gehört eine detaillierte Risikoanalyse. Da diese aber nur in den wenigsten Unternehmen stattfindet, haben wir es allzu oft mit Flickwerk zu tun."
Michael Dickopf, IT-Experte beim Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn, sekundiert ihm: "Wie das Thema gehandhabt wird, hängt von der Größe des Unternehmens ab. So haben mittlere Firmen zwar oft eine Firewall installiert, aber keinen Sicherheitsprofi, der für deren Überwachung zuständig ist. Dementsprechend werden Hacker-Angriffe oftmals überhaupt nicht registriert." Firmen wüssten zwar über solche Gefahren besser Bescheid als noch vor ein paar Jahren, bei der Abwehr hapere es jedoch nach wie vor an der praktischen Umsetzung: "Natürlich wollen die Unternehmen den Angreifern mit qualifizierten Sicherheitsprofis Paroli bieten - aber die gibt es nicht fertig gebacken." Nach seinen Erfahrungen sollten die Security-Experten neben ihrem Computer-Know-how über Zusatzqualifikationen im Bereich IT-Sicherheit verfügen. "Im Idealfall", erklärt der BSI-Fachmann, "sind noch organisatorische Fähigkeiten sowie soziale
Kompetenzen vorhanden."
Hans Boos, Geschäftsführer des Frankfurter Sicherheitsdienstleisters Arago, hat die Erfahrung gemacht, dass die Kunden eher Security-Profis mit Organisations- und Management-Know-how als reine Techniker suchen: "Das ist verständlich, denn sie müssen komplexe Sicherheitsprozesse in den Griff bekommen, von den Anwendern eine Änderung ihrer Arbeitsweise verlangen sowie Sicherheitsüberprüfungen und Change-Management umsetzen." Für all diese Prozesse sei neben einer fundierten technischen Wissensbasis ein großes Organisationsverständnis erforderlich. Der Arago-Vorstand: "Was man im Sicherheitsbereich nicht gebrauchen kann, ist ein Hansdampf in allen Gassen - also jemand, der von allem ein bisschen und nichts richtig kann. Ein erfolgreicher Sicherheits-Manager muss in allen Sparten der Technik fit sein."
![Hans Boos, Arago: "Am wenigsten brauchen wir jemanden, der von allem ein bisschen und nichts richtig kann."](http://images.computerwoche.de/bdb/416014/738x415_f5f5f5.webp "Hans Boos, Arago: "Am wenigsten brauchen wir jemanden, der von allem ein bisschen und nichts richtig kann."")
Für Boos steht fest, dass nicht nur die Zahl der Hacker-Angriffe massiv zugenommen hat - die Attacken seien auch gefährlicher geworden. Der Frankfurter Security-Consultant: "Je intelligenter und komplexer die Angriffe, desto professioneller müssen die Sicherheitsexperten sein." Der Arago-Chef hat deshalb kein Problem damit, auch ehemalige Hacker einzustellen. Das sind Mitarbeiter, für die das Ganze in erster Linie ein Spiel darstellt, in dem das System geschlagen, aber nicht zerstört werden soll. "Wer Schaden verursachen will, hat bei uns keine Chance", stellt er klar.