1. Über welches theoretische Wissen müssen zukünftige Fachkräfte im Information Security Management verfügen?
Informationssicherheitsmanagement ist ein breites Feld und definitiv eine Querschnittsfunktion, die alle Unternehmensbereiche berühren muss. Um als Business Partner anderer Fachbereiche wahrgenommen zu werden und auf Augenhöhe diskutieren zu können, sind Kenntnisse in den wirtschaftswissenschaftlichen Grundlagen der Unternehmensführung unerlässlich. Darüber hinaus zählen Elemente wie Prozessmanagement, Risikomanagement, Wirtschats- und Informationsrecht und natürlich auch die relevanten Gebiete des Informationsmanagements zu denjenigen Bestandteilen des Methodenkoffers, die beherrscht werden müssen. Darauf aufbauend ist die Notwendigkeit von Information Security Managment aus interner und externer Sicht zu beleuchten. Auch wenn die Ziele ähnlich sind, so unterscheiden sich die Zugänge, bzw. die Wahrnehmungen in der Bedeutung, ganz erheblich voneinander. In vielen Fällen ist Information Security Management von Compliance oder rechtlichen Vorgaben getrieben. Es liegt auf der Hand, dass diese einschlägigen Vorgaben und Standards soweit bekannt sein müssen, dass sie interpretiert werden, Maßnahmen gesetzt und diese einer Bewertung zugeführt werden können. Die interne Sicht richtet sich dagegen primär am Informationswert aus und welchen Wertbeitrag “die Information” zum Unternehmenserfolg liefert. Wenn man “die Information” schützen soll, ist es hierzu notwendig, eine klare Vorstellung davon zu haben, was Information ist, zumindest aber, was sie nicht ist und wie sie sich zu anderen Begrifflichkeiten wie Wissen und Daten abgrenzt. Final ist dann noch das nötige Rüstzeug zu erwerben, wie man die Aspekte der Vertraulichkeit, Integrität und Verfügbarkeit aus organisatorischer und technischer Sicht sicherstellt. Die größte Herausforderung stellt aber definitiv die Integration dieser unterschiedlichen Disziplinen und Aufgaben dar und wie diese – auch im Kontext der eigenen Erfahrung – verortet werden können.

2. Sie lehren “Information Security Management in der Praxis”, welche Praxisbeispiele bearbeiten Studierende während des Lehrgangs?
Das ist sehr unterschiedlich, der Fokus hängt immer vom konkreten Stoffgebiet ab. Die Studierenden entwerfen z.B. anhand einer kurzen Case Study eine Information Security Policy und schlagen konkrete Schritte zur Implementierung vor. Das Ergebnis ist dann vor einem simulierten Management Board zu präsentieren. Um die Sache etwas anregender zu gestalten, werden hier z.B. kurz vor Ende noch gravierende Änderungen an der Organisationsstruktur, Pressemeldungen über Datenverlust, etc. in die Gruppen eingespielt, die gegebenenfalls eine Überarbeitung des Bisherigen notwendig machen – Zeit für Änderungen bleibt aber kaum mehr. Oder es werden den Vertretern des Management Boards (das aus den jeweils anderen Studenten besteht) spezielle Rollen zugewiesen – vom Besserwisser über den Sparer bis zum Nörgler ist hier alles vertreten. In beiden Fällen müssen sich die Studenten Situationen stellen, die auch im realen Leben anzutreffen sind.

Andere Beispiele umfassen ein Planspiel zum Kontinuitätsmanagement und zur Kirsenkommunikation, das ebenfalls auf einer kleinen Case Study aufsetzt, sich über mehrere Stunden hinzieht und ebenfalls sowohl inhaltliche als auch gruppendynamische Effekte enthält. Aber auch sehr hausbackene Übungen, wie die Modellierung eines IT-Verbundes nach dem BSI Grundschutz, stehen auf dem Lehrplan.

Wichtig ist uns hier immer, dass die Studenten neben der Abarbeitung der eigentlichen Tätigkeiten ausreichend Raum für Diskussionen bekommen und ihre eigenen Erfahrungen einbringen können.

3. Welche Trends kommen, im Bereich Information Security Management, auf Fachkräfte zu?
Die “Entgrenzungstrends” werden wohl noch zunehmen. Sowohl was die Auflösung klassischer Unternehmensgrenzen und -verantwortlichkeiten betrifft, als auch hinsichtlich der zunehmenden Verflechtung zwischen Privat- und Arbeitsleben. Schon jetzt stehen Social Media, BYOD und das mobile Arbeiten auf der Agenda der meisten Unternehmen. Unbedingt einfacher wird die Arbeit für Information Security dadurch nicht, zumal die “Privatperson” von der “Firmenperson” kaum mehr nach zeitlichen und räumlichen Gegebenheiten unterschieden werden kann. Die zielgruppenspezifische Aufbereitung von Konzepten wird dramatisch erschwert. Will man aber im Unternehmen keine Mehr-Klassen-Gesellschaft bilden, so sind diese Konzepte wohl einheitlich umzusetzen. Die Unternehmen stehen somit vor dem Problem, dass nicht alle Personen mit den ihnen in die Hand gegebenen Betriebsmitteln vertraut sind. Die Komplexität und damit das Risiko der “Fehlbedienung” ist aber enorm. Privat mag das den MitarbeiterInnen egal sein, aber in Ermangelung einer strikten Trennung zwischen Berufs- und Privatleben inklusive der zugehörigen Geräte muss das Maximalprinzip des Schutzes aus Sicht des Unternehmens greifen. Nur das reduziert dann wieder den Coolness-Faktor und wird selten als notwendig erkannt. Information Security Management schafft nicht die Quadratur des Kreises und kann nur gemeinsam mit dem Linienmanagement im Vorfeld hierfür eine Lösung suchen.

