IT-Sicherheitskoordinator:
Strategien für einen sicheren Informationsfluss
Informationen gehören zu den wichtigsten Ressourcen eines Unternehmens. Sie vor den Augen Unbefugter zu schützen und gleichzeitig für Autorisierte verfügbar zu machen, ist Aufgabe von (IT)-Sicherheitsmanagern wie Florian Steffens (32).
„Wir kümmern uns nicht nur darum, dass die Daten auf unseren Computern und Servern vor dem Zugriff von außen geschützt sind“, sagt Florian Steffens. „Für uns ist genauso relevant, dass vertrauliche Akten nicht auf dem Schreibtisch unbeaufsichtigt herumliegen“ Der 32-Jährige ist Leiter des IT-Sicherheitsmanagements bei Dataport, einem IT-Dienstleister für die öffentliche Verwaltung, der unter anderem Rechenzentren für Kommunen und Bundesländer betreibt. „Auch intern können Informationen in die falsche Hände geraten. Das ist unter Umständen ein Risiko. Es muss noch nicht mal eine böswillige Absicht dahinter stecken. Fehlende Expertise kann ebenfalls großen Schaden anrichten“, erklärt er und schildert das Beispiel eines unbedarften Administrators, der durch die falsche Konfiguration einer Software ein ganzes Rechenzentrum lahmlegt.
Er und sein Team entwickeln, implementieren und evaluieren Sicherheitskonzepte, damit genau so etwas nicht passiert. Dabei haben sie sowohl vorsätzlichen Datenmissbrauch und Angriffe auf die Funktionalität, als auch Fahrlässigkeit und die technische Anfälligkeit im Blick. Ganz wichtig sei die Risikobewertung, um die Systeme und Daten zu schützen, die systemkritisch für die Arbeitsabläufe sind. „Wenn so eine Datenbank oder so ein Service zu lange ausfällt, ist das der Supergau. Die technische Funktionalität sicherzustellen, die Verfügbarkeit, ist das, was mich in diesen Job geführt hat. Ich mag Software, die funktioniert“, sagt er und betont, dass es in seiner Arbeit nicht darum geht, Informationen bestmöglich abzuschotten. „Wir schützen nicht in erster Linie vor dem bösen Internet. Wir tun alles dafür, dass unsere Kunden, die Digitalisierung zu ihrem Vorteil nutzen können.“
Dies gelingt zum Beispiel über Regelwerke, die genau definieren, wer in welcher Rolle, wann und unter welchen Bedingungen Fernzugriff auf einen bestimmten Server hat. „Wir schauen uns die Gesamtheit der Systeme oder Prozesse an, spüren mögliche Lücken auf, und überlegen uns Strategien, um diese zu schließen“, sagt er und betont, dass die technische Umsetzung von Firewalls, Backups oder Penetrationstests nicht zu seinen Aufgaben gehört. „Die E-Mail ist manchmal unsere stärkste Waffe. Die Entwicklung der Regeln ist das eine, die Menschen dazu zu bringen, diese umzusetzen, das andere“, lacht er.
Florian Steffens hat Wirtschaftsinformatik studiert, schon immer viel programmiert und ist vor viereinhalb Jahren zu Dataport gekommen. Seit drei Jahren ist er Gruppenleiter. Die Kombination seines BWL- und IT-Know-hows habe ihm geholfen, so schnell aufzusteigen. „Sicherheitsmanagement ist dann erfolgreich, wenn es als Treiber gesehen wird“, sagt er und schildert, dass er IT-Sicherheit sowohl dem Vorstand als auch den Abteilungsleiterinnen und -leitern näher bringen muss. Etwa die Hälfte der Arbeit verbringe sein Team damit, Konzepte zu entwickeln, die andere Hälfte mit Überzeugungsarbeit. „Der analytische Anteil unsere Arbeit ist sehr hoch. Zudem sollte man Fingerspitzengefühl haben, um Veränderungen moderieren und Konflikte klären zu können. Das ist fast wichtiger als tiefgehendes IT-Know-how“, sagt er. Quereinsteiger mit geistes- oder sozialwissenschaftlichem Hintergrund sowie Interesse an Informationstechnologien brächten ebenso gute Grundlagen mit.
Perspektivisch können IT-Sicherheitsmanagerinnen und IT-Sicherheitsmanager bis zum/zur verantwortlichen Sicherheits- und Compliance-Beauftragten aufsteigen. Florian Steffens sieht sich nicht in dieser Rolle. „Ich bleibe gern bei dem, was ich jetzt mache: Ich will weiter dafür sorgen, dass Software funktioniert.“
Vielen Dank für dein Feedback zu dieser Seite! Deine Kritik oder dein Lob zu abi.de kannst du uns gerne auch ergänzend über „Kontakt“ mitteilen. Deine abi» Redaktion
