Differenzierung IT-Admin vs. ITSiBe
Hallo zusammen,
Ich bin aktuell IT-Admin eines mittelständischen Unternehmens mit mehreren Jahren IT-Erfahrung und ausgebildeter IT-Systemelektroniker.
Für mein Unternehmen (aber auch für mich selbst) habe ich vor einiger Zeit die Weiterbildung zum IT-Sicherheitsbeauftragten (ITSiBe) abgeschlossen und möchte diese Tätigkeit in Personalunion durchführen.
Da dies meiner Meinung nach eine (nicht unerhebliche) Kompetenzerweiterung ist, würde ich dies natürlich gerne in die Gehaltsverhandlungen einbeziehen.
Ich habe festgestellt, dass es für Fachfremde schwer ist, die Unterschiede dieser beiden Berufe herauszustellen, was zu einer höheren Bezahlung führen sollte.
Ich wollte einmal hier im Forum nach Gleichgesinnten fragen, wie ihr unter Umständen diese Hürde genommen habt. Wie sieht bei euch der Alltag mit der Aufgabe als ITSiBe und IT-Administration aus, wie weit hat sich das zu Früher mit reiner IT-Administration geändert?
Ich höre oft auch das Argument, dass ein IT-Admin ja auch eine gewisse IT-Sicherheit an den Tag legen muss.
Inwiefern setzt sich dann der ITSiBe vom Tätigkeitsbereich des "normalen" IT-Admins ab, was ein höheres Gehalt begründen könnte?
Könntet ihr mir da weiterhelfen?
Herzlichen Dank schon einmal im Voraus!
Ich bin aktuell IT-Admin eines mittelständischen Unternehmens mit mehreren Jahren IT-Erfahrung und ausgebildeter IT-Systemelektroniker.
Für mein Unternehmen (aber auch für mich selbst) habe ich vor einiger Zeit die Weiterbildung zum IT-Sicherheitsbeauftragten (ITSiBe) abgeschlossen und möchte diese Tätigkeit in Personalunion durchführen.
Da dies meiner Meinung nach eine (nicht unerhebliche) Kompetenzerweiterung ist, würde ich dies natürlich gerne in die Gehaltsverhandlungen einbeziehen.
Ich habe festgestellt, dass es für Fachfremde schwer ist, die Unterschiede dieser beiden Berufe herauszustellen, was zu einer höheren Bezahlung führen sollte.
Ich wollte einmal hier im Forum nach Gleichgesinnten fragen, wie ihr unter Umständen diese Hürde genommen habt. Wie sieht bei euch der Alltag mit der Aufgabe als ITSiBe und IT-Administration aus, wie weit hat sich das zu Früher mit reiner IT-Administration geändert?
Ich höre oft auch das Argument, dass ein IT-Admin ja auch eine gewisse IT-Sicherheit an den Tag legen muss.
Inwiefern setzt sich dann der ITSiBe vom Tätigkeitsbereich des "normalen" IT-Admins ab, was ein höheres Gehalt begründen könnte?
Könntet ihr mir da weiterhelfen?
Herzlichen Dank schon einmal im Voraus!
Please also mark the comments that contributed to the solution of the article
Content-ID: 7619456727
Url: https://administrator.de/contentid/7619456727
Printed on: November 3, 2024 at 00:11 o'clock
14 Comments
Latest comment
Moin,
ich sehe da kein Problem.
Als Admin ist man per Definition eh für Sicherheit zuständig.
Also hast Du eine Zusatzausbildung um in Deiner Arbeit Dinge zu sehen, welche die Sicherheit beeinträchtigen könnten. Auch kannst Du bei Planungen das Thema Sicherheit besser berücksichtigen.
Ein ITSiBe der kein Admin ist, kann viele Dinge nicht sehen weil er kein Admin ist.
Wir sprechen ja hier nicht vom Datenschutzbeauftragten.
Stefan
ich sehe da kein Problem.
Als Admin ist man per Definition eh für Sicherheit zuständig.
Also hast Du eine Zusatzausbildung um in Deiner Arbeit Dinge zu sehen, welche die Sicherheit beeinträchtigen könnten. Auch kannst Du bei Planungen das Thema Sicherheit besser berücksichtigen.
Ein ITSiBe der kein Admin ist, kann viele Dinge nicht sehen weil er kein Admin ist.
Wir sprechen ja hier nicht vom Datenschutzbeauftragten.
Stefan
Moin,
ich sehe den ITS Beauftragten als Kontrollgremium und vorgebende Instanz - den Sysadmin als Umsetzer.
Ich würde empfehlen, dass diese Person aber nicht auch die gleichen Systeme administriert, wie @Lochkartenstanzer ja auch schon begründet hat.
VG
ich sehe den ITS Beauftragten als Kontrollgremium und vorgebende Instanz - den Sysadmin als Umsetzer.
Ich würde empfehlen, dass diese Person aber nicht auch die gleichen Systeme administriert, wie @Lochkartenstanzer ja auch schon begründet hat.