Ein weiteres Thema, das verstärkt sichtbar wird, ist die Frage nach dem “dürfen was man kann”. Egal ob Big Data, Cloud, Internet of Things oder Machine Learning als Stichworte herangezogen werden. Möglich ist Vieles, erlaubt nur Weniges. Datenschutz und Compliance sind in Unternehmen zwar oft an anderer Stelle aufgehoben, aber Information Security bringt hier in der Regel auch das nötige Grundwissen mit, da in weiterer Folge der Schutz der sensitiven Daten in ihren Bereich fällt. Zumindest bei Unternehmen, die sich dem Ernst der Sachlage bewusst sind, wird hier enormer Druck entstehen: Erstellung von Bewertungsmethoden für das Risikomanagement und Vorgaben für den operativen Einsatz aus Sicht des Information Security zu treffen. Und das Ganze auch noch über unterschiedliche Partner und womöglich Rechtssysteme hinweg.

Vielleicht findet sich aber auch bald wieder der Begriff des Vertrauens im Repertoire von Information Security. Auf der einen Seite verschwimmen die Grenzen zwischen Privat- und Berufsleben aufgrund der Forderung nach Agilität und Freiheit, auf der anderen Seite gibt es die Tendenz zu noch mehr Prüfung und Kontrolle. Auf der einen Seite wird “gesunder Pragmatismus” gefordert, auf der anderen Seite das Befriedigen von oft leeren Compliance Vorschriften. Über die damit einhergehenden kognitiven Dissonanzen wird geschwiegen, ebenso wie über die Transaktionskosten. Vielleicht sollte Vertrauen als bewusstes Pre-Investment zumindest im Information Security Bereich untersucht werden.

4. Für welche beruflichen Tätigkeiten qualifiziert der MSc Information Security Management?
Betrachten wir einfach den Begriff näher und teilen wir diesen in seine drei Bestandteile auf. Information. Security. Management. Allen drei Teilen wird ihm Rahmen des Lehrgangs ausreichend Zeit gewidmet. Information kommt überall vor, die diskutierten Methoden sind vielfältig. Eine Tätigkeit im Bereich der Unternehmenssteuerung (z.B. Risiko Management, Qualitätsmanagement, Controlling etc.) ist ebenso denkbar, wie im Bereich des Informationsmanagement und Wissensmanagement. Natürlich liegt auch das Berufsbild des Revisors nahe an dem des Information Security Managers. Mit dem erworbenen, allgemeinen betriebswirtschaftlichen Hintergrund ist aber auch ein Einsatz in klassischen Führungspositionen möglich. Außerhalb von Stabsstellen zumindest dann, wenn auch das notwendige industriespezifische Know-How vorhanden ist.

Diese Multivalenz wird aber natürlich von fast allen Disziplinen für sich in Anspruch genommen. Persönlich würde ich daher dazu raten, das vom Einzelfall und von den Interessen der jeweiligen Person abhängig zu machen. Ein guter Indikator sind hier wohl Projektarbeit, Masterthese und Prüfungsresultate. Die zeigen aus meiner Erfahrung schon recht gut, wo die Person ihre Schwerpunkte setzt oder gesetzt hat.

5. Welche Organisationen/Unternehmen benötigen die Kompetenzen der Information Security Management AbsolventInnen?
Alle. Wenn wir wieder auf die externale Motivation zurückkommen, so erwächst aus rechtlichen Rahmenbedingungen jedem Unternehmen (unabhängig von der Größe) die Verpflichtung zur ordnungsgemäßen Geschäftsführung. Information Security Management kann als integraler Bestandteil eines internen Kontrollsystems gesehen werden, übernimmt zumindest ansatzweise die Agenden des Datenschutzes und kümmert sich um das Kontinuitätsmanagement, betreibt Risiko Management und zeigt den Wert von Information auf. Wer im Unternehmen aus struktureller Sicht diese Aufgaben wahrnimmt, wie also die Abteilung heißt, aus der die Leistung erbracht wird, ist dabei sekundär. Ebenso sind aufgrund der unterschiedlichen Modelle (z.B. Revision, Risiko Mangement, Information Security Management, …) Überschneidungen nicht zu vermeiden. Der Methodenkoffer ist jedoch meist recht unterschiedlich und sollte bei der Vergabe der Aufgaben gemäß der erwarteten Ergebnisse entsprechend berücksichtigt werden.

Eines ist aber sicher: Information Security rules!