Diese Soft Skills brauchen Informationssicherheits-Verantwortliche

Viele Wege führen zum CISO. Weil es keinen festgeschriebenen Ausbildungsweg gibt, haben sich in der Informationssicherheit als Kompetenzausweise Zertifizierungen bewährt, wie zum Beispiel CISSP und CISM. 

Auch das eidg. Diplom als ICT Security Expert von der ICT Berufsbildung hat sich in der Schweiz inzwischen als eine der hochkarätigsten Weiterbildungen für Führungskräfte und Kaderleute im Security Management etabliert. «ICT Security Experts sind bestens qualifiziert als CISO», sagt Prüfungsleiter Marc Woodtli von ICT Berufsbildung Schweiz.

Was alle renommierten Informationssicherheits-Zertifikate gemein haben, ist das sie neben dem technischen Fachwissen auch Management-Kompetenzen prüfen. Allerdings in unterschiedlich starker Ausprägung. Während beim CISM und CISSP über Multiple-Choice-Fragen vor allem das Fachwissen getestet wird, müssen angehende ICT Security Experts mit eidgenössischem Diplom ihre Soft Skills in Fallsimulationen auch praktisch vorführen.

Erfahren Sie hier mehr zur höheren Fachprüfung ICT Security Expert ED» 

Aber warum sind diese für Informationssicherheits-Verantwortliche so zentral? Um welche Soft Skills handelt es sich? Am Beispiel der Weiterbildung zum ICT Security Expert schauen wir uns diese genauer an. 

Wieso Soft Skills im Informationssicherheits-Management entscheidend sind

Natürlich sind alle Cyber Security Experts buchstäblich die Spezialistinnen und Spezialisten ihres Fachs. Sie haben die technischen Details parat. Wie sollten sie sonst auch in der Lage sein, Probleme zu erkennen und zu lösen, wenn sie ihr Fach nicht verstehen? Das ist die unerlässliche Basis für gute Arbeit.

«Als Sicherheitsverantwortliche in einer Organisation machen Sie die Lobbyarbeit für das Thema Security.»

Sobald sie aber ein Sicherheitsteam leiten, ein ISMS verankern, Sicherheitsprogramme durchführen, Sicherheitsvorfälle managen und grundsätzlich die Verantwortung für die Informationssicherheit einer Organisation tragen und damit auch die erste Adresse für die Geschäftsleitung in Sicherheitsfragen sind, braucht es auch bestimmte Soft Skills. 

«Ein ganz zentrales Thema ist das Kommunikative, das aber oft unterschätzt wird.», sagt Bruno Blumenthal, Managing Security Consultant bei Temet, ehemaliger CISO und Chefexperte für die Fallsimulationen für die Prüfungen zum eidg. Diplom ICT Security Expert. «Als Sicherheitsverantwortlicher in einer Organisation machen Sie die Lobbyarbeit für das Thema Security. Das heisst, Sie müssen diese Themen auch gut vertreten können. Dafür braucht es Kommunikationsfähigkeiten, dafür braucht es Durchsetzungsvermögen und dafür braucht es Verantwortungsbewusstsein. Auf diese schauen wir in der Prüfung und die suchen wir auch bei den ICT Security Experts.»

Genau genommen sind es sogar 13 Soft Skills, die die ICT Berufsbildung Schweiz an der praktischen Prüfung sehen will. Diese werden allerdings nicht Soft Skills, sondern Haltungen genannt. (Wir haben hier zunächst auf den Begriff Soft Skills zurückgegriffen, weil dieser, so ungern wir ihn haben, immer noch der gebräuchlichste ist.)

Die 13 Haltungen eines ICT Security Experts

Was sie bedeuten, in welchen Handlungsbereichen sie besonders zum Tragen kommen und wo seiner Erfahrung nach die grössten Herausforderungen liegen, haben wir unseren Trainer Umberto Annino gefragt. Gemeinsam mit Sascha Maier betreut Umberto Annino von Anfang an die ICT Security Expert Lehrgänge bei Digicomp.