VG
Zitat von @StefanKittel:
Ein ITSiBe der kein Admin ist, kann viele Dinge nicht sehen weil er kein Admin ist.
Ein ITSiBe der kein Admin ist, kann viele Dinge nicht sehen weil er kein Admin ist.
Ich habe kein Problem damit, daß ein IT-Sicherheitsbeauftragter auch ein Admin ist, er sollte sogar Admin-Erfahrung haben! Aber wenn er das in Personalunion für die von ihm betreuten Systeme macht sehe ich da einen Interessenkonflikt, der ihn für manche Fehler blind machen könnte.
Wir sprechen ja hier nicht vom Datenschutzbeauftragten.
Auch der soltle Adminerfahrung haben. Sonst sieht er nämlich auch nicht, wo die Probleme liegen.
lks
Moin,
Bin bei @Lochkartenstanzer
Da wird dann der Bock zum Gärtner.
Das funktioniert nicht. Wäre so, als wenn der Aufsichtsrat eines Unternehmens von Mitgliedern des Vorstandes besetzt werden würde.
Ein offiziell benannter IT-Sicherheitsbeauftragter darf niemals ein aktiver ITler im selben Unternehmen sein. Ebenso wie dein DSB keine leitende Funktion inne haben darf.
Bin bei @Lochkartenstanzer
Da wird dann der Bock zum Gärtner.
Das funktioniert nicht. Wäre so, als wenn der Aufsichtsrat eines Unternehmens von Mitgliedern des Vorstandes besetzt werden würde.
Ein offiziell benannter IT-Sicherheitsbeauftragter darf niemals ein aktiver ITler im selben Unternehmen sein. Ebenso wie dein DSB keine leitende Funktion inne haben darf.
In kurzen Worten würde ich das so beschreiben:
Der Admin administriert und implementiert. Der Sicherheitsbeauftragte betrachtet das was der Admin macht (machen will) mit dem Fokus auf die Sicherheit.
Einfaches Beispiel:
Der Admin will einen Webdienst veröffentlichen und hat vor das einfach per Portweiterleitung zu tun.
Der Sicherheitsbeauftragte kommt dann um die Ecke und sagt, dass er da mindestens einen ReverseProxy davor haben will und bestimmte Unterverzeichnisse nicht von extern erreichbar sein dürfen.
Ein verantwortungsvoller Admin wird in seine Vorhaben auch immer (oder sollte das zumindest) Sicherheitsaspekte einfließen lassen.
In Richtung Geschäftsleitung berät der Sicherheitsbeauftragte ggf zusammen mit dem Admin, warum der einfachste und billigste Weg meist nicht der beste und sicherste ist.
Ich denke, das geht durchaus auch in Personalunion wenn man es entsprechend angeht. Nur ist für Dritte dann nicht immer klar, ob jetzt gerade der Admin spricht oder der Sicherheitsbeauftragte. Außerdem macht man sich - wenn man den Job richtig macht - als Sicherheitsbeauftragter, ähnlich wie bspw die Fachkraft für Arbeitssicherheit oder der Brandschutzbeauftragte nicht unbedingt Freunde und auch nicht beliebt bei GL und Kollegen 😉
Manuel
Der Admin administriert und implementiert. Der Sicherheitsbeauftragte betrachtet das was der Admin macht (machen will) mit dem Fokus auf die Sicherheit.
Einfaches Beispiel:
Der Admin will einen Webdienst veröffentlichen und hat vor das einfach per Portweiterleitung zu tun.
Der Sicherheitsbeauftragte kommt dann um die Ecke und sagt, dass er da mindestens einen ReverseProxy davor haben will und bestimmte Unterverzeichnisse nicht von extern erreichbar sein dürfen.
Ein verantwortungsvoller Admin wird in seine Vorhaben auch immer (oder sollte das zumindest) Sicherheitsaspekte einfließen lassen.
In Richtung Geschäftsleitung berät der Sicherheitsbeauftragte ggf zusammen mit dem Admin, warum der einfachste und billigste Weg meist nicht der beste und sicherste ist.
Ich denke, das geht durchaus auch in Personalunion wenn man es entsprechend angeht. Nur ist für Dritte dann nicht immer klar, ob jetzt gerade der Admin spricht oder der Sicherheitsbeauftragte. Außerdem macht man sich - wenn man den Job richtig macht - als Sicherheitsbeauftragter, ähnlich wie bspw die Fachkraft für Arbeitssicherheit oder der Brandschutzbeauftragte nicht unbedingt Freunde und auch nicht beliebt bei GL und Kollegen 😉
Manuel
Zitat von @TheHille:
Dass es hier einen möglichen Interessenkonflikt geben könnte, war mir vorher bewusst. Allerdings wird diese Fortbildung auch für IT-Admins beworben. Bei einem kleinen Unternehmen mit knapp 100 Mitarbeitern und nur anderthalb Admins, ist das anders auch relativ schwierig.
Dass es hier einen möglichen Interessenkonflikt geben könnte, war mir vorher bewusst. Allerdings wird diese Fortbildung auch für IT-Admins beworben. Bei einem kleinen Unternehmen mit knapp 100 Mitarbeitern und nur anderthalb Admins, ist das anders auch relativ schwierig.
