongles mit Full-HD Kameras und Audioaufzeichnung werden herumgereicht und eine anschauliche Geschichte weshalb ein USB-Ventilator nicht immer ein Geschenk sein muss (wenn darin zum Beispiel ein Keylogger enthalten ist) runden das Programm ab.
Nach der Schulung macht der ITSB eine interessante Entdeckung – die Mitarbeiter ließen sich begeistern, Sie freuen sich das Ihnen diese Tücken jemand aufzeigt und stellen noch viele (sinnvolle) Fragen. Der ITSB geht nach dieser ersten Schulung zurück in sein Büro und freut sich auf seine Aufgaben, er hat erfahren das seine Arbeit wertvoll ist und Anerkennung erhalten. Wenn er in den kommenden Tagen interne Audit’s durchführt oder aber neue Verfahrensanweisungen und Handlungsempfehlungen schreibt relativiert sich dieses Hochgefühl zwar wieder merklich aber dennoch hat er etwas bewegt und das treibt ihn an … die nächste Mitarbeiterschulung kommt bestimmt!
Diese kurze Geschichte beschreibt ziemlich gut meinen eigenen Einstieg in die Welt der IT-Sicherheit, das war vor ca. sechs Jahren. Wenn mich heute jemand fragen würde ob ich zurück in die Administration möchte würde ich ganz klar Nein sagen. Nach dem Warum habe ich mich oft gefragt und meine Antwort darauf lautet: Weil ich es liebe mit Menschen zu arbeiten! Ich öffne Ihnen gerne die Augen und zeige Ihnen Neues …. Andererseits möchte ich aber die letzten rund 20 Jahre in der klassischen IT-Administration nicht missen – Sie geben mir das Rüstzeug um als ITSB Entscheidungen sowohl nach der NORM als auch mit Verstand treffen zu können (und man muss sich von den IT-Leitern nicht immer ein U für ein A verkaufen lassen 😊 ).
