Hallo zusammen,

ich habe die letzten Jahre hauptsächlich beruflich Systemadministration betrieben und IT-Projekte betreut. Leider überwiegend als One-Man-Show und langsam verliere ich die Lust daran, weil es in der aktuellen Firma immer mehr Arbeit wird, die man nicht mehr fristgerecht schaffen kann und dann gemeckert wird, wieso Thema Nummer 50 nicht fertig ist, während man 49 andere Themen bearbeitet. Ich will mir diesen Stress nicht mehr antun. Mich stört insbesondere, dass ich keine Chance habe, mich mal auf ein Thema zu spezialisieren. Ich arbeite in die Breite, nicht in die Tiefe, weil ich alleine bin. Das hat es mir zumindest ermöglicht, über den Tellerrand zu schauen und vieles kennenzulernen, aber in die Tiefe kann ich mangels Zeit nicht gehen.

Ich habe nun die Chance, das zu ändern. Eine Firma in meiner Stadt sucht einen IT-Sicherheitsbeauftragten. Ich habe so etwas schonmal vor 10 Jahren gemacht, habe auch beim TÜV ein Zertifikat erworben. Damals war es eine von 3 Aufgaben für mich in der Firma, jetzt scheint es das als Vollbeschäftigung zu sein. Ich frage mich natürlich, ob ich diesen Wechsel wirklich will und auch gut machen kann. Ich könnte mich endlich wieder spezialisieren, mich auf ein einziges Thema konzentrieren, mich hineinarbeiten und Spezialist für IT-Sicherheit werden. Die Vorerfahrungen sind da und die Firma wirbt damit, dass man gut eingearbeitet wird. Würde also viele Schulungen in Sachen IT-Sicherheit, ISO27001, Auditierung etc. bekommen. Ist aber schon ein gewagter Schritt mit 41 Jahren, aber machbar.

Damals war es ein undankbarer Job, weil IT-Sicherheit belächelt wurde und man sozusagen den Polizisten gespielt hat. Die Firma jetzt wurde vor einigen Monaten schwer gehackt mit mehreren Tagen Produktionsausfall. Die sind also SEHR sensibilisiert und gerade die Geschäftsleitung steht dieses Mal wohl voll hinter dem Thema. Das wäre ja schonmal gut. Dann muss ich nur noch sehen, einerseits die Sicherheitslücken aufzudecken, aber gleichzeitig die User mitzunehmen und Akzeptanz zu schaffen.

Vielleicht hat jemand einen ähnlichen Weg beschritten und kann etwas aus diesem Berufsfeld erzählen. Ich danke schonmal!

Da kann ich dir die Hand geben.

Darf mich zwar IT-Leiter schimpfen und habe eine Stabsstelle, aber leiten tue ich mich eigentlich nur selbst und ich merke auch mit den Jahren, dass ich einfach nicht mehr richtig nachkomme. Gut ist zwar, dass ich alle wichtigen Sachen erledige, aber sowas wie eine vollständige Dokumentation oder ähnliche Sachen bleiben lange Zeit auf der Strecke.

Witzigerweise bin ich auch ISB mit "Zertifizierung". Diese Zertifizierung habe ich Ende letzten Jahres abgeschlossen. Grob kann man sagen, dass dies ein sehr interessantes Thema ist, aber leider gefühlt nur 50% mit IT zu tun hat. Die anderen Themen sind dann Datenschutz oder so Sachen wie: "Fenster im Serverraum sollte ein Eisengitter haben" oder "Fluchtwege" oder "Zutrittsberechtigungen in Räumen" und und und ...

Schlimm ist eigentlich, dass ich diese "Mißstände" dokumentieren MÜSSTE, damit ich bei einem Schadensfall nicht in die Verantwortung genommen werde (z. B. "Einbruch in den Serverraum durch das Fenster" :) ). Bei einer Dokumentation und der dazugehörigen Weitergabe dieser "Mißstände" an die obere Stelle (bei uns Verbandvorsitzender) würde ich nicht mehr haftbar sein. Jetzt eben schon. Dies liegt mir immer noch sehr im Magen, aber durch das ganze Corona-Zeugs komm ich zu gar nichts mehr (Home Office - Arbeitsplätze trennen - Neue Mitarbeiter und und und).

