Sicherheitsprofis: Juristisches Know-how immer stärker gefragt

Die Aussichten für Sicherheitsexperten sehen gut aus: Ihre Zahl soll weltweit von heute 1,3 Millionen auf fast 2,2 Millionen im Jahr 2008 zulegen. So lauten zumindest die Prognosen des Marktforschungsunternehmens IDC und der Zertifizierungsorganisation (ISC)2. In der von (ISC)2 durchgeführten Studie beurteilen die Security-Profis ihre eigenen Berufsaussichten als auch die Verdienstmöglichkeiten als gut bis sehr gut. Laut der (ISC)2-Umfrage verdienen mehr als 50 Prozent der Befragten 80.000 Euro und mehr. Peter Berlich, Security-Manager bei IBM in der Schweiz und Mitglied im europäischen Advisory-Board von (ISC)2 verweist darauf, dass im Gegensatz zu früher die Rolle des IT-Sicherheitsbeauftragten wichtiger geworden ist: „In vielen Unternehmen ist diese Funktion mittlerweile in der Umgebung der Geschäftsleitung etabliert.“ Das liege zum einen an dem stärkeren regulatorischen Druck, den Basel II hervorgerufen habe und zum anderen am US-amerikanischen Sarbanes-Oxley-Act, der eine genaue Einhaltung und Überwachung der Sicherheitsmaßnahmen für die meisten größeren Unternehmen notwendig mache.

Ein weiteres Beispiel sei das KonTraG (Gesetz zur Kontrolle und Tansparenz im Unternehmensbereich). Mit diesem Gesetz werde der Geschäftsführung und den Vorständen neue persönliche Verantwortlichkeiten zugeschrieben. Berlich: „Das heißt nichts anderes, als dass sie zur Risikovorsorge verpflichtet sind.“ Würden in der IT und anderswo keine geeigneten Sicherheitsmaßnahmen getroffen, würden Vorstand beziehungsweise Geschäftsführung unter Umständen persönlich haften. Darüber hinaus könne das Unternehmen nach den allgemeinen zivilrechtlichen Schadensersatzregelungen verantwortlich sein, wenn seine IT-Infrastruktur für Angriffe auf andere missbraucht werde. Auch steuerrechtlich könnten Rechtsfolgen entstehen – nämlich dann, wenn die Infrastruktur nicht revisionsfähig sei und somit die Besteuerungsgrundlagen nicht nachvollziehbar seien.

Berlich: „Gleichzeitig hat sich das Risikomanagement als Managementmethode in den Unternehmen etabliert. Hier geht es nicht mehr um Risikovermeidung sondern um die Risikoabwägung.“ Kein Unternehmen könne seine operativen Risiken managen, ohne der IT- und Informationssicherheit besondere Aufmerksamkeit zu schenken. Aus dem IT-Sicherheitsexperten, der bislang komplexe technische Einzelmaßnahmen überwacht und eingeführt hätte, ist laut Berlich der Informationssicherheitsmanager geworden, der sich am geschäftlichen Bedarf und nicht an der technischen Machbarkeit orientiert. Um diese Anforderungen erfüllen zu können, müssten die Sicherheitsexperten hervorragend qualifiziert sein. Berlich: „Die Zeiten, in denen derjenige die Security betreut, der gerade Lust und Laune oder Zeit hat, sind endgültig vorbei.“