BSI - Verantwortung Sicherheit in einem IT-Verbund mittlerer Größe
Hallo Leute,
nachdem ich von mrmomba den Tipp bekommen habe mal mit VERINICE und dem BSI Katalog meine Infrastruktur abzubilden ist mir aufgefallen,
dass ich gar nicht in der Lage bin hier als Einzelkämpfer die Sicherheit optimal zu gewährleisten.
Ich habe die Administration hier Mitte 2015 übernommen und Löcher gestopft wo ich konnte.
Das ging von XP-Clients bis hin zu Trivialpasswörtern und nicht vorhandenem Backup.
Mein Chef sieht Sicherheitsaspekte eher unkritisch. Habe schon diverse Male nach personeller Unterstützung gefragt.
Mein GF hält das für unnötig. Ich weise auch regelmäßig auf die Gefahren hin, werde dann aber immer als "Häkchenmacher" bezeichnet.
Bei einer Störung bin ich dann aber immer Schuldige. -.-
Hinzu kommt das ich dann auch noch andere stellenfremde Tätigkeiten übernehmen muss. Kaufmännische Auswertungen etc. weil ich der einzige bin
der mit Excel richtig gut umgehen kann. Serienbriefe fürs Marketing, ihr ahnt es schon ich bin auch in Word ganz gut. -.-
Wenn ich dann erwähne das Patchday ist, muss ich immer und immer wieder erklären warum das sein muss. Oder warum Wartungen bei Soft- und Hardware nötig sind.
Ja ich bin auch wirklich als EDV`ler eingestellt, steht so im Vertrag.
Ich sags mal so der Chef ist schon ziemlich alt (über 70). IT Grundwissen ist gleich 0.
Falls ich den Katalog richtig angewandt habe, sieht das folgendermaßen aus:
2.110 Maßnahmen nicht geprüft.
889 druchgeführt.
623 nicht durchgeführt.
Die Risikoanalyse ist dem entsprechend vernichtend. Für die Prüfung der restlichen Maßnahme bräuchte ich wohl Monate bei Vollbeschäftigung.
Wenn ich meinem Chef jetzt einen ~2000 Seiten langen Sicherheitsbericht hinlege, wird er mir den sicherlich über den Schädel ziehen, geschweige denn
unterzeichnen. Auch mit den Erklärungen aus dem BSI-Katalog wird er es nicht verstehen.
Das ich das Unternehmen wohl verlassen werde, steht für mich schon fest. Ich möchte aber ein sauberes Zwischenzeugnis und keine Regressforderungen.
Kann mir die Sicherheitslage jemand vorwerfen obwohl ich hoffnungslos überfordert bin?
In wie weit trage ich die Verantwortung/Haftung? Wie werde ich die Rechtsverbindlich dann los? Wie kann ich mich gegen ein unsauberes Zwischenzeugnis wehren?
nachdem ich von mrmomba den Tipp bekommen habe mal mit VERINICE und dem BSI Katalog meine Infrastruktur abzubilden ist mir aufgefallen,
dass ich gar nicht in der Lage bin hier als Einzelkämpfer die Sicherheit optimal zu gewährleisten.
Ich habe die Administration hier Mitte 2015 übernommen und Löcher gestopft wo ich konnte.
Das ging von XP-Clients bis hin zu Trivialpasswörtern und nicht vorhandenem Backup.
Mein Chef sieht Sicherheitsaspekte eher unkritisch. Habe schon diverse Male nach personeller Unterstützung gefragt.
Mein GF hält das für unnötig. Ich weise auch regelmäßig auf die Gefahren hin, werde dann aber immer als "Häkchenmacher" bezeichnet.
Bei einer Störung bin ich dann aber immer Schuldige. -.-
Hinzu kommt das ich dann auch noch andere stellenfremde Tätigkeiten übernehmen muss. Kaufmännische Auswertungen etc. weil ich der einzige bin
der mit Excel richtig gut umgehen kann. Serienbriefe fürs Marketing, ihr ahnt es schon ich bin auch in Word ganz gut. -.-
Wenn ich dann erwähne das Patchday ist, muss ich immer und immer wieder erklären warum das sein muss. Oder warum Wartungen bei Soft- und Hardware nötig sind.
Ja ich bin auch wirklich als EDV`ler eingestellt, steht so im Vertrag.
Ich sags mal so der Chef ist schon ziemlich alt (über 70). IT Grundwissen ist gleich 0.
Falls ich den Katalog richtig angewandt habe, sieht das folgendermaßen aus:
2.110 Maßnahmen nicht geprüft.
889 druchgeführt.
623 nicht durchgeführt.
Die Risikoanalyse ist dem entsprechend vernichtend. Für die Prüfung der restlichen Maßnahme bräuchte ich wohl Monate bei Vollbeschäftigung.
Wenn ich meinem Chef jetzt einen ~2000 Seiten langen Sicherheitsbericht hinlege, wird er mir den sicherlich über den Schädel ziehen, geschweige denn
unterzeichnen. Auch mit den Erklärungen aus dem BSI-Katalog wird er es nicht verstehen.
Das ich das Unternehmen wohl verlassen werde, steht für mich schon fest. Ich möchte aber ein sauberes Zwischenzeugnis und keine Regressforderungen.
Kann mir die Sicherheitslage jemand vorwerfen obwohl ich hoffnungslos überfordert bin?
In wie weit trage ich die Verantwortung/Haftung? Wie werde ich die Rechtsverbindlich dann los? Wie kann ich mich gegen ein unsauberes Zwischenzeugnis wehren?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 309203
Url: https://administrator.de/contentid/309203
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
1 Kommentar