Von den Sorgen eines ISB, Teil I.

Jan 15, 2022 | Blog

Wir sind gerne sicher. Es ist einfach ein gutes Gefühl. In einer fortgeschrittenen Industriegesellschaft leben die meisten von uns sogar in einem so gut abgesicherten Alltag, dass sie sich damit beschäftigen können, Risiken zu suchen, um wenigstens ein bisschen Nervenkitzel zu bekommen.

Der Alltag eines ISB sieht allerdings anders aus. Die Sorge eines ISB gilt der Sicherheit. Es ist sein Beruf, und bei Vielen ist es auch eine Haltung. Es gehört zur leidvollen Folklore der Informationssicherheitsbeauftragten, dass ihre Sorge um Sicherheit nicht gerne gehört wird. Und wenn aus der Sorge um Sicherheit Vorsorge für Sicherheit werden soll, weswegen Änderungen bewährter und liebgewordener Abläufe verlangt werden und darüber hinaus auch noch Geld und Zeit, dann wird das Thema „Sicherheit“ schnell unbequem. Und der Informationssicherheitsbeauftragte gleich mit.

Der ISB als Storyteller
Unversehens sieht sich der ISB in der Rolle eines Geschichtenerzählers. Er muss das, von dem er weiß, dass es sein muss (weil sonst sein Unternehmen oder seine Behörde Schaden nimmt) in eine Geschichte verpacken, die ihm seine Entscheider glauben. Und warum? Er weiß, dass seine Warnungen und Vorschläge (ja, Vorschläge sind auch Schläge) nicht gerne gehört werden.

Das ist nichts Außergewöhnliches. Neue Wahrheiten werden nur dann gerne geglaubt, wenn sie zu jenen alten Weisheiten passen, die bisher gut durchs Leben geführt haben – das geht allen so. Und so geht es auch den organisationsschuldnerisch Verantwortlichen, die darüber entscheiden müssen, wie sie mit den offensichtlichen Gefahren des Cyberspace umgehen sollen.
Es erinnert ja tatsächlich an eine Situation wie im Märchen. Der Protagonist bekommt eine Aufgabe. Die kann er aber nur bewältigen, „wenn er in den dunklen Wald geht, der voller Gefahren ist“. Mit der richtigen Strategie kommt der Protagonist ans Ziel, mit der falschen Strategie scheitert er.
Organisationsschuldnerisch Verantwortliche? Aus der Sicht des ISB gibt es in der Welt der Unternehmen, der Behörden und der Home Offices drei Typen von „organisationsschuldnerisch Verantwortlichen“ – das sind die, die für das, was schiefgeht, am Ende geradestehen müssen.