ALAKEEL

Compliance-, Governance-, und Sicherheitsmanagement-Rolle

Das wichtigiste:

  • ISO 27001 – Must-have, wichtigste Norm
  • NIS2 – Pflich für EU-Unternehmen
  • IT-Grundschutz / BSI Mindeststandards (Optional, aber hilfreich)
  • Governance, Risk & Compliance (GRC)
  • ISO/IEC 27000 Serie

In dieser Rolle geht es nicht um eine rein technische Stelle – sondern um eine Compliance-, Governance- und Sicherheitsmanagement-Rolle.
Dafür brauchst du strategisches Wissen, nicht zwingend tiefes Pentesting- oder Admin-Level-Know-how.

1. NIS2 gründlich verstehen

  • NIS2 ist eine EU-Rechtlinie für Cybersicherheit.
  • Einfach gesagt: bestimmte Unternehmen in der EU müssen ihre IT-Sicherheit auf ein bestimmtes Niveau bringen und das auch nachweisen.

Warum brauchen wir NIS2?

  • Viele Firmen sind zu schlecht abgesichert
  • Angriffe auf kritische Bereiche (Energie, Gesundheit, Transport, IT-Dienstleister, etc.) können ganze Länder treffen
  • Firmen wurden bisher oft nicht ernsthaft gezwungen, etwas zu tun -> daher sagt NIS2: Ihr müsst IT-Sicherheit organisiert, messbar und verbindlich umsetzen

Für wen gilt NIS2?

  • Kritische Sektoren (Energie, Verkehr, Gesundheit, Wasser, Banken, Finanzmarkt, Raumfahrt, Digitale Infrastruktur, Öffentliche Verwaltung)
  • Wichtige Dienste (Cloudanbieter, Rechenzentren, Managed Services, bestimmte Hersteller, digitale Dienste)
  • Auch mittelgroße Unternehmen können betroffen sein, wenn sie in einem dieser Bereiche arbeiten oder wichtige Zulieferer sind.

Strategische Compliance heißt hier:
Du hilfst Unternehmen einzuordnen, ob sie betroffen sind – und was sie tun müssen.

Was Verlangt NIS2 von einem Unternehmen?

Das Unternehmen muss zeigen können:

  • Wir kennen unsere Risiken
  • Wir haben Maßnahmen umgesetzt
  • Wir melden schwere Vorfälle
  • Die Geschäftsführung ist eingebunden und verantwortlich

Jetzt etwas genauer!

