Erstaunlich viele meiner Freunde und Bekannten haben kein LinkedIn. Das Folgende habe ich dort über meine aktuelle Rolle gepostet. Damit es alle lesen können, auch hier!
Plötzlich ISB
Wie erwähnt, fremdle ich mit LinkedIn. Aber für meine bisherigen Erfahrungen fällt mir kein anderer Ort ein, um sie zu teilen. Jedenfalls: Ich bin jetzt ein halbes Jahr Informationssicherheitsbeauftragter (ISB) der DAHAG Rechtsservices AG. Wie’s dazu kam? Gute Frage.
Mitte letzten Jahres kam der Vorstand unseres Unternehmens eher „out of the blue“ auf mich zu und fragte, ob ich mir diese Rolle vorstellen könne. Ich denke, die wesentlichen Argumente, das an mich heranzutragen, waren: Ich bin im Unternehmen ganz gut vernetzt; ich kann Kommunikationsströme aufrechterhalten; und ich kann mich gut in „diffuse“ Projekte ohne klar strukturierten Anforderungskatalog einarbeiten. Außerdem habe ich eine mittelgradige IT- und Technik-Affinität.
Trotzdem war mir zunächst nicht ganz klar, was ein Nicht-IT-Mensch auf dieser Stelle tun soll: Muss man nicht wenigstens zwei Semester elliptische Kurven studiert haben, um zumindest eine fundierte Meinung zu kryptographischen Verfahren parat zu haben? Naja, wie so oft hilft ein Blick in die Norm bei der Entscheidungsfindung. Einen ISB schreibt nur der „BSI Grundschutz“ vor, und der sagt: „Ein ISB sollte Erfahrung und Wissen sowohl auf den Gebieten der Informationssicherheit als auch der IT besitzen. Darüber hinaus sollte er die Geschäftsprozesse der Institution kennen.“ Ja, die Checkbox würde ich anhaken.
Was tut man nun als ISB? Das weiß ich auch noch immer nur zu 75%. Man installiert und managt ein Informationssicherheitsmanagementsystem (ISMS) und schlägt sich mit komischen, der Normalbevölkerung unbekannten Abkürzungen herum (ISB, ISMS, DORA, NIS, …). Zur ISMS-Pflege gehören vor allem viele kleine Projekte, die hoffentlich irgendwann Prozesse werden: Pentests koordinieren, Dokumentenmanagement aufziehen oder adaptieren, über Vorfälle kommunizieren, das Justiziariat zu Vertragsgestaltungen beraten usw. Sehr viele Baustellen, sehr viel Aufbauarbeit (und vielviel Content für diesen LinkedIn-Feed).
Da die LinkedIn-Community Bilder und Analogien liebt: Ein bisschen fühlt sich das an wie der Versuch, einen 4 Meter breiten, seichten Fluss mit einer Brücke zu überbauen. Die Aufgabe ist an sich machbar. Man weiß theoretisch, was man braucht, und hat auch eine Intuition, wie das statisch funktionieren müsste. Es ist eine Aufgabe, die tausendmal erledigt wurde und kein Studium erfordert. Aber womit genau fängt man an? Wie heißen überhaupt alle Teile der Brücke? Wo befestigt man sie und woher bekommt man das Material? Wie prüft man sie auf Belastbarkeit, ohne in den Fluss zu fallen (was nur nervig, nicht einmal gefährlich wäre)? Wer berät einen, wie man das macht – ohne einem einfach die Brücke zu bauen, denn man will ja eigentlich etwas über Brücken lernen?
Irgendwie stehe ich jedenfalls auch nach 6 Monaten noch am Anfang. Daher die Frage an das mitlesende Publikum: Wie geht ihr mit Aufgaben um, für die ihr euch kontinuierlich nur so halb equipped fühlt?