Klicken Sie auf untenstehende Links,  um direkt zur Erläuterung der einzelnen Haltungen zu gelangen.

Alle Haltungen auf einen Blick:

• 1 Selbstständigkeit
• 2 Kommunikationsfähigkeit
• 3 Loyalität
• 4 Urteilsvermögen
• 5 Zukunftsorientierte Denkweise
• 6 Durchsetzungsvermögen
• 7 Integrität
• 8 Innovationsfähigkeit
• 9 Teamfähigkeit
• 10 Vernetztes Denken
• 11 Systemisches Denken
• 12 Lernfähigkeit
• 13 Verantwortungsbewusstsein

1 Selbstständigkeit 

Können Sie Aufgabenstellungen eigenständig und eigenverantwortlich lösen? Diese Fähigkeit ist aber sicher nicht nur für Security Experts wichtig, sondern eine der häufigsten geforderten Soft Skills in allen Stellenprofilen. 

Handlungskompetenzbereiche: Verankerung der Sicherheitsstrategie, Etablierung eines ISMS, Stakeholder-Management

Typische Herausforderung: 

• Audit-Resultate im Hinblick auf Compliance dokumentieren und rapportieren

2 Kommunikationsfähigkeit

Hier dreht es sich um die Frage, wie gut können Sie Ihre Botschaften vermitteln? Und wie adressatengerecht können sie diese gegenüber Ihrem Team, der Geschäftsleitung oder Ihren Kundinnen und Kunden übersetzen? Insbesondere, wenn Sie eine Geschäftsleitung so informieren müssen, dass sie auf Basis der relevanten Fakten Entscheidungen treffen kann, ist es wichtig, eine Sprache zu finden, die auch für Personen ohne technische Expertise klar und verständlich ist. Hier sieht Umberto Annino die grösste Challenge.

Handlungskompetenzbereiche: Verankerung der Sicherheitsstrategie, Etablierung eines ISMS, Führen des Sicherheitsprogramms, Stakeholder-Management

Typische Herausforderungen:

• adressatengerecht präsentieren und kommunizieren
• Informationssicherheitsstrategien auf Basis des Risikoappetits der GL und des VR erarbeiten
• Ermittlung des Sicherheits-Reifegrads einer Organisation
• Inhalte für Sensibilisierungskampagnen didaktisch und zielgruppenorientiert aufbereiten
• Krisenstab beraten und bei der Entscheidungsfindung unterstützen
• Stakeholder und Prozessverantwortliche über relevante Abhängigkeiten im Geschäftsprozess informieren 
• u.a.m.

3 Loyalität

Hier geht es um Ihre Standhaftigkeit. Bleiben Sie Ihrer Sache treu? Stehen Sie loyal zu sich, Ihrem Thema, aber auch dem Unternehmen gegenüber? Dies ist laut Umberto aber keine typische Herausforderung für die Kandidatinnen und Kandidaten. 

Handlungskompetenzbereiche: Verankerung der Sicherheitsstrategie, Etablierung eines ISMS

4 Urteilsvermögen

Hier ist vor allem Ihr fachliches Urteilsvermögen gefragt. Dabei müssen Sie beweisen, dass Sie auf Basis verschiedener Einzelinformationen, der vorhandenen Faktenlage und Einschätzungen eine sachlich gut begründete Bewertung vornehmen können.

Handlungskompetenzbereiche: Verankerung der Sicherheitsstrategie, Etablierung eines ISMS, Führen des Sicherheitsprogramms, Stakeholder-Management, Bewältigung von Sicherheitsereignissen

Typische Herausforderungen:

• für die Organisation relevante Bedrohungsszenarien definieren
• allgemeine Sicherheitslage und Risiken analysieren sowie entsprechende Sofortmassnahmen erarbeiten
• Fragestellungen von Stakeholdern erfassen und adressatengerecht beantworten
• Überprüfen, ob Sicherheitsaspekte im BCM berücksichtigt sind

5 Zukunftsorientierte Denkweise

Kurz: Denken Sie vorausschauend? Ausbuchstabiert: Zeigen Sie, dass Sie die Bedeutung und künftigen Konsequenzen vergangener und gegenwärtiger Handlungen, Einflüsse usw. für das Unternehmen verstehen. Nicht immer einfach, aber machbar.