  • Risiko-Management
    • Das Unternehmen muss:
      • Risiken für seine IT & Prozesse analysieren (Was kann passieren? Wie schlimm wäre das?)
      • Maßnahmen festlegen, um diese Risiken zu reduzieren
      • Das Ganze regelmäßig prüfen und aktualisieren
    • Beispiel:
      • Risiko: Ransomware legt Produktion lahm
      • Maßnahme: Backup-Konzept, Netzwerksegmentierung, Awareness-Training, Patchmanagement
  • Technische und organisatorische Maßnahmen
    • NIS2 sagt:
      • Unternehmen müssen angemessene Sicherheitsmaßnahmen einführen.
    • Das sind z. B.:
      • Zugriffskontrolle (Keine Everybody-Admin-Accounts)
      • Netzwerksegmentierung (z. B. Produktion getrennt von Büro-IT)
      • Backup & Recovery (Wiederherstellungsplan)
      • Patchmanagement (Systeme aktuell halten)
      • MFA (Multi-Faktor-Authentifizierung)
      • Vorfallmanagement / Incident Response
      • Lieferkettensicherheit (Dienste & Dienstleister bewerten und vertraglich absichern)
    • Der Fokus deiner Rolle wäre:
      • Definieren, planen und dokumentieren, wie das umgesetzt wird – nicht unbedingt alles selbst technisch einrichten.
  • Security-Governance & Verantwortung der Geschäftsführung
    • Ganz wichtig:
      • NIS2 sagt ausdrücklich: Die Geschäftsführung trägt persönliche Verantwortung
    • Sie muss:
      • Sich mit den Risiken beschäftigen
      • Sicherheitsstrategien freigeben
      • Ressourcen (Budget, Personal) bereitstellen
      • Sich ggf. schulen lassen
    • Bei grober Pflichtverletzung -> Bußgelder / Haftung
    • Das heißt für dich in so einer Stelle:
      • Du arbeitest eng mit der Geschäftsführung zusammen
      • Du erklärst Risiken in verständlicher Sprache
      • Du hilfst, Entscheidungen zu dokumentieren („Wir akzeptieren dieses Risiko“, „Wir reduzieren jenes Risiko“, etc.)
  • Meldepflicht bei Sicherheitsvorfällen
    • Unternehmen müssen:
      • Schwere Sicherheitsvorfälle an eine zuständige Behörde (z. B. nationale Cyber-Sicherheitsbehörde) melden
    • Das muss:
      • Schnell passieren (z. B. erste Meldung innerhalb von 24h)
      • Mit bestimmten Inhalten (Art des Vorfalls, Auswirkungen, erste Maßnahmen etc.)
    • Deine Aufgabe in so einer Rolle wäre z. B.:
      • Prozess definieren: Wer meldet was, wann, wohin?
      • Vorlagen erstellen: Incident-Formulare, Playbooks
      • Organisation vorbereiten: Wer macht was im Ernstfall?
  • Dokumentation & Nachweise
    • NIS2 ist Gesetz – also ist wichtig:
      • Können wir beweisen, dass wir etwas getan haben?
    • Das bedeutet:
      • Risikoanalysen dokumentieren
      • Richtlinien & Prozesse schriftlich festhalten
      • Protokolle über Schulungen, Übungen, Updates…
      • Maßnahmenpläne (z. B. „Wir haben Netzwerksegmentierung geplant & umgesetzt“)
    • Deine Rolle wäre:
      • Diese Nachweise aufzubauen und zu pflegen
      • Audits & Prüfungen vorzubereiten
      • Als Ansprechpartner für Behörden / Prüfer zu dienen
Was musst DU persönlich dafür kennen / verstehen?

Für Nummer 1 (NIS2) solltest du:

  • Grob wissen, welche Unternehmensarten betroffen sind
  • Die Pflichten klar erklären können:
    • Risiko-Management
    • Technische & organisatorische Maßnahmen
  • Verstehen, dass Geschäftsführung & Governance im Zentrum stehen
  • Wissen, was Meldepflichten bei Vorfällen bedeuten
  • Die Verbindung zu ISO 27001 sehen:
    • ISO 27001 ist oft das Werkzeug, mit dem man NIS2 in der Praxis umsetzt

Du musst wissen:

  • Welche Unternehmen unter NIS2 fallen -> Pflicht, wenn Unternehmen in den Geltungsbereich fallen.
  • Was „wesentliche“ und „wichtige“ Einrichtungen sind
  • Welche Pflichten NIS2 verlangt:
    • Risikoanalyse
    • Incident Response
    • Business Continuity
    • Lieferketten-Security
    • Backup & Recovery
    • Sicherheitspolitiken
  • Management-Haftung und Bußgelder
  • Anforderungen an Dokumentation und Nachweisführung

-> Kurz: Du musst NIS2 erklären und umsetzen können – organisatorisch.

2. ISO 27001 / ISMS Kompetenz

  • ISO 27001 ist der wichtigste internationale Standard, wenn es um professionelle IT-Sicherheit in Unternehmen geht.
  • Einfach gesagt: ISO 27001 = Anleitung, wie ein Unternehmen IT-Sicherheit organisiert, überwacht und nachweist.
  • Es geht dabei nicht darum, Firewalls zu konfigurieren oder Penetrationstests zu machen. Es geht darum, Sicherheitsprozesse und Strukturen aufzubauen.
Was ist ISO 27001? (Einfach erklärt)
  • ISO 27001 beschreibt, wie ein Unternehmen ein ISMS (Informationssicherheits-Managementsystem) aufbauen soll.
    Das ISMS ist ein System aus Regeln, Prozessen, Rollen und Kontrollen, das sicherstellt:
    • dass Risiken bekannt sind
    • dass Maßnahmen definiert und umgesetzt wurden
    • dass Verantwortlichkeiten klar sind
    • dass Sicherheitsniveau regelmäßig überprüft wird
    • dass alles dokumentiert und nachweisbar ist

Kurz gesagt:

ISO 27001 macht aus „Chaos“ ein geordnetes Sicherheits-System mit Verantwortlichen, Prozessen und Nachweisen.

