Rollen und Aufgaben in der IT-Sicherheit

CISO, Security Manager oder IT-Sicherheitsbeauftragter?

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Für die Rollen und Aufgaben in der Security gibt eine Vielzahl von Bezeichnungen. Gibt es keine klare Zuordnung kann das zu organisatorischen Lücken im Security-Konzept führen.
Für die Rollen und Aufgaben in der Security gibt eine Vielzahl von Bezeichnungen. Gibt es keine klare Zuordnung kann das zu organisatorischen Lücken im Security-Konzept führen. (© leowolfert - stock.adobe.com)

Als ob Security nicht komplex genug wäre, gibt es für die Rollen und Aufgaben in der Security eine Vielzahl von Bezeichnungen. Das ist nicht nur verwirrend, sondern auch riskant. Gibt es keine klare Zuordnung zwischen Rolle und Aufgabe kann das zu organisatorischen Lücken im Security-Konzept des Unternehmens führen.

Stellen Sie sich vor, dass Sie während einer IT-Messe mittags mit anderen Messebesuchern beim Essen zusammenstehen und Small Talk machen. Ihr Messe-Badge verrät nur Ihren Namen und Ihr Unternehmen. So kommt es, dass Sie nach Ihrem Beruf, nach Ihren Aufgaben gefragt werden. Was würden Sie antworten? Einfach nur Security? Oder würden Sie Ihre genaue Stellenbezeichnung nennen, zum Beispiel Cyber Security Task Force Manager? Und würde Ihr Gegenüber dann wissen, was Sie wirklich machen?

Abgesehen davon, dass es in der Security unklug sein kann, zu genau Auskunft über seine Aufgaben zu geben, da dies viel über die IT im Unternehmen verraten kann: Die Security ist ein Bereich, in dem es viele Aufgaben und Rollen gibt, aber auch viele Bezeichnungen für diese Rollen und Aufgaben. Das kann nicht nur zu Missverständnissen am Stehtisch führen, sondern sogar zu organisatorischen Lücken im Security-Konzept Ihres Unternehmens.

Ein Blick in die Stellenbörsen

Security-Experten sind bekanntlich mehr als gefragt. Wer einmal in Stellenbörsen „IT Security“ als Suchbegriff eingibt, sieht nicht nur die große Zahl an Stellenangeboten in diesem Bereich, sondern findet auch eine Vielzahl an Stellenbezeichnungen, darunter IT Security Consultant, IT Security Specialist, IT Security Experte, IT Security Manager, IT Cloud Security Experte, Security Advisor, Inhouse IT Security Compliance Manager, Information Security Officer, IT-Sicherheitsbeauftragter, Projektleiter IT Security, IT Security Architect, IT Security Officer, IT-Security Engineer, CISO oder IT Security Administrator.

An sich sind dies relativ klar zu unterscheidende Aufgaben, und die Stellenanzeigen verfügen auch über eine nähere Beschreibung. Betrachtet man aber, wer die Stellenanzeigen geschaltet hat, sind dies nicht nur Großunternehmen, in denen nahezu alle der genannten Rollen und Aufgaben auch vorkommen werden. Es sind durchaus auch kleine und mittlere Unternehmen, die gar keine umfangreichen Security-Teams haben und keine IT-Security-Organisation mit vielfältigen Rollen. Womöglich soll die neue Frau oder der neue Mann im Unternehmen die mannigfaltigen Security-Rollen in sich vereinen.

Da Security-Experten aber selten sind, möchten Mittelstandsunternehmen den Kandidaten für die Stelle auch etwas bieten, das beginnt dann bereits mit einem ansprechenden Titel, wie sie in Großunternehmen auch üblich sind. Die Realität im Unternehmen kann dann vielleicht enttäuschen, aber es gibt weitere mögliche Probleme.

Bezeichnungen müssen allen klar sein

Wenn man die Security-Stellenbezeichnungen zum Beispiel vergleicht mit den Rollen, die das BSI (Bundesamt für Sicherheit in der Informationstechnik) im IT-Grundschutz nennt, findet man oftmals keine wirkliche Übereinstimmung. So nennt IT-Grundschutz als definierte Security-Rollen: IT-Sicherheitsbeauftragter, Notfallbeauftragter, Verantwortliche für die Datensicherung oder IS-Management-Team, um einige Beispiele zu nennen. Welche Rolle nach IT-Grundschutz übernimmt nun beispielsweise ein „Inhouse IT Security Compliance Manager“? Es versteht sich, dass es intern dafür Zuordnungen geben muss, oder aber ausführliche Stellenbeschreibungen, die eine Zuordnung erlauben.

Externe Partner aber können nicht ohne weiteres wissen, wie die ausführliche Stellenbeschreibung und die Rollenzuordnung aussehen. Das kann dazu führen, dass extern falsche Vorstellungen herrschen, falsche Annahmen getroffen werden und falsch kommuniziert wird. Auch in der Zusammenarbeit mit einem Managed Security Service Provider (MSSP) ist dies wichtig: Der MSSP muss genau wissen, welche Security-Aufgaben intern erbracht werden und wo Bedarf an seinen Dienstleistungen besteht. Zum einen, um intern fehlende Services zusätzlich anbieten zu können, zum anderen aber auch im Sinne seines Beratungsauftrags, indem auf Schwachstellen und Lücken in der Security-Organisation hingewiesen wird. Ohne genaue Erläuterung, was sich hinter einer Security-Bezeichnung verbirgt, fällt dies aber durchaus schwer.

Zuständigkeiten müssen geklärt sein

Ein aktuelles Beispiel wie die Datenschutz-Grundverordnung (DSGVO / GDPR) macht deutlich, dass in vielen Unternehmen Schwierigkeiten bestehen, Security-relevante Aufgaben zuzuordnen. Eine Studie von Veritas klärte die Frage: Wer ist für die Implementierung der DSGVO verantwortlich? Die Antwort: 32 Prozent sehen den Chief Information Officer in dieser Rolle. 21 Prozent gaben den Chief Information Security Officer an, 14 Prozent setzten den Haken beim Chief Executive Officer, und rund zehn Prozent sind der Meinung, die Verantwortung liege in den Händen vom Chief Data Officer.

Ganz klar: Wichtig ist es, dass es einen Verantwortlichen gibt und dass dies entsprechend kommuniziert und organisiert wird. Die Bezeichnung ist dabei natürlich zweitrangig, es geht um Kompetenzen, Aufgaben und Budgets. Doch kann die Titel-Vielfalt in der Security dazu beitragen, dass die Zuordnung unklar bleibt oder zumindest erschwert wird, gerade bei kleinen und mittleren Unternehmen, die versuchen, Rollen und Stellenbezeichnungen von Großunternehmen zu übernehmen. Empfehlenswert wäre es, lieber die weniger spannend klingenden Rollen aus dem IT-Grundschutz als Stellenbezeichnung zu nehmen, dafür aber zu wissen, dass man alle Rollen passend ausfüllt.

Meine Fragen an Sie: Welche Stellenbezeichnung haben Sie in der Security? Finden Sie diese zutreffend? Welche Bezeichnung für Sie wäre besser? Oder sind Bezeichnungen für Sie nur Schall und Rauch?

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44930428 / Mitarbeiter-Management)