Diese Form des Interessenkonflikts spielt in der Praxis keine Rolle. Die Funktionstrennung ist eine Maßnahme, die wie jede andere Maßnahme Praktikabilitätsgrenzen unterliegt. Das verbleibende Risiko muss bewertet und angemessen behandelt werden.
Wenn deine Fortbildung inhaltlich zum IT-Sicherheitsbeauftragten war, ist der Punkt ein anderer: Die angestrebte ISO 27001-Zertifizierung setzt einen Informationssicherheitsbeauftragten voraus. Das sind zwei leicht verschiedene Profile, die bei dieser Größe natürlich in der Regel auch personell zusammentreffen, aber auch eine weitere Administrationstätigkeit allein duch den nötigen Zeitaufwand ausschließen.
Die Zertifizierungsabsicht bestimmt hier den Schwerpunkt der Position, was Fragen aufwirft:
- Hat die Fortbildung auf die weiteren Governance-Aspekte vorbereitet, oder ist "IT-Sicherheitsbeauftragter" wörtlich zu nehmen?
- Wird ein Admin, der ggf. bislang nur den "IT-Sicherheitsbeauftragten" vor Augen hatte, als Informationssicherheitsbeauftragter im eigentlichen Sinne überhaupt glücklich?
- Sieht eine Geschäftsführung den IT-Admin in einer solchen Position? Das kann gut sein, man kann aber auch gut den Bogen zu den Antworten hier schlagen, die schon Inkompatibilitäten in der Denkweise aufzeigen.
Die Frage ist, wie begründe ich die Zusatzqualifikation gegenüber der Geschäftsführung, um den Mehraufwand über das Gehalt geltend zu machen?
Das kann dir so niemand beantworten. Die Erwartung ist verständlich. Ob du sie durchsetzen kannst, und beim bestehenden oder nur einem anderen Unternehmen, hängt von vielen anderen Faktoren ab. Der Abstand von Informationssicherheitsbeauftragten - per Definition eine Position mit gewisser Seniorität - zu ähnlich erfahrenen Admins ist aus meiner Sicht nicht allzu groß; eben weil hier recht unterschiedliche Qualifikationsprofile eher parallel als in Aufstiegsserie liegen.
Grüße
Richard
Hallo,
das hängt ja Alles von der größe des Unternehmenes an.
Der TO meinte ja es wären 100 MA und 1,5 Admins.
Viele KMU Kunden die ich kenne bis 100 MA haben gar keinen eigenen IT-Ler.
Das macht ein IT-Systemhaus oder ein externen Einzel-IT-Ler. Der Datenschutzbeauftragte und der ITSiBe sind Externe auf dem Papier die noch nie vor Ort waren.
Also ist in diesem Zusammenhang alles besser als es gar nicht zu machen.
Noch besser wäre es alles aufzuteilen, aber wenn die Stellen nicht da sind, wird das halt nichts.
Das Thema NIS2 wird in diesem Zusammenhang noch sehr unterhaltsam.
Stefan
das hängt ja Alles von der größe des Unternehmenes an.
Der TO meinte ja es wären 100 MA und 1,5 Admins.
Viele KMU Kunden die ich kenne bis 100 MA haben gar keinen eigenen IT-Ler.
Das macht ein IT-Systemhaus oder ein externen Einzel-IT-Ler. Der Datenschutzbeauftragte und der ITSiBe sind Externe auf dem Papier die noch nie vor Ort waren.
Also ist in diesem Zusammenhang alles besser als es gar nicht zu machen.
Noch besser wäre es alles aufzuteilen, aber wenn die Stellen nicht da sind, wird das halt nichts.
Das Thema NIS2 wird in diesem Zusammenhang noch sehr unterhaltsam.
Stefan
Was sich halt EU-Sesselfurzer so ausdenken.
lks
In einem meiner bisherigen Unternehmen, war das auch etwas gruselig mit den Funktionen. Für sich auch ein KMU (ca. 300 MA) aber Teil einer größeren Gruppe (ca. 1100 MA). Unsere lokale IT war 8 Personen. Dazu noch an weiteren 4 Standorten weitere 7 ITler. Mein direkter Vorgesetzter war der "Head of Infrastucture", gleichzeitig aber auch DSB und einige Jahre zeitgleich der "IT-Security Officer". DAS war wirklich ein großer Interessenkonflikt in meinen Augen.
In meiner jetzigen Position (anderes Unternehmen) leite ich das IT-Team aber auch das Thema NIS2 und evtl. Einstufung zu einem KRITIS-Betreiber, stellt uns vor Herausforderungen wie wir das personell abfangen ohne interne Interessenkonflikte zu erschaffen.
In meiner jetzigen Position (anderes Unternehmen) leite ich das IT-Team aber auch das Thema NIS2 und evtl. Einstufung zu einem KRITIS-Betreiber, stellt uns vor Herausforderungen wie wir das personell abfangen ohne interne Interessenkonflikte zu erschaffen.