Warum braucht man das? Weil Firmen sonst:
  • nicht wissen, welche Risiken sie haben
  • keine klaren Sicherheitsprozesse haben
  • nichts nachweisen können, wenn etwas passiert
  • keine gesetzlichen Vorgaben erfüllen (z. B. NIS2)
  • keine Zertifizierung erhalten

ISO 27001 sorgt für Struktur & Nachvollziehbarkeit.

Was musst DU dafür können?
1. ISMS verstehen (Informationssicherheits-Managementsystem)

Ein ISMS besteht aus:

  • einer Sicherheitsstrategie (Wohin wollen wir?)
  • Risikoanalyse (Was kann passieren?)
  • Maßnahmen (Was tun wir dagegen?)
  • Rollen & Verantwortlichkeiten
  • Richtlinien (Regeln für Mitarbeiter & IT)
  • Prozessen (Wie läuft Incident Response? Backup? Change Management?)
  • Kontinuierliche Verbesserung (Audits, Management Meetings)

Deine Aufgabe in einer solchen Rolle wäre, diese Bausteine mitzugestalten.

2. Annex A Controls (93 Maßnahmen) kennen

ISO 27001 bringt 93 Sicherheitsmaßnahmen („Controls“) mit – darunter:

  • Zugangskontrollen
  • Passwortrichtlinien
  • Asset-Management
  • Backup & Recovery
  • Logging & Monitoring
  • Netzwerksicherheit
  • Lieferketten-Sicherheit
  • Risiko-Management
  • Kryptografie-Regeln
  • Business Continuity
  • Incident Management

Du musst:

  • wissen, was diese Controls bedeuten
  • erklären können, warum sie wichtig sind
  • einschätzen, ob ein Unternehmen sie erfüllt oder nicht

Du musst sie nicht technisch umsetzen.

3. Risikoanalyse durchführen können

Du musst wissen:

  • Wie identifiziert man Risiken?
  • Wie bewertet man Risiken?
  • Wie bestimmt man, ob ein Risiko akzeptabel ist oder nicht?
  • Wie wählt man passende Maßnahmen („Risk Treatment“)?

Ein Unternehmen kann z. B. folgende Risiken haben:

  • Ransomware
  • Phishing
  • Internes Fehlverhalten
  • Ausfall von Servern
  • Schwache Passwörter
  • Datenverlust
  • Lieferantenausfall

Du musst diese Risiken einschätzen, dokumentieren und Maßnahmen empfehlen.

4. Dokumentation erstellen können

ISO 27001 lebt von Dokumentation und Nachweisen.

Du solltest erstellen können:

  • Sicherheitsrichtlinien (Policies)
  • Arbeitsanweisungen (Procedures)
  • Risikoanalysen
  • Protokolle
  • Asset-Register
  • Schulungsnachweise
  • Incident Reports
  • Statement of Applicability (SoA)

Das klingt trocken – ist aber zentral für Compliance-Jobs.

5. Interne Audits verstehen

Du musst nicht Auditor sein, aber wissen:

  • wie ein Audit funktioniert
  • wie man Abweichungen (Non-Conformities) bewertet
  • wie man Korrekturmaßnahmen plant
  • welche Nachweise wichtig sind
  • wie man ein Unternehmen auf Zertifizierungen vorbereitet

Beispiel:
Der Auditor fragt: „Wie stellen Sie sicher, dass nur autorisierte Personen Zugriff auf Serverräume haben?“
-> Du zeigst Prozesse, Nachweise und Richtlinien.

6. Statement of Applicability (SoA)

Das SoA ist eines der wichtigsten ISO-Dokumente:

  • Liste aller 93 Controls
  • Für jedes Control steht drin:
    • „Ist es relevant?“
    • „Ist es umgesetzt?“
    • „Warum? / Warum nicht?“
    • „Wie wurde es umgesetzt?“ (Nachweise)

Das SoA ist quasi die Zusammenfassung der Sicherheitsentscheidungen des Unternehmens.

Du musst ein SoA erstellen und pflegen können.

