Suchen

Expertensuche IT-Security über Festangestellte oder Freelancer?

| Autor / Redakteur: Knut Krabbes / Stephan Augsten

Manche IT-Projekte, darunter beispielsweise Security-Tests und -Audits, verlangen nur kurz nach Aufmerksamkeit, dafür aber wiederkehrend. Sollte man dafür nun kurzfristig einen Mitarbeiter abstellen oder einen Externen rekrutieren?

Im Rahmen von IT-Projekten kann es sich lohnen, Ratschläge und Meinungen von außen einzuholen.
Im Rahmen von IT-Projekten kann es sich lohnen, Ratschläge und Meinungen von außen einzuholen.
(Bild: Archiv )

Wenn ich die Ausschreibungen für Projekte oder Festanstellungen im Bereich der IT betrachte, ist immer wieder festzustellen, dass die Recruiter hartnäckig den Dreißgjährigen mit mindestens 40 Jahren Berufserfahrung suchen. Da hat sich nach meinen Feststellungen in den letzten Jahren auch nicht sehr viel verändert.

Ähnlich verhält es sich auch mit älteren Arbeitnehmern – sie hätten die Erfahrung (die man doch sucht) und sind heute durchaus noch fit genug, diese Kenntnisse weiter zu geben. Aber auch das setzt sich offensichtlich erst quälend langsam im Markt durch. Ab 40 gilt man, gerade in der ITK-Branche, als zu „alt“.

Da ich mich selbst seit vielen Jahren im doch sehr überschaubaren Spezialrahmen der Informationssicherheit nach ISO 27001 bzw. IT-Grundschutz bewege, kann ich selbstverständlich nur für diesen Bereich sprechen. Informationssicherheit setzt zunächst einmal umfangreiche Kenntnisse der ITK voraus. Das geht über Systeme, Netze, Anwendungen, Rechenzentren und deren Ausstattung sowie Brand- und Einbruchsschutz sowie Notstromversorgung.

Damit sind nur die eigentlichen Voraussetzungen für diese Kenntnisse gegeben – dann aber folgt auch noch der umfangreiche Abschnitt von Risiko-Einschätzungen und den Ausbau von Notfall-Vorsorge. Da sind die Bereiche des Aufbaus von Management-Systemen (z.B. nach ISO 9001, ISO 27001, ISO 20000 und IT-Grundschutz) noch nicht einmal betrachtet. Bei IT-Grundschutz muss auch noch das doch etwas gewöhnungsbedürftige Vorgehen nach BSI 100-2 eingehalten werden, bevor die Voraussetzungen von Compliance und einer Zertifizierungsfähigkeit überhaupt erreichbar sind.

Expertise beinhaltet aber auch noch die meist jahrelange intensive Beschäftigung mit der Informationssicherheit und ständige Schulungen. So muss ein solcher Experte, der z.B. Unternehmen auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz vorbereitet, auch Prozesse, Anwendungen und Rahmenbedingungen kennen.

Allrounder gesucht

Informationssicherheit ist also nie eine Sache für nur eine Person, sondern in der Regel für eine Gruppe von System-, Netzwerks-, Notfall-, Dokumentations- und Schulungs-Spezialisten. Ein „Experte“ ist hier gleichzusetzen mit einem Menschen mit langjähriger Erfahrung. Ein jüngerer Mitarbeiter kann diese Erfahrungen unmöglich in kurzer Zeit anhäufen, das ist eben vor allem eine Frage der Praxis und langjährigen Netzwerkens und Lernens.

Ein Projekt, in dem diese Informationssicherheit aufgebaut, dokumentiert und geschult werden soll, um am Ende vielleicht sogar eine Zertifizierung zu erreichen, verlangt zumindest in der ersten Zeit nach dem Kickoff wirklich einen ausgewiesenen Experten. Dabei sollte dieser in allen Disziplinen ein Allrounder sein.

Ein Spezialist in nur einem oder ein paar Teilbereichen ist da fehl am Platz. Nur der Allrounder mit fundierten Managementsystem-Kenntnissen bietet die Gewähr dafür, dass solche Systeme praxisnah und zertifizierungsfähig aufgebaut werden.