Eine 100% ISB-Stelle könnte sehr interessant sein. Aber leider fällt viel IT weg. Zur Zeit würde ich das auch nicht sooo schlecht finden, aber irgendwann würde mir auch was fehlen. Zur Zeit sieht es bei mir so aus: 120% IT und 60-80% ISB -> ich schaff aber grad nur 100% IT. Ich hoffe, da ändert sich was bei mir, aber das ist jetzt nicht das Thema.

Ich hoffe, die Infos helfen ein wenig weiter.

EDIT - Zusatzinfo: Normalerweise sollte und darf der IT-Leiter kein ISB sein und erst recht kein Datenschutzbeauftragter gleichzeitig. Aber in Komunen und Städten gibt es in dieser Beziehung sogar die Ausnahme, dass der IT-Leiter auch ein ISB sein darf. Im Endeffekt kontrolliere ich mich sozusagen in einigen Bereichen selber ...

Freiwillig? Ich/Wir machen gerade die ISO27001 durch. Dagegen ist ITIL ja Kindergeburtstag. Mich müsste man prügeln das Thema freiwillig und zu einem normalen Gehalt abzuwickeln.

Die sind also SEHR sensibilisiert und gerade die Geschäftsleitung steht dieses Mal wohl voll hinter dem Thema. Das wäre ja schonmal gut. Dann muss ich nur noch sehen, einerseits die Sicherheitslücken aufzudecken, aber gleichzeitig die User mitzunehmen und Akzeptanz zu schaffen.
Klingt spannend, kann aber extrem frustriert enden. Komtm auf den Betrieb und Dich an. Mit "Bitte" kommst Du in der Regel wenig weit und mit "Dann petze ich bei der GL" halt nur soweit bis Du mal wieder was brauchst von denen die man "gemeldet" hat. Kommt echt drauf an ob kleiner 50 Mann Betrieb oder **** Angestellte.

Freiwillig? Ich/Wir machen gerade die ISO27001 durch. Dagegen ist ITIL ja Kindergeburtstag.
Findest du?
Ich habe mich lange nicht damit beschäftigt, aber als das für mich noch aktuelle Themen waren, war ITIL ein toter Elefant, dem man versucht hat das Tanzen beizubringen, derweil ISO27001 mit v.de und Grundschutz sehr gute Werkzeuge zur Hand hatte.

Schon mal über eine Solution Engineer Stelle bei einem Hersteller nachgedacht?

Bin Solution Engineer bei einem nordamerikanischen BCDR Hersteller ( u.a. Business Continuity & Disaster Recovery, Remote Monitoring & Management, Professional Services Automation).

Habe also mit Ransomware , Malware, Trojaner zu tun und zeige Systemhäusern auf wie Sie "Downtime" bei Ihrem Endkunden gering halten und somit die Geschäftskontinuität aufrechterhalten können.

Ich zeige in der Regel Ransomware Demos wo ich meinen Server mit einem "beschnittenen" CryptoLocker V3 infiziere, und dann eben zeige wie der Endkunde weiter arbeiten kann, während der Systemhaus Techniker im Hintergrund den "infizierten" Server säubert und später die neueren Backupdaten der virtuellen Maschine auf den "gesäuberten" Server zurückspielt.

Macht tierisch Spass da jeder Tag anders ist ,und vor Corona das ganze mit viel Reisetätigkeit, Onsites bei Partners sowie Workshops in DACH halten gesegnet war.

Das klingt wirklich spannend. Schöne Grundlage :up:

Bleibt die Frage offen, ob die Firma einen ISB sucht (Informationssicherheitsbeauftragten), was ich schon annehme oder einen ITler, der sich um die Sicherheit kümmert. Sind echt zwei verschiedene Jobs. Also aufpassen! ;)

Sind verschiedene Dinge? Die Firma sucht einen ISB. Die Firma hat 950 Mitarbeiter am Standort, über 4000 weltweit...