7. Sicherheitsprozesse verstehen

Du solltest wissen, wie folgende Prozesse aussehen sollen:

  • Incident Management
  • Access Management
  • Backup-Management
  • Patchmanagement
  • Change Management
  • Asset-Management
  • Supplier & Third-Party Risk Management
  • Business Continuity

Auch hier: Du musst nicht selbst die Konfiguration machen.

Was ist deine Aufgabe in der Praxis?

In so einer Compliance-Rolle würdest du z. B.:

  • ein Unternehmen auf ISO 27001 vorbereiten
  • Risikoanalysen durchführen
  • Sicherheitsrichtlinien erstellen
  • Maßnahmen priorisieren
  • eine ISMS-Struktur aufbauen
  • mit Management und IT sprechen
  • Abweichungen dokumentieren
  • und auf Audits vorbereiten

-> kein technischer IT-Job,
-> sondern Sicherheitsmanagement.

Wichtig ist, dass du:

  • weißt, wie ein ISMS aufgebaut wird
  • die Annex A Controls kennst
  • eine Risikobewertung nach ISO machen kannst
  • Policies & Guidelines erstellen kannst
  • interne Audits verstehst
  • weißt, was SoA (Statement of Applicability) ist
  • Prozesse wie:
    • Incident Management
    • Asset Management
    • Access Control
    • Change Management
    • Logging & Monitoring
      erklären kannst

-> Du musst nicht selbst Firewalls konfigurieren, sondern wissen, welche Controls notwendig sind.

3. Sicherheits-Governance

„Security Governance“ ist ein kompliziert klingendes Wort, bedeutet aber eigentlich etwas sehr Einfaches:

Sicherheits-Governance = Regeln + Verantwortlichkeiten + Entscheidungen, die dafür sorgen, dass ein Unternehmen sicher ist.

Und noch einfacher:

Es geht darum, wie man IT-Sicherheit organisiert, steuert und durchsetzt – nicht darum, wie man einen Server konfiguriert.

Das ist der Bereich, in dem du mit Management, Fachabteilungen und IT zusammenarbeitest, um Sicherheit planbar, nachvollziehbar und messbar zu machen.

Das ist sehr wichtig, weil der Job stark politisch ist.

Du solltest verstehen:

  • Wie man Sicherheitsrichtlinien für das Unternehmen gestaltet
  • Wie man Verantwortlichkeiten und Rollen definiert
  • Wie man Sicherheitsprogramme plant und steuert
  • Wie man Risiken dem Management kommuniziert
  • Wie man Entscheidungen dokumentiert (Compliance-Nachweise)
  • Wie man Security-Ziele mit Geschäftsführung & Fachabteilungen abstimmt

👉 Der Job ist „Hol die Geschäftsführung ab, setze Vorgaben durch“.

4. Projekt- und Change Management

In einer strategischen Compliance- oder Governance-Rolle geht es nicht darum, technische Maßnahmen selbst umzusetzen, sondern darum, dass Projekte geplant, organisiert und gesteuert werden – damit Sicherheit im Unternehmen überhaupt realisiert wird.

Einfach gesagt: Du sorgst dafür, dass Sicherheitsmaßnahmen nicht nur auf Papier stehen, sondern auch wirklich umgesetzt werden.

Dafür brauchst du Projektmanagement (um Aufgaben zu organisieren) und Changemanagement (um Menschen mitzunehmen).

Warum ist das wichtig?

Weil in einem Unternehmen:

  • viele Abteilungen betroffen sind
  • Veränderungen oft Widerstand erzeugen
  • Sicherheitsmaßnahmen Zeit & Budget brauchen
  • Management überzeugt werden muss
  • Entscheidungen dokumentiert werden müssen
Was bedeutet Projektmanagement in der IT-Sicherheit?

Einfach gesagt: Du planst, wie Sicherheit eingeführt wird – Schritt für Schritt.

Beispiele für Sicherheitsprojekte:

  • Einführung von Multi-Faktor-Authentifizierung
  • Aufbau eines ISMS nach ISO 27001
  • Umsetzung der NIS2-Anforderungen
  • Einführung eines neuen Backup-Konzepts
  • Netzwerksegmentierung
  • Logging & Monitoring verbessern

Du bist hier derjenige, der:

  • plant
  • priorisiert
  • koordiniert
  • nachhakt
  • Hindernisse löst
  • Fortschritte berichtet

Weil du oft NIS2- und ISO-Einführungsprojekte leitest:

  • Stakeholder-Management
  • Umgang mit internen Widerständen
  • Meetings moderieren
  • Roadmaps erstellen
  • Priorisierung erklären
  • Kommunikation mit Geschäftsführung

👉 Nicht technisch, sondern organisatorisch.

