Avatar von KT_Elwoood
  • KT_Elwoood

144 Beiträge seit 04.12.2016

Problem der "IT-Sicherheit"

Was viele von dem Katalog erwarten ist eine art "Stiftung Wahrentest" für IT-Sicherheit.
Am besten mit einem Geizhals-link welche Produkte man dafür kaufen muss und ein Konfigurationsleitfaden für den Azubi. IT-Sicherheit ohne normen bla bla....ironischerweie am besten auf einem doppelseitigem DIN A4 ausdruckbar.

Andere wollen sich am liebsten garnicht sagen lassen, wie sie was zu machen haben. Sie haben eh die dicksten Eier und wissen wie der Hase läuft. Da können die Behördenfuzzis ja garnicht mithalten.
Privatwirtschaftliche IT-Sicherheitsberater machen alles vieel besser. Siehe Deloitte. 1000,2000, 10.000 $ Tageshonorare...und das Unternehmen selber ...naja die News gibts ja hier auch. Viele schwätzen einfach nur, haben den Durchblick in ihrer Nische, aber den Gesamtüberblick verlieren sie gerne. Unter Mittelstand versteht man unternehmen die zwischen 500 und einigen Tausend Mitarbeitern beschäftigen. "KMU" fangen so bei 200-300 An. Und da sind nicht nur Leuchten dabei, und wenn der "dicke Eier Mann" nicht in jeder Außenstelle sitzt, dann geht da auch mal was schief.

Und hier ist der Knackpunkt.

Dem BSI ist hier was entglitten.
Der IT-Grundschutzkatalog richtet sich strategisch eigentlich garnicht an die Fachabteilung, sondern an die Geschäftsführung, auch wenn BSI so wie viele GeschäftsführerInnen das garnicht kapieren. Genauso wenig die lautstarken Fachidioten die das Thema sofort für sich besetzen.

Wer sich den Katalog anschaut und meint "Das ist für die EDV" müsste schnell bemerken das diese plötzlich ungeahnte Kompetenzen haben muss.

Sie soll jeden Mitarbeiter schulen, nicht nur in technischen, theoretischen Belangen der IT sondern auch der eignen Regeln, der rechtlichen Situation und der Bedrohungslage. Vielleicht auch den sozi-ökonimischen Spätuswirkungen des Indo-Chinakrieges. Auf jedenfall erstmal für alles sensibilisieren.

Am besten soll "die EDV" gleich noch einen Wesenstest machen, soll Brände und andere Katastrophen verhindern, oder die IT-Infrastruktur dagegen abhärten.
Plötzlich muss jeder Mitarbeiter zufrieden sein, natürlich für den IT-Sicherheit. Er könnte ja sonst mit einem USB-Stick WER-WEISS-WAS anstellen...und das ist ja dann auch irgendwie wieder EDV. Wir aber Zufriedenheit herstellen, wenn die Firewall schonwieder "Russenschlampen.ru" blockt ?
Zur Informationssicherheit gehört dann plötzlich auch die Planung von Gebäudeauslegung gegen "Bunkerbrechende Rakten".

Aber nicht nur der einfache Mitarbeiter (50+, Windows, Computerbild und Tv-spielfilm Abonennt) soll sensibilisiert werden, nein auch "Das Management".

Und hier kackt sich das Lama selbst auf den Kopf.
Nicht die IT-Abteilung ist dafür zuständig, das die Bude nicht abfackelt, die Mitarbeiter nicht ihre Desktops mit nach hause nehmen und die Unternehmensdaten auf Ebay verkaufen...nein..das ist "Das Management".

Der Grundschutzkatalog enthält mindestens 65% Empfehlungen für eine moderne Unternehmensführung, und sollte von dieser Seite aus gelesen werden, damit man auch technische Belange der Fachabteilung nachvollziehen kann.
Andersherum muss auch die IT-Abteilung, wenn ihr schon das "Babysitting" aller Mitarbeiter auferlegt wird Kompetenz in die richtung der Personalführung entwickeln. Für diese neue Verantwortung sollte man dann aber auch neue Stellen schaffen, oder besser bezahlen.

Bewerten
- +
Anzeige