IT Sicherheitsbeauftragter – was muss der können?
IT Sicherheitsbeauftragter – was muss der können?
Der Begriff "IT Sicherheitsbeauftragter" wird häufig verwendet, doch was genau damit gemeint ist, ist nirgendwo abschließend festgelegt. Es gibt zahlreiche Ausbildungsangebote, aber weder deren Inhalte noch deren Dauer sind einheitlich geregelt.
Verschiedene Ausbildungswege zum IT Sicherheitsbeauftragten
Die Ausbildung zum IT Sicherheitsbeauftragten wird von vielen Anbietern angeboten, darunter:
- TÜV Rheinland Akademie
- Bitkom e.V.
- verschiedene Industrie- und Handelskammern (IHKs).
Die Dauer dieser Ausbildungen variiert stark:
- Kompakte Kurse: Einige Schulungen dauern nur eine Woche.
- Langfristige Programme: Andere Ausbildungen erstrecken sich über ein Jahr.
Auch der Fokus der Inhalte ist unterschiedlich:
Praktisch orientierte Ausbildungen
Manche Schulungen legen den Schwerpunkt auf technische Fertigkeiten, wie:
- Administration von Mobile Device Management (MDM);
- Einrichtung von Zwei-Faktor-Authentifizierung (2FA);
- Konfiguration von Active Directory (AD) und Single Sign On (SSO) Lösungen;
- Umgang mit Backup-Tools;
- Erkennen von Angriffen und Nutzung von Tools zum Untersuchen von Netzwerkkonfigurationen o.ä.
Theoretisch fundierte Ausbildungen
Andere Ausbildungen konzentrieren sich auf das Verständnis von Normen und Standards, z. B.:
- Grundlagen der ISO 27001;
- Aufbau und Funktionsweise eines Informationssicherheitsmanagementsystems (ISMS).
Gemischte Ansätze
Einige Anbieter kombinieren technische und theoretische Inhalte, um ein breiteres Kompetenzspektrum zu vermitteln.
IT Sicherheitsbeauftragter - Was verlangt die ISO 27001?
Interessant ist, dass der Begriff "IT Sicherheitsbeauftragter" in der ISO 27001 überhaupt nicht vorkommt. Stattdessen wird im Kontext der Norm meist vom Informationssicherheitsbeauftragten (engl. Information Security Officer) gesprochen. Doch auch dieser Begriff taucht nicht direkt in der ISO 27001 Norm auf!
Was die ISO 27001 jedoch fordert, ist folgendes:
- Berichtspflicht an die Geschäftsführung: Die Norm schreibt vor, dass die Geschäftsführung sich über den Stand der Informationssicherheit aus kompetenter Quelle im Unternehmen informieren lassen muss. Und das kanalisieren die allermeisten Unternehmen über eine zentrale Stelle: den Informationssicherheitsbeauftragten, Englisch: Information Security Officer (ISO) oder Chief Information Security Officer (CISO). Da es nicht nur um IT-Sicherheit geht, sondern um ganzheitliche Informationssicherheit, ist die Benennung hier eben auch nicht "IT Sicherheitsbeauftragter".
- Nachweis der Kompetenz: Auditoren prüfen oft, ob es einen Informationssicherheitsbeauftragten gibt und welche Qualifikationen diese Person mitbringt.
Fazit: Welche Ausbildung ist die richtige?
Die Wahl der richtigen Ausbildung hängt davon ab, welche Rolle der IT Sicherheitsbeauftragte in Ihrem Unternehmen übernehmen soll:
- Wenn ein ISMS gemanagt werden soll: Eine Ausbildung mit Schwerpunkt auf der ISO 27001 und dem Aufbau eines Informationssicherheitsmanagementsystems ist empfehlenswert (und dann auch die Benennung "Informationssicherheitsbeauftragter" - nicht "IT-Sicherheitsbeauftragter").
- Wenn es darum geht, IT-Infrastrukturen gegen Angriffe und missbräuchliche Nutzung abzusichern: Eine praxisorientierte Schulung mit technischem Fokus ist sinnvoll.
Unser Tipp
Überlegen Sie sich zuerst einmal, welche Tätigkeitsschwerpunkte Ihr IT- oder Informationssicherheitsbeauftragter haben muss. Danach können Sie über die passende Weiterbildung entscheiden.
Wichtig ist: wenn es später mal zu einem Audit kommt, sollten die Kenntnisse und Fähigkeiten nachweisbar sein. Ein "Ich habe da vor 2 Jahren mal einen Udemy-Kurs geschaut, kann aber auch 3 Jahre her sein." reicht eher nicht.
Interesse geweckt?
Möchten Sie mehr zum Thema ISO 27001 wissen? Dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!