Herr Hoppe, wie mache ich mich als Unternehmen attraktiv für Experten in der IT-Sicherheit?
Meine Einschätzung ist es, dass Unternehmen, welche Bestandteil der kritischen Infrastruktur sind, schon grundsätzlich einen gewissen Anreiz darstellen. Menschen, die in diesem Segment als Experten agieren, möchten auch stolz auf das sein, was sie leisten und es macht eben einen Unterschied, ob Sie die IT-Infrastruktur eines Schuhladens oder die eines Kraftwerks verantworten.
Ein wichtiger Anreiz ist auch, dass Sie für die Sicherheit ein entsprechendes Budget haben. Klotzen statt kleckern ist hier angesagt. Manche schätzen den Wert von Sicherheit nicht richtig ein, weil sie nichts produziert oder einen Produktionsprozess beschleunigt. Aber hier ist es wie bei einer Unfallversicherung. Die schließen Sie ja auch ab und hoffen, dass Sie sie nie benötigen.
Wenn Sie den Bewerbern glaubhaft darstellen können, dass ihnen auch ausreichend Mittel zur Verfügung stehen, ist das ein weiteres Argument für Ihr Unternehmen.
Die Stelle sollte auch mit einem entsprechenden Handlungsspielraum ausgestattet sein.
Da dieser Personenkreis sehr innovativ und immer auf dem neuesten Stand der Technik ist, möchten sie auch gerne in einem entsprechenden Umfeld arbeiten. Hier muss jetzt jeder für sich einschätzen, wie attraktiv man sein Unternehmen bewertet.
Wichtig ist es auch, den Rest der Belegschaft ins Boot zu holen – Stichwort Awareness –, zu welcher Vorgehensweise raten Sie hier?
Es sollte eine Kombination sein zwischen Informationsveranstaltung und immer wieder Hinweise durch das Management. Was auch hilfreich ist: sich ein Unternehmen ins Haus holen, welches vor der Belegschaft live demonstriert, wie schnell Passwörter geknackt werden können und wie sich nicht autorisierte Personen Zugang zum Unternehmen verschaffen, um sich dort in Sekundenschnelle über nicht gesperrte Rechner Zugriffe auf das Netzwerk zu verschaffen. Da wird dann noch schnell etwas zwischen Rechner und Tastatur gesteckt und schon wird alles, was da so geschrieben wird, nach draußen gesendet.
Wenn die Belegschaft erst einmal gesehen hat, wie Hacker agieren, ist sie besser sensibilisiert.
IT-Sicherheit fängt bei der Zugangskontrolle zum Gebäude an und das muss nicht immer der Haupteingang sein. Wenn jemand unten in der Tiefgarage die Hände voll mit Laptop und sonstiger IT Ausrüstung hat und keine freie Hand mehr hat, findet sich schnell ein hilfsbereiter Mitarbeiter, der dem Fremden die Tür öffnet und schon sind die Angreifer im Gebäude.
Was mache ich bei Mitarbeitern, die lasch umgehen mit den IT-Sicherheitsvorschriften? Oft ist es ja nicht einmal Absicht, sondern die Einsicht fehlt: etwa, indem E-Mail-Anhänge geöffnet werden, Websites angesurft werden.
Das ist kein Spaß und solch ein Fehlverhalten kann zu enormen finanziellen Schäden führen. Wer hier arglos und nachlässig agiert, muss auch bei kleineren Verstößen entsprechend erinnert oder gegebenenfalls ermahnt werden. Bei Wiederholungstätern halte ich Abmahnungen für angemessen.
Die Mitarbeiter müssen aber auch das Gefühl haben, dass es dem Management ernst ist. Wenn es etewa. eine Vorgabe gibt, dass alle drei Monate ein neues Passwort zu verwenden ist und es hierfür keinen systemseitigen Automatismus gibt, muss entsprechend kontrolliert werden.
Wenn Mitarbeiter „verdächtige“ Mails mit Anhängen bekommen, benötigen sie aber auch eine Anlaufstelle, von der sie zeitnah eine Rückmeldung bekommen, damit sie nicht in ihrer Arbeit behindert werden.
Wie viel meiner Personalressourcen sollte ich für das Thema IT-Sicherheit aufbrauchen? Welche Stellung sollte das Thema in meinem Unternehmen einnehmen?
Grundsätzlich halte ich die IT-Sicherheit für ein Prio 1 Thema. Die Frage des Personaleinsatzes ist stark von der Unternehmensgröße und von dem jeweiligen Geschäftsmodell abhängig. Die Frage kann man pauschal nicht beantworten. In jedem Fall muss es mindestens eine Person geben, die in der Verantwortung steht.
Tipps
Die Anforderungen an Experten für IT-Sicherheit steigen, welche Skills müssen meine Mitarbeiter hier beherrschen?
- Strukturierte Arbeitsweise
- Ausgezeichnete analytische Fähigkeiten
- Äußerst gewissenhafte Vorgehensweise
- Der unbedingte Wille, immer auf dem neuesten Stand der Technik zu sein, hohe Lernbereitschaft (Teilnahme an Weiterbildungen, in einem hohen Maße aber auch durch autodidaktisches Lernen)
- Sie müssen sich in die Angreifer/Hacker hineinversetzen können, um deren Vorgehensweise/Strategie nachvollziehen, besser vorhersehen zu können.
- Sie müssen auch „um die Ecke“ denken können, also nicht an das Offensichtliche, sondern an das scheinbar Unmögliche.
Welche Referenzen brauchen meine (künftigen) Mitarbeiter hier womöglich?
- Da wir hier von Unternehmen sprechen, die zu den kritischen Infrastrukturen gehören, wäre meine erste Wahl jemand, der bereits für die IT-Sicherheit bei einem solchen Unternehmen gearbeitet hat.
- Personen, die bei einem Beratungshaus oder bei einem Lösungsanbieter für IT-Sicherheit bereits umfangreiche Erfahrungen mit dem IT-Schutz gesammelt haben, kommen ebenfalls in Frage.
- In jedem Fall müssen die Personen entsprechende Projektreferenzen vorweisen können.