Handlungskompetenzbereiche: Verankerung der Sicherheitsstrategie, Etablierung eines ISMS, Führen des Sicherheitsprogramms, Sichern von Informationen

Typische Herausforderungen:

• sich laufend über sicherheitsrelevante Themen wie neue Technologien, Angriffsszenarien und Mitbewerber informieren und neue Erkenntnisse in interne Regelwerke und ins Risikomanagement einfliessen lassen
• Anforderungen an ein technisches Soll-Modell für die IT-System- und Applikationslandschaft skizzieren
• Verschlüsselungstechnik und deren Anwendung situativ anordnen
• Speicherung, Archivierungstechnologien und Kassation auf Sicherheitsaspekte überprüfen

6 Durchsetzungsvermögen

Können Sie sich und Ihr Anliegen behaupten? Hier ist besonders Ihre Durchsetzungskraft gegenüber dem Management gefragt. Nehmen Sie Ihre Anliegen wahr, verfolgen diese konsequent und bringen Sie diese auch gegen Widerstände ins Ziel.

Handlungskompetenzbereiche: Verankerung der Sicherheitsstrategie, Etablierung eines ISMS, Schaffen von Awareness, Bewältigung von Sicherheitsereignissen

Typische Herausforderung:

• Stakeholder und Geschäftsprozessverantwortliche über die relevanten Abhängigkeiten im Geschäftsprozess informieren

7 Integrität

Integrität besitzt gewisse Überschneidungen mit der Haltung Loyalität von Punkt 3, orientiert sich aber mehr an ethischen Standards. Heisst: Stehen Sie zu Ihren Werten, wenn es darauf ankommt?

Handlungskompetenzbereiche: Verankerung der Sicherheitsstrategie, Etablierung eines ISMS, Stakeholder-Management, Sichern von Informationen

Typische Herausforderungen:

• Leistungsverträge bezüglich Informationssicherheit mit Kunden und Lieferanten zu vereinbaren und zu überprüfen
• Speicherung, Archivierungstechnologien und Kassation auf ihre Sicherheitsaspekte überprüfen
• Klassifizierungskonzepte erstellen

8 Innovationsfähigkeit

Setzen Sie auf Altbewährtes oder haben Sie den Mut und den Willen zu Neuerungen, die Ihre Organisation voranbringen? Sei es eine neue Technologie, ein neuer Prozess oder eine neue Strategie. Bravo!

Handlungskompetenzbereiche: Verankerung der Sicherheitsstrategie, Etablierung eines ISMS

Typische Herausforderungen:

• sich laufend über sicherheitsrelevante Themen wie neue Technologien, Angriffsszenarien und Mitbewerber informieren und Erkenntnisse in interne Regelwerke und ins Risikomanagement einfliessen lassen

9 Teamfähigkeit

Teamfähigkeit ist eine weitere wichtige Sozialkompetenz, die in fast allen Jobs gefragt ist. Bei ICT Security Experts ist sie besonders verlangt, wenn Sie an Projekten arbeiten und Beziehungsnetzwerke in der Informationssicherheit aufbauen müssen. Zudem sollte Ihre Teamfähigkeit in der Zusammenarbeit mit Krisenstäben unter Beweis gestellt werden. Laut Umberto Annino in der Regel keine typische Herausforderung für Informationssicherheits-Managende.

Handlungskompetenzbereiche: Verankerung der Sicherheitsstrategie, Etablierung eines ISMS, Führen des Sicherheitsprogramms, Stakeholder Management, Bewältigung von Sicherheitsereignissen

10 Vernetztes Denken

Grundsätzlich geht es bei diesem Soft Skill darum, dass Sie über den Tellerrand hinaus denken. Sind Sie fähig, das Zusammenspiel von verschiedenen Faktoren zu erkennen, zu analysieren und daraus Handlungsvorschläge abzuleiten?

