Direkt zum Inhalt

Lassen wir uns den Weg versperren

12.09.2021

Internen Experten für IT-Sicherheit Gehör zu schenken sollte selbstverständlich sein. Ist es aber nicht. Sie in alle wesentlichen Gremien einzubinden noch weniger. Ein Plädoyer für lästige Details.

Menschen, die sich gut mit dem tiefsten Inneren von Computern, IT-Systemen oder Cyber-Sicherheit auskennen, eilt oft ein Ruf voraus. An ihnen klebt irgendwie immer noch ein gewisses Nerd-Image. Wenn sie – vielleicht sogar im Kapuzenpulli – erklären, was man da im Netzwerk unabsichtlich verstellt hat, wie man das künftig verhindert, wieso und wie man seine E-Mails verschlüsseln sollte oder was beim Datensichern zu beachten ist, hört man instinktiv weg und lässt sie einfach tun, was sie glauben, tun zu müssen. Na gut, mit diesem seltsamen Image, das heute ja ohnehin oft mehr Klischee als Realität ist, lässt es sich ja noch leben – solange nur die Technik funktioniert. Doch wenn sich dieses Nerd-Image auch auf höhere Hierarchie-Ebenen überträgt und die Person „ganz oben“, die für die IT-Sicherheit verantwortlich ist, nichts zu melden hat, wird es schon problematischer.

Die Unternehmensberatung EY hat für ihre Global Information Security Survey (GISS) 2021 mehr als 1000 Cybersecurity- Führungskräfte in Unternehmen weltweit befragt. Ein Ergebnis davon: Nur 19 Prozent der Befragten waren zuversichtlich, dass die Cybersicherheit-Teams in der Planungsphase neuer Geschäftsinitiativen zurate gezogen werden. Diese Zahl lag 2020 übrigens noch bei 36 Prozent. Dabei predigen IT-Sicherheitsexperten nicht erst seit gestern, wie wichtig es ist, Sicherheit immer von Anfang an mitzudenken und sie nicht erst am Schluss auf neue Produkte, Prozesse und Geschäftsmodelle draufzupappen. Trotzdem hat sich der Stellenwert der Chief Information Security Officers, kurz CISOs, in den Unternehmen im letzten Jahr eben deutlich verschlechtert.

Fragen Sie sich gerade: Moment, wir haben nicht einmal einen CISO, wer braucht denn sowas? Jetzt könnte man natürlich sagen: Klar, verfolgen Sie doch einmal ein wenig aufmerksam die Nachrichten und achten darauf, wie oft Schwachstellen in der IT ausgenutzt werden, wie oft von Hacks und Ransomware- Attacken berichtet wird – und zwar nicht nur auf große Konzerne. Aber so einfach ist das natürlich nicht. Fähige CISOs liegen nicht auf der Straße: In Deutschland werden derzeit über die Online-Jobplattform Stepstone 11492 CISOs gesucht – und sie kosten auch etwas: laut Stepstone im Schnitt 84.300 Euro im Jahr. In Österreich dürften die Gehälter etwas darunter liegen. Ein Beispiel: Bei ELGA, der elektronischen Gesundheitsakte, wird in einer aktuellen Ausschreibung ein Brutto-Jahresgehalt von mindestens 60.000 Euro geboten. Das muss sich ELGA, wo es um den Schutz hochsensibler persönlicher Daten von Bürgerinnen und Bürgern geht, leisten, allein schon weil es das Gesetz verlangt.

In weniger stark regulierten Branchen stellt sich nicht die Frage des Müssens, sondern eher des Könnens und vor allem des Wollens, also der Priorität. Hierzulande gehört die ITSicherheit meist als ein Aspekt zu anderen Job Descriptions. Wobei sich die Frage stellt, ob sie dort einen ähnlich hohen Stellenwert hat wie bei den CISOs, die ja direkt an den CEO berichten. Und selbst wenn dem so wäre, wäre es bedenklich, denn – Sie erinnern sich: CISOs werden sehr selten in die Planungsphase neuer Geschäftsinitiativen einbezogen. Daher: Wer auch immer sich für die Cyber-Sicherheit in Ihrem Unternehmen starkmacht: Diese Leute verdienen es, in Zukunft vom Abstellgleis auf die Hauptschiene geführt zu werden, wo sie dann durchaus auch manchmal im Weg stehen – aber nur, um richtig große Crashs zu verhindern.

Autor/in:
Alexandra Rotter

berichtet von den aktuellen Cyberwar-
Schauplätzen über Angreifer und deren Strategien,
Schäden sowie Rettungs- und Schutzmaßnahmen.

Werbung

Weiterführende Themen

Hat schon viele Betriebe gesehen, die ihre IT-Sicherheit grob vernachlässigt haben: IT-Sicherheitsexperte Vincenz Leichtfried.
Stories
18.11.2020

Immer mehr Firmen wollen sich von IT-Experten hacken lassen. Richtige Hack-Angriffe bieten diese selten an, doch viele führen Penetration Tests durch, um die Schwachstellen offenzulegen.

In Österreich steigt die Zahl der Cyberkriminalität, nicht zuletzt seit der COVID-19 Pandemie.
Stories
11.11.2020

Die heimische Bundesregierung nimmt die zunehmende Gefahr des Cybercrime ernst und setzt entsprechende Schritte für die Sicherheit von Unternehmen und Privaten.

Meinungen
16.09.2020

Hinter der Technik, die wir nutzen, stehen Unternehmen, die immer öfter ins geopolitische Kreuzfeuer geraten. Als Nutzer unterstützt man somit immer eine bestimmte Haltung – ob bewusst oder nicht ...

Meinungen
14.05.2020

Wenn wieder einmal ein gewaltiges Datenleck publik wird, löst das bei vielen Menschen nur noch ein resigniertes Schulterzucken aus. Eine Reaktion, die nicht zur Gewohnheit werden darf.

Meinungen
15.04.2020

Wie spannend: Eine interaktive Weltkarte, die immer aktuell anzeigt, in welchen Ländern wie viele Menschen mit COVID-19 infiziert sind und wie viele daran gestorben sind. Da klick ich doch schnell ...

Werbung