Er sollte auf spezialisierte personelle Ressourcen zurückgreifen können, da seine Expertise nicht unbedingt z.B. den Aufbau von Firewall-Tabellen oder Intrusion Detection Systemen umfassen muss. Dieser Experte „erledigt“ sich aber nach dem Roll-Out weitestgehend selbst und könnte dann durch eine Person ersetzt werden, die diese Expertise erst nach und nach erarbeiten muss, die ja aber eine fertige Grundlage übernimmt.

Ein „Experte“ sollte dazu seine Kenntnisse auch auf „beiden Seiten des Tisches“ erworben haben. Das bedeutet, dass er einerseits ein kenntnisreicher Consultant und Schulungspraktiker sein muss, andererseits aber auch als Auditor für diese Managementsysteme gearbeitet haben sollte, um Ergebnisse überprüfen und objektiv beurteilen zu können. Zudem weiß er als Auditor, wie z.B. Dokumente aussehen müssen, die einerseits für die Mitarbeiter praktikabel und lebbar sind, andererseits einem Zertifizierungsaudit standhalten. Wie sollte er sonst je Experte werden?

Knut Krabbes
Knut Krabbes
(Bild: Archiv )

Was folgt daraus? „Expertise auf Zeit“ kann man sowohl mit angestellten als auch freien Mitarbeitern ins Haus holen. Einen angestellten Experten wird man in der Regel auch über das aktuelle Projekt hinaus weiter im Unternehmen behalten müssen, ihn dann aber vielleicht nicht voll auslasten zu können. Den Freelancer kann man dagegen am Ende des Projektes und nach Übergang in den Betriebs-Modus verabschieden oder seine Mitarbeit auf kurze Betreuungsbesuche bzw interne Audits vor einer externen Überprüfung beschränken.

Die „Expertise auf Zeit“ ist daher durchaus eine Alternative für Unternehmen. Sie wird aber merkwürdigerweise erst sehr langsam von diesen bzw. den von ihnen beauftragten Recruitern genutzt. Was also läuft da immer noch schief?

Ergänzendes zum Thema
Über Knut Krabbes

Nach einer kaufmännischen Ausbildung im Großmaschinenbau und dem Studium der Betriebswirtschaft kam Knut Krabbes in eine leitende Stellung bei einem Automobilclub in Bayern. Dort hatte er auch seine ersten Berührungen mit IT oder Datenverarbeitung wie das damals noch hieß.

Er absolvierte eine intensive Ausbildung im Bereich Qualitätsmanagement und ITIL. Über 7 Jahre war er als Quality- und IT-Security-Manager für ein Großrechenzentrum verantwortlich und baute dort die Management-Systeme nach ISO 9001und ISO 27001 sowie die Compliance mit Cobit, MaRisk und dem KWG § 25a auf.

Parallel beschäftigte er sich mit Datenschutz. In den Jahren 1995 bzw. 2002 legte er seine Prüfungen als Auditor für ISO 9001, ISO 27001 und als Lead-Auditor des BSI für IT-Grundschutz ab und wurde Geprüfter Datenschützer ULD. Er führte in den Folgejahren als Auditleiter eine sehr große Zahl von Audits bei kleinen, mittleren aber auch Großunternehmen wie z.B. der Deutschen Bahn, der Deutschen Luft- und Raumfahrt, dem Landschaftsverband Rheinland, für das Rechenzentrum des Uni-Klinikums Freiburg usw. für die SGS, DQS und den TÜV-Süd durch.

Für namhafte Schulungsanbieter wurden von ihm Schulungen im Bereich Informationssicherheit sowie für Auditleiter durchgeführt.

Seit langer Zeit berät er auch Unternehmen im Aufbau und dem Roll-Out von Managementsystemen für QM, ISMS, ITIL und Datenschutz sowie deren Integration. Seit fast drei Jahren ist er als Consultant für ein Länder-Innenministerium im Bereich BOS Digitaler Behördenfunk (Polizeien, Feuerwehren, Rettungsdienste usw) am Aufbau der Dokumentation und Einführung von Sicherheitsprozessen nach BSI IT-Grundschutz (ISO 27001) sowie für ein Wiener Unternehmen für den Aufbau von polizeilichen Leitstellen tätig.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 43832582)