EDIT: Achso, der ISB kümmert sich auch um allgemeine Themen wie die Gitter vor dem Fenster, richtig? Sind ja alles Themen, die ich damals bei der Analyse und Risikobewertung nach BSI Grundschutz durchgeführt hatte.

... Achso, der ISB kümmert sich auch um allgemeine Themen wie die Gitter vor dem Fenster, richtig? Sind ja alles Themen, die ich damals bei der Analyse und Risikobewertung nach BSI Grundschutz durchgeführt hatte.
Genau.

Meins wäre das jetzt nicht (also 100% ISB und nichts anderes), aber ich muss da auch ran (demnächst ... unbedingt ... irgendwann *kotz* :freak: )

Ist ja ein netter Anhaltspunkt.
https://aigner-business-solutions.com/aufgaben-des-informationssicherheitsbeauftragten-isb/?gclid=CjwKCAiAnIT9BRAmEiwANaoE1Vc5VuuRDvyCaHXzMCkSD7WOlQRoZv2l7hrUrkYx9z4kfOvpu pydgxoCb8YQAvD_BwE

Die kontinuierliche Pflege, das Review aller Dokumente und die stetige Aktualisierung der Informationssicherheitslinien stellen die Basis für ein erfolgreiches ISMS Ihres Unternehmens und somit auch für die Erlangung der ISO:27001 oder TISAX®-Zertifizierung dar.
....unnnnnddddd ich bin raus :D ;)

Ich habe mir nun ein paar Tage Gedanken dazu gemacht und bin mir immer noch nicht sicher, ob ich diesen Schritt wirklich gehen möchte. Die suchen einen ISB, also ist man dann wohl außerhalb der IT und hat auch eigentlich nichts mehr direkt mit der Technik/Support zutun. Dabei mag ich das gerade an meinem Beruf, anderen zu helfen und mit Menschen in Kontakt zu treten. Als ISB habe ich das Gefühl, nur ein Polizist zu sein, den man eher meidet. Ein Freund, der das seit einigen Jahren macht, meinte, dass es langweiliger als IT-Support sei. Und ich stelle mir da auch die Frage, wo da noch die alltäglichen kleinen Erfolge sind, wenn man wieder ein Problem gelöst hat. Dazu kommt, dass ich Sorge habe, dass der ISB der Firma irgendwann zu viel Geld kostet und man nach 5 Jahren sagt "so, jetzt fühlen wir uns sicher, jetzt brauchen wir den nicht mehr". Ein ISB ist schnell vor die Tür gesetzt. Der kostet halt viel Geld...

Apropos... was kann man da denn als Gehalt verlangen? 4000-Mann Unternehmen, viele Standorte im Ausland, ist aber hier keine Großstadt, sondern eher ländlich geprägt...

Jo letztes Jahr 2019 Best Speaker und Best Workshop DACH.

Und heute kam das Quintuple rein.

Alle 5 Cloud Konferenzen Best Speaker und Best Workshop DACH 2020.


Macht echt super viel Spass und habe schon neue spannende Ideen für meine kommenden Live Demos auf Virtual / Physical Events.

Das klingt wirklich spannend. Schöne Grundlage :up:

WhiteVelvet

Die Probleme, die Du hier jeweils geschildert hast, die sollten auch Dir zeigen, dass Du uU vielleicht besser nicht diesen Weg gehen solltest ...

Wenn paar Drucker ein Problem sind ... was ist dann ein firmenweites AD für Dich?

Ich wär etwas bescheidener und würde mich mal in dem Bereich tiefer reinknien, in dem ich wär und dann gleichzeitig den Ausblick in die andere Richtung wagen.

Aber das triviale "Handwerk" musst einfach beherrschen - das gehört dazu.

P.S. Ja ich weiss das ist böse von mir das direkt zu sagen - aber ich denke das ist besser als jemanden ins Messer rennen zu lassen.