Planung und Koordination von Security-Konzepten Was macht eigentlich ein IT-Sicherheitsarchitekt?
Anbieter zum Thema
Der Wert von Daten steigt und damit auch ihr Schutzbedarf. Der IT-Sicherheitsarchitekt entwickelt Sicherheitskonzepte für branchen- und kundenspezifische Anforderungen. In der Unternehmens-IT nimmt er eine immer wichtigere Schlüsselposition ein.

IT-Sicherheitsarchitekt ist keine allgemeingültige Berufsbezeichnung, ebenso wenig wie der IT-Security-Experte oder -Consultant; deren Aufgaben, Kenntnisse und Fähigkeiten hingegen sind inzwischen hinlänglich bekannt und stark nachgefragt.
Um zu verstehen, wie Berufsbezeichnungen und Aufgabengebiete entstehen, sich wandeln und irgendwann zu einer festen Größe im Bildungswesen werden, reicht ein kurzer Blick zurück: Ende der 80er Jahre tauchten die ersten Computerviren auf. Dass von ihnen eine ernste Gefahr ausgehen könnte, hat sich für das Gros der Unternehmen erst in den letzten 10 Jahren gezeigt. Vernetzung, datenbasierte Geschäftsmodelle und Kriminalität haben dazu geführt, dass heute die Cyber Security ein unersetzlicher Baustein im Unternehmen geworden ist – und mit ihr die dazugehörigen Experten, Consultants und Architekten.
Planung der Sicherheitsarchitektur
Die Funktion eines IT-Sicherheitsarchitekten – kurz IT-SA – lässt sich in Analogie zum Architekten eines Gebäudes erläutern. Ihm obliegt die technische, funktionale, gestalterische und wirtschaftliche Planung eines Gebäudes. Die Aufgaben der einzelnen Gewerke wie Maurer oder Dachdecker entsprechen den Aufgaben des Sicherheits-Experten. Er kann Funktionalitäten und Tools installieren und konfigurieren, oder auf Wunsch auch Umbauten vornehmen. Der Administrator wäre, um im Bilde zu bleiben, der Hausverwalter. Er bedient und verwaltet die Einrichtungen, die der Architekt entworfen und der Experte aufgebaut hat.
Vom Administrator über den IT-Experten bis hin zum IT-Sicherheitsarchitekten
Der Weg zur Tätigkeit als IT-SA führt häufig über ein IT-nahes Studium. Spezifische Fachkenntnisse erwirbt er sich zusätzlich über Kurse und Weiterbildungen. Am bekanntesten ist das Ausbildungsangebot des International Information Systems Security Certification Consortium zum CISSP (Certified Information Systems Security Professional). Über das BSI können erworbene Fachkenntnisse wie die des Lead Auditors ISO 27001 zertifiziert werden. Die ISO/IEC 27001 ist die den Informationssicherheits-Managementsystemen zugrundeliegende Norm. Doch weitaus häufiger erarbeitet sich der IT-SA seine Expertise über viele Jahre Praxiserfahrung. Ausgehend von einer Tätigkeit als Administrator, entwickelt er sich zum Experten, später zum Consultant und letztendlich zum Sicherheitsarchitekten. Der IT-SA muss außerdem kaufmännische Kompetenzen mitbringen. Die Evaluierung der Kosten jeder Leistung, jedes Produkts gehört zu seinem Aufgabengebiet. Oft erwartet der Kunde wiederverwendbaren Output, Designrichtlinien für weitere Security-Architekturen, auch diese muss er kalkulieren können.
Immer auf dem aktuellen Stand
In fachlicher Hinsicht sollte ein IT-Sicherheitsarchitekt die verbreitetsten Netzwerktechnologien kennen, sich intensiv mit Cyber Security auseinandersetzen, sowohl der IT Security als auch der organisatorischen Security. Da von Standardisierungsgremien (z.B. NIST = National Institute of Standards and Technology, Bundesbehörde USA) oder Communities wie der OSCD (Open Security Collaborative Development) oder The Internet Engineering Task Force (IETF) kontinuierlich Neues publiziert wird, gehören diese zu seinen wichtigsten Informationsquellen. Ohne über aktuelle Protokoll- und Security-Standards, Tools und Produkte auf dem Laufenden zu sein, kann er weder Risiken exakt einschätzen, noch seinem Kunden eine wirkungsvolle Sicherheitsarchitektur anbieten.
Softskills wie diplomatisches Geschick und Teamfähigkeit sind hilfreich. Denn Organisationen bestehen aus Menschen, die es zu begeistern oder zumindest zu überzeugen gilt. Um noch einmal zum Bild des Architekten zurückzukehren: der Kontakt zum Bewohner und zum Handwerker darf im Laufe der Arbeit nicht verloren werden. Es ist leicht, sich im Cyberspace zu verlieren und fantastische Luftschlösser zu entwerfen. Doch wenn diese nie gebaut und nicht belebt werden können, ist niemandem gedient.