5. Grundverständnis technischer Security (nicht tief)

Patchmanagement (Updates für Systeme)

Was bedeutet das?

  • Systeme müssen regelmäßig Sicherheitsupdates erhalten
  • Alte, ungepatchte Systeme sind eines der größten Risiken
  • Patchen betrifft Windows, Linux, Anwendungen → alles!

Warum wichtig?

  • 80% aller Angriffe nutzen bekannte, ungepatchte Schwachstellen
  • Pflicht in ISO 27001 und NIS2

Was musst du wissen?

  • Du musst nicht patchen
  • Du musst wissen, dass es einen definierten Prozess geben muss
Backup & Recovery (Datensicherung)

Was bedeutet das?

  • Daten müssen regelmäßig gesichert werden
  • Backups müssen getestet werden
  • Backups müssen getrennt vom Hauptsystem gespeichert sein
  • Redundanz: 3-2-1 Regel (3 Kopien, 2 Medien, 1 extern/offline)

Warum wichtig?
→ Schutz vor Ransomware, Ausfällen, Katastrophen

Was musst du wissen?

  • Du musst nicht Backups einrichten
  • Du musst prüfen können, ob es richtige Backups gibt
Netzwerksicherheit (Firewall, Segmentierung)

Was bedeutet das?

  • Nicht alle Systeme dürfen miteinander reden
  • Bereiche müssen voneinander getrennt sein (z. B. Produktion vs. Büro)
  • Firewalls regeln, wer was darf
  • Zero Trust Grundidee: „Traue niemandem im Netzwerk“

Warum wichtig?

  • Wenn ein Rechner infiziert ist → nicht gleich das ganze Netzwerk

Was musst du wissen?

  • Was Segmentierung ist
  • Welche Bereiche typischerweise getrennt werden sollten
  • Dass jede Firewall Regeln braucht und dokumentiert sein muss
Identity & Access Management (IAM)

Was bedeutet das?

  • Wer darf was?
  • Wie wird das geprüft?
  • Welche Rolle hat ein Benutzer?
  • Wie wird ein ehemaliger Mitarbeiter gesperrt?
  • „Least Privilege“ = nur notwendige Rechte geben

Wichtige Begriffe:

  • MFA (Multi-Faktor-Authentifizierung)
  • RBAC (Role-Based Access Control)
  • SSO (Single Sign-on)

Warum wichtig?
→ Falsche Berechtigungen sind einer der Hauptgründe für Sicherheitsvorfälle

Was musst du wissen?

  • Kein User sollte „Admin“ sein
  • Zugriffe müssen regelmäßig überprüft werden
Endpoint Security (Schutz von Laptops/PCs/Handys)

Beispiele:

  • Antivirus / EDR (z. B. Defender for Endpoint)
  • Verschlüsselung (BitLocker / FileVault)
  • USB-Sperren
  • Richtlinien über Intune

Warum wichtig?
→ Geräte sind der häufigste Einstiegspunkt für Angriffe

Was musst du wissen?

  • Jedes Gerät braucht Schutzmaßnahmen
  • Geräte müssen verwaltet und überwacht werden
Logging & Monitoring

Was bedeutet das?

  • Systeme protokollieren, was passiert
  • Zentrale Sammlung der Logs z. B. SIEM (Security Information & Event Management)
  • Angriffe können nur erkannt werden, wenn Logs existieren

Warum wichtig?
-> Pflicht in ISO 27001
-> Pflicht in NIS2 (Incident Detection)

Was musst du wissen?

  • Welche Systeme loggen sollen
  • Wer Logs prüft und wie oft
  • Wie lange Logs aufbewahrt werden müssen
Verschlüsselung (Encryption)

Zwei Arten:

  • At Rest
    • Daten auf Festplatten sind verschlüssel
    • -> BitLocker, FileVault, Server-Side Encryption
  • In Transit
    • Daten unterwegs im Netzwerk sind verschlüsselt
    • -> HTTPS, VPN, TLS

Warum wichtig?
-> Schutz vor Datenlecks

Was musst du wissen?

