Chief Security Officer auf verlorenem Posten Marc Ruef | 12.01.2009 Eine bezüglich ihrer Wichtigkeit nicht zu unterschätzende Position in einem Unternehmen ist der Chief Security Officer (CSO). Der Sicherheitsbeauftragte einer Firma ist dafür zuständig, sich um die Sicherheitsfragen seines Arbeitgebers zu kümmern. Manchmal wird ein Chief Information Security Officer (CISO) (http://ciso.issa.org/), der sich ausschliesslich um die elektronische Sicherheit kümmert, definiert. Zu seinen Aufgaben gehören in erster Linie das Bestimmen der Vorgaben (Richtlinien/Policies), Umsetzen von Massnahmen (Empfehlungen/Optimierungen), Prüfung der Gegebenheiten (Controlling/Audits). Es gibt dabei eigentlich zwei Angliederungen, die einem CSO/CISO zuteil werden können. Anhand des besagten Kürzels liegt es nahe, diesen direkt in der Geschäftsleitung zu positionieren. Also quasi als Stabsstelle des höheren Managements. Dadurch wird der Leitsatz "Sicherheit ist Chefsache" durchsetzbar. Indem der CSO/CISO dem obersten Management den Status mitteilt und seine Empfehlungen ausspricht, kann durch Delegierung um eine umfassende Umsetzung dieser bemüht werden. Soweit, sogut. Nun gibt es auch noch die andere Möglichkeit, den Security Officer irgendwo der IT-Abteilung anzugliedern. Auf der Ebene des mittleren Managements ist er eine Pseudo-Stelle, die dem IT-Leiter unterstellt ist. Der Security Officer darf zwischendurch seine Bedenken (engl. concerns) äussern. In 95 % der Fälle heisst es aber dann, dass man keine Zeit für diese unnütze Sicherheit verschwenden möchte, da man sowieso schon mit dem Daily-Business überfordert wäre - Sicherheit ist ein Luxus, den man sich dann weder leisten kann noch leisten will! Das Resultat dieser Angliederung ist, dass der Security Officer eigentlich kein Mitspracherecht hat. Seine Aufgaben kann er sodann nur wahrnehmen, wenn die Güte durch die IT-Abteilung aufgebracht werden will. Unbequeme Situationen, und Security Audits gehören immer dazu, kehrt man dann halt lieber unter den Tisch: "Pah, es ist ja sowieso nie etwas passiert und überhaupt lassen sich so grosse Investitionen in die IT-Sicherheit gar nicht rechtfertigen..." Es fragt sich in solchen Fällen, ob es überhaupt noch sinnvoll ist, die Stelle des Security Officers zu besetzen. Man könnte auch gleich einen kleinen Hund organisieren, der zur allgemeinen Belustigung der Belegschaft irgendwelche Tricks vorführt: "Hol den Ball!" Das ist keine Herabwürdigung der vielen Security Officers, die sich genau in dieser schwierigen Situation befinden und für die Sicherheit ihres Unternehmens kämpfen. Viel mehr spiegelt sich hier meine Wut darüber wider, dass gewisse Strukturen sich auf ihre Ineffizienz auch noch etwas einbilden. Ich kann mit den Security Officers mitfühlen, die tagtäglich gegen die Mühlen ihres Unternehmens ankämpfen. Spätestens dann, wenn ich mich bei der nächsten Abschlusssitzung über die herablassende Verhaltensweise des vorgesetzten IT-Leiters ärgere.