Ablauf eines typischen Case beim Kunden
Die Arbeit des IT-SA fängt mit einer Analyse der vorhandenen Softwareprozesse beim Kunden an. Sein wichtigster Ansprechpartner ist der CSO. Häufig wird dabei nach dem Testing Maturity Model (TMM) vorgegangen. Die Fragen, die in dieser ersten Phase beantwortet werden müssen, lauten: Wo steht der Auftraggeber im Zusammenhang mit Cyber Security heute? Wo soll die Reise hingehen – vor allem in Hinblick auf Digitalisierung, IoT, OT-Security? Wie sieht die Awareness im Unternehmen aus und wo liegen die Prioritäten des Kunden? Der IT-SA muss dabei das große Ganze im Blick haben und darf sich nicht in Details verlieren. Er trägt für das Gesamtkonstrukt Verantwortung.
Und schon sind wir bei dem Kern seines Wissens und seiner Fähigkeiten: Was muss er dafür können?
Der Sicherheitsarchitekt ist ein Generalist mit einer breiten Wissensbasis. Detailwissen benötigt er weniger: vereinfacht ausgedrückt, er muss wissen, welche Firewalls es gibt, sie aber nicht unbedingt programmieren können. Programmiergrundkenntnisse, sind dennoch empfehlenswert, schließlich muss er beurteilen können, was technisch möglich ist, was nicht. Außerdem muss er die Anforderungen des Kunden sehr genau einschätzen können. Denn aus den Verticals des Kunden leitet er sein Framework ab. So bietet er dem einen eine Zero-Trust-Architektur an, in einem anderen Szenario reicht eine einfachere Lösung. Beratungsgeschick und Einfühlungsvermögen sind hier vonnöten.
In der Design-Phase entsteht die maßgeschneiderte Security-Architektur
Jetzt beginnt die Design-Phase. Wenn der IT-SA alle Inputs rekapituliert hat, seine Nachrecherche beendet ist, Testaufbauten vorgenommen wurden, entwirft er das eigentliche Design. Hier beginnt der kreative Teil seiner Tätigkeit und hier zeigt sich, wie gut der Sicherheitsexperte ist, da sich die Verticals je nach Branche stark unterscheiden. So sieht die Security-Architektur im Einzelhandel anders aus als die für kritische Infrastrukturen oder die für ein Unternehmen aus dem Bereich Health-Care oder aus der Industrie. Bei dem einen spielen Compliance Richtlinien eine Rolle, bei dem anderen sind die Risiken besonders hoch, bei dem Dritten müssen die Sicherheitsmaßnahmen für dessen Produkte mitgedacht werden, da diese smart und vernetzt sind.
Künftiges Arbeitsumfeld des IT-SA
Die Leistung eines IT-SA kauft sich das Unternehmen in der Regel zu, von ICT-Dienstleistern wie beispielsweise Axians IT Security. Da die Planungs- und Beratungsphase deutlich kürzer ausfällt als die Implementierungs- und Betriebs-Phasen scheint das sinnvoll. Doch das wird sich ändern. Die Bedeutung von Daten für die Prozesse im Unternehmen und als Bestandteil von Produkt oder Dienstleistung steigt – Stichwort Smart Devices. Für Unternehmen bestimmter Branchen ist die Datensicherheit immens wichtig – Banken, Versicherungen, Versorger oder das Gesundheitswesen legen schon heute ihren Fokus auf das Cyber-Security-Umfeld. Aber auch die Automobilindustrie denkt um: IT-Themen sprengen schon heute die Grenzen der ERP-Welt und ziehen sich bis ins intelligente Fahrzeug. Es ist also absehbar, dass der IT-SA fester Bestandteil einer IT-Abteilung werden wird. Nur so kann das Security-Design auf dem aktuellen Stand gehalten werden und agil in die Produkte oder Dienstleistung des Kunden einfließen. Gute IT-Sicherheitsarchitekten verfügen über eine hohe Expertise, gespeist aus jahrelanger Erfahrung, umso wichtiger ist es, sich den Zugang zu ihrem Know-how langfristig zu sichern.
Über den Autor: Ben Kröger ist seit 2002 Senior Security Consultant und Leiter Support & Managed Service bei Axians IT Security. Seit 2014 verantwortet er gesamten technischen Bereich mit den Schwerpunkten Firewalling, Sandboxing, E-Mail-, Proxy- und Surf-Security.
(ID:47549781)