Expertensuche

IT-Security über Festangestellte oder Freelancer?

| Autor / Redakteur: Knut Krabbes / Stephan Augsten

Im Rahmen von IT-Projekten kann es sich lohnen, Ratschläge und Meinungen von außen einzuholen.
Im Rahmen von IT-Projekten kann es sich lohnen, Ratschläge und Meinungen von außen einzuholen. (Bild: Archiv)

Manche IT-Projekte, darunter beispielsweise Security-Tests und -Audits, verlangen nur kurz nach Aufmerksamkeit, dafür aber wiederkehrend. Sollte man dafür nun kurzfristig einen Mitarbeiter abstellen oder einen Externen rekrutieren?

Wenn ich die Ausschreibungen für Projekte oder Festanstellungen im Bereich der IT betrachte, ist immer wieder festzustellen, dass die Recruiter hartnäckig den Dreißgjährigen mit mindestens 40 Jahren Berufserfahrung suchen. Da hat sich nach meinen Feststellungen in den letzten Jahren auch nicht sehr viel verändert.

Ähnlich verhält es sich auch mit älteren Arbeitnehmern – sie hätten die Erfahrung (die man doch sucht) und sind heute durchaus noch fit genug, diese Kenntnisse weiter zu geben. Aber auch das setzt sich offensichtlich erst quälend langsam im Markt durch. Ab 40 gilt man, gerade in der ITK-Branche, als zu „alt“.

Da ich mich selbst seit vielen Jahren im doch sehr überschaubaren Spezialrahmen der Informationssicherheit nach ISO 27001 bzw. IT-Grundschutz bewege, kann ich selbstverständlich nur für diesen Bereich sprechen. Informationssicherheit setzt zunächst einmal umfangreiche Kenntnisse der ITK voraus. Das geht über Systeme, Netze, Anwendungen, Rechenzentren und deren Ausstattung sowie Brand- und Einbruchsschutz sowie Notstromversorgung.

Damit sind nur die eigentlichen Voraussetzungen für diese Kenntnisse gegeben – dann aber folgt auch noch der umfangreiche Abschnitt von Risiko-Einschätzungen und den Ausbau von Notfall-Vorsorge. Da sind die Bereiche des Aufbaus von Management-Systemen (z.B. nach ISO 9001, ISO 27001, ISO 20000 und IT-Grundschutz) noch nicht einmal betrachtet. Bei IT-Grundschutz muss auch noch das doch etwas gewöhnungsbedürftige Vorgehen nach BSI 100-2 eingehalten werden, bevor die Voraussetzungen von Compliance und einer Zertifizierungsfähigkeit überhaupt erreichbar sind.

Expertise beinhaltet aber auch noch die meist jahrelange intensive Beschäftigung mit der Informationssicherheit und ständige Schulungen. So muss ein solcher Experte, der z.B. Unternehmen auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz vorbereitet, auch Prozesse, Anwendungen und Rahmenbedingungen kennen.

Allrounder gesucht

Informationssicherheit ist also nie eine Sache für nur eine Person, sondern in der Regel für eine Gruppe von System-, Netzwerks-, Notfall-, Dokumentations- und Schulungs-Spezialisten. Ein „Experte“ ist hier gleichzusetzen mit einem Menschen mit langjähriger Erfahrung. Ein jüngerer Mitarbeiter kann diese Erfahrungen unmöglich in kurzer Zeit anhäufen, das ist eben vor allem eine Frage der Praxis und langjährigen Netzwerkens und Lernens.

Ein Projekt, in dem diese Informationssicherheit aufgebaut, dokumentiert und geschult werden soll, um am Ende vielleicht sogar eine Zertifizierung zu erreichen, verlangt zumindest in der ersten Zeit nach dem Kickoff wirklich einen ausgewiesenen Experten. Dabei sollte dieser in allen Disziplinen ein Allrounder sein.

Ein Spezialist in nur einem oder ein paar Teilbereichen ist da fehl am Platz. Nur der Allrounder mit fundierten Managementsystem-Kenntnissen bietet die Gewähr dafür, dass solche Systeme praxisnah und zertifizierungsfähig aufgebaut werden.

Er sollte auf spezialisierte personelle Ressourcen zurückgreifen können, da seine Expertise nicht unbedingt z.B. den Aufbau von Firewall-Tabellen oder Intrusion Detection Systemen umfassen muss. Dieser Experte „erledigt“ sich aber nach dem Roll-Out weitestgehend selbst und könnte dann durch eine Person ersetzt werden, die diese Expertise erst nach und nach erarbeiten muss, die ja aber eine fertige Grundlage übernimmt.

Ein „Experte“ sollte dazu seine Kenntnisse auch auf „beiden Seiten des Tisches“ erworben haben. Das bedeutet, dass er einerseits ein kenntnisreicher Consultant und Schulungspraktiker sein muss, andererseits aber auch als Auditor für diese Managementsysteme gearbeitet haben sollte, um Ergebnisse überprüfen und objektiv beurteilen zu können. Zudem weiß er als Auditor, wie z.B. Dokumente aussehen müssen, die einerseits für die Mitarbeiter praktikabel und lebbar sind, andererseits einem Zertifizierungsaudit standhalten. Wie sollte er sonst je Experte werden?

Knut Krabbes
Knut Krabbes (Bild: Archiv)

Was folgt daraus? „Expertise auf Zeit“ kann man sowohl mit angestellten als auch freien Mitarbeitern ins Haus holen. Einen angestellten Experten wird man in der Regel auch über das aktuelle Projekt hinaus weiter im Unternehmen behalten müssen, ihn dann aber vielleicht nicht voll auslasten zu können. Den Freelancer kann man dagegen am Ende des Projektes und nach Übergang in den Betriebs-Modus verabschieden oder seine Mitarbeit auf kurze Betreuungsbesuche bzw interne Audits vor einer externen Überprüfung beschränken.

Die „Expertise auf Zeit“ ist daher durchaus eine Alternative für Unternehmen. Sie wird aber merkwürdigerweise erst sehr langsam von diesen bzw. den von ihnen beauftragten Recruitern genutzt. Was also läuft da immer noch schief?

Ergänzendes zum Thema
 
Über Knut Krabbes

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43832582 / Mitarbeiter-Management)