​

Heutzutage wird alles als Chefsache verkauft.

• Marketing ist Chefsache
• Buchhaltung ist Chefsache
• Employer Branding ist Chefsache
• Digitalisierung? – Klar, Chefsache!
• Reinigung? – You name it! Der erste Eindruck zählt schließlich.
• Kaffeequalität? – Aber hallo! Die Motivation der Mitarbeiter hängt davon ab.

Und jetzt kommt auch noch IT-Security dazu. *seufz* Was heißt das denn genau? Als Chef konfiguriert man doch keine Firewalls?! Aber sprechen wir erst mal über die Basics!

Was bedeutet Verantwortung?

"Aus großer Kraft, folgt …" Halt, Stop! 🛑 Wir haben keine Zeit für leere Floskeln, es gibt hier sowieso nur zwei Möglichkeiten: Du kannst die Verantwortung für das Ergebnis, oder die Umsetzung übernehmen. Nehmen wir mal an, du bestellst dir bei einem Bauträger eine neue Garage. Der Bauträger ist für das Ergebnis verantwortlich. Die Sub-sub-sub-sub-sub-Firma (Baubranche halt 🤷‍♂️) ist für die Umsetzung verantwortlich. Wenn die Garage drei Tage später einstürzt, dann hat das der Bauträger zwar nicht persönlich gemacht, aber er trägt trotzdem die Verantwortung. Hätte er aber einen Polier beauftragt, um den Baufortschritt zu überwachen, wäre das nicht passiert.

Bei der IT-Sicherheit ist das genauso. Die IT setzt die Server auf, installiert die Clients und konfiguriert die Firewalls (Umsetzung). Wenn es zu einem IT-Sicherheitsvorfall kommt (Ergebnis), ist die Geschäftsleitung trotzdem verantwortlich. Würdest du die Abnahme dem IT-Betrieb überlassen, wäre das ungefähr so, als würden zwei Wölfe und ein Schaf darüber abstimmen, was es heute zu Mittag gibt. Das funktioniert einfach nicht! 🐺 🐑 🐺

Long story short: Solange die Firma keine eigene IT-Security-Stabsstelle hat, ist die Geschäftsführung definitiv verantwortlich und es ist also doch Chefsache! 🤷‍♂️

Was bedeutet das konkret?

Der Geschäftsführer muss natürlich keine Server härten, Firewalls konfigurieren und auch kein Pentester sein. Es ist trotzdem hilfreich, die Zusammenhänge und Wechselwirkungen der Komponenten zu verstehen.

IT-Sicherheit kann nämlich zu einem echten Geschäftsrisiko werden, wenn man sie nicht im Blick hat. Wenn sich niemand aktiv darum kümmert, hat man nicht sofort ein großes Problem, aber mit großer Sicherheit (🤡) bald schon.

Es ist so, als wenn Arbeiter auf der Baustelle nur sporadisch einen Helm tragen würden. Das geht heute gut und morgen auch. Vielleicht noch diesen Monat und sogar noch nächstes Quartal, aber irgendwann passiert etwas. Jemand wird verletzt, fällt eine längere Zeit aus, die Unfallversicherung stellt Fragen wegen dem fehlenden Helm, es gibt drakonischen Pönalen, negative Publicity, und so weiter.

Und wenn schon die Geschäftsführung IT-Security nicht ernst nimmt, wer dann? Damit sie überhaupt wirkt, muss sie in der Firma einen hohen Stellenwert haben. Du musst zwar in IT-Security investieren, aber es reicht nicht, einfach nur Geld auf das Problem zu werfen. IT-Sicherheit ist halt nicht nur eine technische Sache, sondern hat vor allem auch mit menschlichem Verhalten zu tun.

Was muss der Chef wirklich tun?

Das Umdenken in Richtung IT-Security muss von der Chefetage, bis zu den ausführenden Mitarbeitern gehen. Am besten, du teilst die Aufgaben ein und gibst Verantwortung weiter.

Dazu gehören im Wesentlichen folgende Themen:

• Planung der IT-Security-Strategie
• Planung des Budgets
• Marketing-Strategie zur internen Kommunikation
• Delegieren der Umsetzungsverantwortung
• Delegieren der IT-Security Risikobewertung
• Reporting-Prozess bei IT-Security-Incidents

Es kann sein, dass du als Chef anfänglich ein paar dieser Aufgaben selbst übernimmst, oder auch in externe Hände gibst. Das ist völlig normal und in Ordnung. Du musst nur den Rahmen abstecken und auch klar kommunizieren. Jeder muss wissen, was er zu tun hat, wie weit er gehen kann und wann es Zeit ist, den Ball jemand anderem zuzuspielen.

Ein IT-Security Risiko Management hilft echt bei der Priorisierung der ganzen Themen, die sich da auftun. Damit kannst du erkennen, welche kritischen Prozesse deine Firma hat und was alles dranhängt. Spoiler-Alert: Es ist mehr, als man denkt.

Wenn zum Beispiel ein Office-Computer die CNC-Maschine programmiert, dieser aber auch für Internet und E-Mail verwendet wird, dann könnte eine Phishing-Mail die ganze Produktion lahmlegen. 🤯

Aber das Wichtigste ist, dass du eine unabhängige Stelle für IT-Security schaffst. Sie muss dem internen IT-Betrieb bzw. dem externen IT-Dienstleister, aber auch anderen Abteilungen kritische und unangenehme Fragen stellen dürfen. Das führt zu einem Interessenskonflikt. Wenn du niemanden dafür hast, hol dir am besten einen Externen.

Vergleiche es einfach mit einem Audit. Das macht ja auch eine Fremdfirma und nicht die Barbara, die schon seit über 10 Jahren in der Firma ist, mit der sich alle super verstehen, weil sie mit niemandem aneckt. Natürlich nur, wenn man an realen Ergebnissen interessiert ist. 😉

Fazit

Der Chef macht keine IT-Security, er MACHT sie aber zu seiner Verantwortung.

Er kommuniziert die Priorität innerhalb der Firma, delegiert die Verantwortlichkeiten, entscheidet wie mit Risiken umgegangen wird und stellt das Budget dafür bereit. Die Kaffeequalität ist trotzdem maßgeblich entscheidend für den Erfolg! 🤓 ☕