  • Grundsätze verstehen
  • Wissen, wann Verschlüsselung Pflicht ist
Server- & Cloud-Sicherheit

Du musst grob verstehen:

  • Was Virtualisierung ist (VMs)
  • Was ein Cloud-Dienst ist (Azure, AWS, Google)
  • Was geteilte Verantwortung bedeutet (Shared Responsibility Model)
  • Warum Cloud-Systeme eigene Sicherheitsrichtlinien benötigen

Du musst es nicht konfigurieren, nur prinzipiell verstehen.

Network Access Control (z. B. 802.1X / Zertifikate)

Einfach erklärt:

Geräte müssen sich „ausweisen“, bevor sie ins Netzwerk dürfen.

Typisch in Unternehmen:

  • Zertifikatsauthentifizierung
  • RADIUS/NPS-Server

Du musst verstehen: -> Warum das sicherer ist als WLAN-Passwörter.

Du musst grob verstehen:

  • Patchmanagement
  • Firewall-Konzepte
  • Backup-Strategien
  • Asset Management
  • Logging & Monitoring
  • Netzwerkgrundlagen
  • Zugriffskontrolle (MFA, IAM)

-> Du musst wissen, was umgesetzt werden soll, nicht wie es technisch konfiguriert wird.

6. Dokumentation & Audit-Verständnis

Dokumentation heißt:

  • Regeln aufschreiben
  • Prozesse beschreiben
  • Maßnahmen festhalten
  • Listen führen
  • Entscheidungen dokumentieren
  • Nachweise sammeln

Warum?
Weil ein Auditor oder eine Behörde sonst nicht sehen kann, dass das Unternehmen tatsächlich sicher arbeitet.

Man sagt: -> „Was nicht dokumentiert ist, gilt als nicht vorhanden.“

Du solltest:

  • Richtlinien erstellen können
  • Audit-Checklisten verstehen
  • Nachweise sammeln
  • Gap-Analysen durchführen
  • Auditfragen beantworten können

-> Der Job ist sehr dokumentationslastig.

7. Kommunikationsfähigkeit

  • In einer Compliance-/Governance-/Security-Management-Rolle ist Kommunikation nicht nur ein Teil des Jobs – es IST der Job.
  • Weil, Technische Sicherheit kann nur funktionieren, wenn Menschen sie verstehen und umsetzen.
  • Deine größte Aufgabe ist, mit allen Bereichen eines Unternehmens zu sprechen, zu erklären, zu überzeugen und zu koordinieren.
Warum ist Kommunikation so wichtig?

Weil du in dieser Rolle:

  • Regeln einführst, die andere befolgen müssen
  • Risiken erklärst, die andere nicht sehen
  • Projektziele durchsetzt, die unbequem sein können
  • Management überzeugst, Budget & Ressourcen zu geben
  • Abteilungen koordinierst, die unterschiedliche Interessen haben
  • Sicherheitsvorgaben kommunizierst, die Arbeitsabläufe verändern

In der Praxis ist Sicherheit mehr Psychologie als Technik.

Was bedeutet Stakeholder-Management? (Einfach erklärt)

Ein „Stakeholder“ ist jeder, der irgendwie betroffen ist:

  • Geschäftsführung
  • IT-Abteilung
  • Datenschutz
  • Entwicklung
  • HR
  • Einkauf
  • Externe Firmen
  • Technikteams
  • Benutzer

Stakeholder-Management bedeutet: -> „Alle wichtigen Personen ins Boot holen, informieren, einbeziehen und motivieren.“

Was musst DU konkret können?
Komplexe Themen einfach erklären können

Du musst Dinge wie:

  • Zero Trust
  • Risikoanalyse
  • ISO 27001
  • Netzwerksegmentierung
  • Incident Response
  • MFA
  • NIS2
  • Patchmanagement

so erklären, dass jeder sie versteht, auch Nicht-Techniker.