Handlungskompetenzbereiche: Verankerung der Sicherheitsstrategie, Etablierung eines ISMS, Führen des Sicherheitsprogramms, Stakeholder Management

Typische Herausforderungen:

• Ist-Situation von IT System- und Applikationslandschaft analysieren und die Implikationen auf innere und äussere Bedrohungen feststellen
• Anforderungen an ein technisches Soll-Modell in den Bereichen IT-System- und Applikationslandschaft skizzieren

11 Systemisches Denken

Hier ist eine ganzheitliche Sichtweise gefragt. Das heisst im Falle von Security Experts: Sie sind das Unternehmen, Sie vertreten das Gesamtunternehmen in Sachen Security und das ist es, was die Geschäftsleitung von Ihnen zurecht sehen möchte.

Handlungskompetenzbereiche: Etablierung eines ISMS, Führen des Sicherheitsprogramms, Schaffen von Awareness, Bewältigung von Sicherheitsereignissen

Typische Herausforderungen:

• ein ISMS zu erstellen von A – Z
• sich laufend über sicherheitsrelevante Themen wie neue Technologien, Angriffsszenarien und Mitbewerber informieren und neue Erkenntnisse in interne Regelwerke und ins Risikomanagement einfliessen lassen
• die Lösung eines Sicherheitsereignisses festlegen und den entstandenen Schaden beurteilen
• überprüfen, ob die Sicherheitsaspekte im BCM berücksichtigt sind
• Massnahmen aus der Auswirkung eines Ereignisses ableiten und priorisieren
• etc.

12 Lernfähigkeit

Sind Sie motiviert, sich eigenständig und kontinuierlich weiterzubilden? Und können Sie Kritik annehmen, Fehler eingestehen und den Kurs wechseln, wenn nötig? Gut, denn darum geht es hier. Hier sieht Umberto aber keine Herausforderung unter seinen Lehrgangsteilnehmenden. Logisch, mit der Weiterbildung zum ICT Security Expert beweisen Sie ja genau das.

Handlungskompetenzbereiche: Verankerung der Sicherheitsstrategie, Etablierung eines ISMS

13 Verantwortungsbewusstsein

Last but not least: Was heisst es, eine Verantwortung tragen können? Das wird hier geprüft: Halten Sie in Stresssituationen stand und sind Sie bereit bei Problemen Ihren schönen Kopf hinzuhalten? 

Handlungskompetenzbereiche: Verankerung der Sicherheitsstrategie, Etablierung eines ISMS, Führen eines Sicherheitsprogramms, Bewältigung von Sicherheitsereignissen, Sichern von Informationen

Typische Herausforderung:

• Speicherung, Archivierungstechnologien und Kassation auf ihre Sicherheitsaspekte überprüfen

Hinweis: Alle Handlungskompetenzbereiche, Leistungskriterien und Haltungen finden sich auch in der offiziellen Wegleitung für die höhere Fachprüfung zum eidg. Diplom ICT Security Expert von ICT Berufsbildung Schweiz.

Mehr Information rund um den ICT Security Expert:

• Interview mit ICT Prüfungsleiter Marc Woodtli zu Erfolgsquote- und Karriereaussichten von Absolventinnen und Absolventinnen des ICT Security Experts Lesen »
• Erfahrungsbericht zur Prüfung zum eidg. Dipl. ICT Security Expert von Trainer Umberto Annino Lesen »
• Interview mit dem ehemaligen Teilnehmer Markus Hug Lesen »

Haltungen oder Soft Skills sind bei Menschen naturgemäss verschieden und stark von Erfahrungen geprägt. Im vorbereitenden Lehrgang an der Digicomp trainieren Sie diese gezielt in Prüfungs-Workshops. Sie erhalten wertvolle Good Practices sowie konstruktives Feedback von unseren erfahrenen Trainern Umberto Annino und Sascha Maier. Erfahren Sie mehr zum Lehrgang und zum Abschluss an unseren Infoabenden. Wir freuen uns auf Sie!