Schenken Sie Ihrer IT Gehör!

IT Security
12.09.2021

Internen Experten für IT-Sicherheit Gehör zu schenken sollte selbstverständlich sein. Ist es aber nicht. Sie in alle wesentlichen Gremien einzubinden noch weniger. Ein Plädoyer für lästige Details.

Menschen, die sich gut mit dem tiefsten Inneren von Computern, IT-Systemen oder Cyber-Sicherheit auskennen, eilt oft ein Ruf voraus. An ihnen klebt irgendwie immer noch ein gewisses Nerd-Image. Wenn sie – vielleicht sogar im Kapuzenpulli – erklären, was man da im Netzwerk unabsichtlich verstellt hat, wie man das künftig verhindert, wieso und wie man seine E-Mails verschlüsseln sollte oder was beim Datensichern zu beachten ist, hört man instinktiv weg und lässt sie einfach tun, was sie glauben, tun zu müssen. Na gut, mit diesem seltsamen Image, das heute ja ohnehin oft mehr Klischee als Realität ist, lässt es sich ja noch leben – solange nur die Technik funktioniert. Doch wenn sich dieses Nerd-Image auch auf höhere Hierarchie-Ebenen überträgt und die Person „ganz oben“, die für die IT-Sicherheit verantwortlich ist, nichts zu melden hat, wird es schon problematischer.

Die Unternehmensberatung EY hat für ihre Global Information Security Survey (GISS) 2021 mehr als 1000 Cybersecurity- Führungskräfte in Unternehmen weltweit befragt. Ein Ergebnis davon: Nur 19 Prozent der Befragten waren zuversichtlich, dass die Cybersicherheit-Teams in der Planungsphase neuer Geschäftsinitiativen zurate gezogen werden. Diese Zahl lag 2020 übrigens noch bei 36 Prozent. Dabei predigen IT-Sicherheitsexperten nicht erst seit gestern, wie wichtig es ist, Sicherheit immer von Anfang an mitzudenken und sie nicht erst am Schluss auf neue Produkte, Prozesse und Geschäftsmodelle draufzupappen. Trotzdem hat sich der Stellenwert der Chief Information Security Officers, kurz CISOs, in den Unternehmen im letzten Jahr eben deutlich verschlechtert.

Fragen Sie sich gerade: Moment, wir haben nicht einmal einen CISO, wer braucht denn sowas? Jetzt könnte man natürlich sagen: Klar, verfolgen Sie doch einmal ein wenig aufmerksam die Nachrichten und achten darauf, wie oft Schwachstellen in der IT ausgenutzt werden, wie oft von Hacks und Ransomware- Attacken berichtet wird – und zwar nicht nur auf große Konzerne. Aber so einfach ist das natürlich nicht. Fähige CISOs liegen nicht auf der Straße: In Deutschland werden derzeit über die Online-Jobplattform Stepstone 11492 CISOs gesucht – und sie kosten auch etwas: laut Stepstone im Schnitt 84.300 Euro im Jahr. In Österreich dürften die Gehälter etwas darunter liegen. Ein Beispiel: Bei ELGA, der elektronischen Gesundheitsakte, wird in einer aktuellen Ausschreibung ein Brutto-Jahresgehalt von mindestens 60.000 Euro geboten. Das muss sich ELGA, wo es um den Schutz hochsensibler persönlicher Daten von Bürgerinnen und Bürgern geht, leisten, allein schon weil es das Gesetz verlangt.

In weniger stark regulierten Branchen stellt sich nicht die Frage des Müssens, sondern eher des Könnens und vor allem des Wollens, also der Priorität. Hierzulande gehört die ITSicherheit meist als ein Aspekt zu anderen Job Descriptions. Wobei sich die Frage stellt, ob sie dort einen ähnlich hohen Stellenwert hat wie bei den CISOs, die ja direkt an den CEO berichten. Und selbst wenn dem so wäre, wäre es bedenklich, denn – Sie erinnern sich: CISOs werden sehr selten in die Planungsphase neuer Geschäftsinitiativen einbezogen. Daher: Wer auch immer sich für die Cyber-Sicherheit in Ihrem Unternehmen starkmacht: Diese Leute verdienen es, in Zukunft vom Abstellgleis auf die Hauptschiene geführt zu werden, wo sie dann durchaus auch manchmal im Weg stehen – aber nur, um richtig große Crashs zu verhindern.