Beispiel:

Schlechte Erklärung:
„Wir müssen die Netzwerkkommunikation segmentieren, um Angriffsvektoren zu minimieren.“

Gute Erklärung:
„Wenn ein Computer gehackt wird, darf sich der Angriff nicht im ganzen Unternehmen ausbreiten.“

Mit Management klar kommunizieren

Geschäftsführer wollen:

  • kurze, klare Zusammenfassungen
  • Risiken in Geld & Wirkung
  • konkrete Entscheidungen
  • keine Technikdetails

Du sagst z. B.:

  • „Wenn wir X nicht machen, kann Y passieren, mit möglichem Schaden Z.“
  • „Wir brauchen Budget A für Maßnahme B, sonst entsteht Risiko C.“
Widerstände erkennen & lösen

In Sicherheitsprojekten gibt es IMMER Widerstand:

  • „Das ist zu viel Aufwand!“
  • „Das funktioniert im Alltag nicht!“
  • „Das stört die Produktion!“
  • „Das kostet zu viel!“

Du musst verstehen:

  • warum Menschen blockieren
  • wie man sie motiviert
  • wie man Kompromisse findet
  • wie man eskaliert, wenn nötig
Meetings, Workshops & Schulungen leiten

Du leitest z. B.:

  • Awareness-Schulungen
  • Sicherheits-Workshops
  • Projektmeetings
  • Kickoff-Meetings
  • Lessons-Learned nach Vorfällen

Dabei musst du:

  • strukturiert sprechen
  • Diskussionen moderieren
  • Konflikte beruhigen
  • Ergebnisse dokumentieren
Erwartungen und Zuständigkeiten klären

Ein großes Problem in Unternehmen ist:
„Ich dachte, das macht jemand anderes.“

Du klärst Verantwortung:

  • „Die IT-Abteilung ist für Backups verantwortlich.“
  • „HR muss Offboarding-Prozesse aktualisieren.“
  • „Der Abteilungsleiter X muss Risikoanalyse Y bestätigen.“
Transparenz schaffen (jeder weiß, was passiert)

Sicherheitsprojekte scheitern oft, weil:

  • keiner weiß, warum etwas geändert wird
  • Entscheidungen nicht erklärt werden
  • Mitarbeiter überrascht werden („Schon wieder eine neue Policy?!“)

Du sorgst dafür, dass:

  • jeder weiß, was kommt
  • jeder weiß, warum
  • jeder weiß, wen es betrifft
  • jeder weiß, welche Vorteile es bringt
Berichte für Management & Behörden erstellen

Berichte müssen:

  • kurz
  • klar
  • verständlich
  • faktenbasiert

sein.

Beispiele:

  • Quartalsbericht über Sicherheitslage
  • Risiko-Report
  • Auditvorbereitung
  • Incident-Report nach NIS2
  • Maßnahmenstatus
Was ist deine Rolle im Alltag?

Einfach gesagt: Du bist die Person, die dafür sorgt, dass alle Beteiligten
sicherheitsrelevante Entscheidungen treffen, verstehen und umsetzen.

Du bist der „Übersetzer“ zwischen:

  • Technik → Management
  • Management → Technik
  • Fachabteilungen → Security
  • Security → alle Mitarbeiter
Was musst DU dafür wissen oder lernen?
Notwendige Fähigkeiten:
  • klar sprechen & schreiben
  • Konflikte moderieren
  • Risiken einfach erklären
  • Workshops leiten
  • Präsentationen halten
  • mit Management umgehen können
  • Entscheidungen sauber dokumentieren
  • Zuhören & Perspektiven verstehen
  • die richtigen Fragen stellen
Hilfreich, aber nicht zwingend:
  • IT-Grundwissen
  • Sicherheitsgrundlagen
  • Verständnis von Unternehmensprozessen

Das ist ein Schlüsselpunkt für solche Rollen:

  • mit Geschäftsführung sprechen
  • technische Teams koordinieren
  • Widerstände moderieren („Warum brauchen wir ISO 27001?“)
  • Ergebnisse präsentieren
  • Schulungen & Awareness durchführen

-> „Security Governance“ = sehr viel Kommunikation.

Passt diese Stelle zu dir?

-> Ja, wenn du lieber konzeptionell, organisatorisch, strategisch arbeitest.
-> Eher nein, wenn du primär technisch (Pentesting, Admin, Security Engineering) arbeiten möchtest.

In

, , , , , , , , , , ,