Fallbeispiel 1*:
Mit Blick auf die Kompetenzen sind die folgenden Eigenschaften besonders hervorzuheben: Unabhängigkeit, ohne Rollenkonflikte, Glaubwürdigkeit, Durchsetzungsfähigkeit, und Kommunikationsstärke.
Hierzu folgendes Fallbeispiel: in einer Organisation wird eine IT-Sicherheitsbeauftragte (IT-SiBe) ernannt. Diese ist – sozusagen in Personalunion – gleichzeitig IT-Leiterin. Belange der Informationssicherheit werden im Wesentlichen im Projektmodus durch einen Arbeitskreis von Mitarbeitern der IT-Abteilung adressiert. Die Geschäftsführung wird in regelmäßigen Abständen vom IT-SiBe über den Status der Informationssicherheit unterrichtet. Die Vorbereitung dieser Managementberichte erfolgt über den erwähnten Arbeitskreis. In einer der Vorbereitungssitzungen wird das Thema künftiger Risiken diskutiert. Es besteht Einigkeit, dass ein anstehendes großes IT-Projekt sehr deutlich erkennbare Risiken birgt – deren Wurzeln aber innerhalb der IT-Abteilung liegen. Man entscheidet sich, dieses Projekt im Managementbericht nicht zu erwähnen, um bei der Geschäftsführung keine schlafenden Hunde zu wecken.
Auch in anderen Angelegenheiten bemüht sich die IT-Abteilung um eine „positiv gefilterte“ Informationsversorgung – die Geschäftsführung als gesamtverantwortliche Instanz ist somit nur eingeschränkt entscheidungsfähig.
In diesem Fallbeispiel ist die IT-SiBe zwar durchsetzungsstark und kommunikativ, aber es fehlt ihr die Unabhängigkeit. Das Aufdecken von sicherheitsrelevanten Mängeln in der IT-Abteilung – die es im Übrigen immer geben wird – bringt die IT-SiBe in ihrer Rolle als IT-Leiterin in einen Rollenkonflikt. Positiv anzumerken ist allenfalls, dass technische Sicherheitsmaßnahmen recht zeit- und implementierungsnah durch die IT-Leitung angeordnet und durchgeführt werden können. Soll diese Organisationsform tatsächlich beibehalten werden, muss es eine starke interne IT-Revision geben, die die mangelnde Rollentrennung („separation of duties“) ein Stück weit lindert.
*Fiktives, aber realitätsnahes Fallbeispiel
