thehille
Goto Top

Differenzierung IT-Admin vs. ITSiBe

Hallo zusammen,

Ich bin aktuell IT-Admin eines mittelständischen Unternehmens mit mehreren Jahren IT-Erfahrung und ausgebildeter IT-Systemelektroniker.

Für mein Unternehmen (aber auch für mich selbst) habe ich vor einiger Zeit die Weiterbildung zum IT-Sicherheitsbeauftragten (ITSiBe) abgeschlossen und möchte diese Tätigkeit in Personalunion durchführen.

Da dies meiner Meinung nach eine (nicht unerhebliche) Kompetenzerweiterung ist, würde ich dies natürlich gerne in die Gehaltsverhandlungen einbeziehen.

Ich habe festgestellt, dass es für Fachfremde schwer ist, die Unterschiede dieser beiden Berufe herauszustellen, was zu einer höheren Bezahlung führen sollte.

Ich wollte einmal hier im Forum nach Gleichgesinnten fragen, wie ihr unter Umständen diese Hürde genommen habt. Wie sieht bei euch der Alltag mit der Aufgabe als ITSiBe und IT-Administration aus, wie weit hat sich das zu Früher mit reiner IT-Administration geändert?

Ich höre oft auch das Argument, dass ein IT-Admin ja auch eine gewisse IT-Sicherheit an den Tag legen muss.
Inwiefern setzt sich dann der ITSiBe vom Tätigkeitsbereich des "normalen" IT-Admins ab, was ein höheres Gehalt begründen könnte?

Könntet ihr mir da weiterhelfen?

Herzlichen Dank schon einmal im Voraus!

Content-ID: 7619456727

Url: https://administrator.de/contentid/7619456727

Printed on: November 3, 2024 at 00:11 o'clock

Lochkartenstanzer
Lochkartenstanzer Jun 22, 2023 updated at 15:16:56 (UTC)
Goto Top
Moin,

Ich halte die Personalunion für sicherheitstechnisch sehr bedenklich. Du wirst Deine eigenen Fehler nicht sehen, weil da das Korrektiv fehlt.

Ich als "Chef" würde da eher das Gehalt kürzen. face-smile


lks
StefanKittel
StefanKittel Jun 22, 2023 at 16:04:01 (UTC)
Goto Top
Moin,

ich sehe da kein Problem.
Als Admin ist man per Definition eh für Sicherheit zuständig.
Also hast Du eine Zusatzausbildung um in Deiner Arbeit Dinge zu sehen, welche die Sicherheit beeinträchtigen könnten. Auch kannst Du bei Planungen das Thema Sicherheit besser berücksichtigen.

Ein ITSiBe der kein Admin ist, kann viele Dinge nicht sehen weil er kein Admin ist.

Wir sprechen ja hier nicht vom Datenschutzbeauftragten.

Stefan
Tezzla
Tezzla Jun 22, 2023 at 16:17:49 (UTC)
Goto Top
Moin,

ich sehe den ITS Beauftragten als Kontrollgremium und vorgebende Instanz - den Sysadmin als Umsetzer.

Ich würde empfehlen, dass diese Person aber nicht auch die gleichen Systeme administriert, wie @Lochkartenstanzer ja auch schon begründet hat.

VG
Lochkartenstanzer
Lochkartenstanzer Jun 22, 2023 at 16:24:54 (UTC)
Goto Top
Zitat von @StefanKittel:

Ein ITSiBe der kein Admin ist, kann viele Dinge nicht sehen weil er kein Admin ist.

Ich habe kein Problem damit, daß ein IT-Sicherheitsbeauftragter auch ein Admin ist, er sollte sogar Admin-Erfahrung haben! Aber wenn er das in Personalunion für die von ihm betreuten Systeme macht sehe ich da einen Interessenkonflikt, der ihn für manche Fehler blind machen könnte.

Wir sprechen ja hier nicht vom Datenschutzbeauftragten.

Auch der soltle Adminerfahrung haben. Sonst sieht er nämlich auch nicht, wo die Probleme liegen.

lks
em-pie
em-pie Jun 22, 2023 at 16:44:46 (UTC)
Goto Top
Moin,

Bin bei @Lochkartenstanzer
Da wird dann der Bock zum Gärtner.

Das funktioniert nicht. Wäre so, als wenn der Aufsichtsrat eines Unternehmens von Mitgliedern des Vorstandes besetzt werden würde.

Ein offiziell benannter IT-Sicherheitsbeauftragter darf niemals ein aktiver ITler im selben Unternehmen sein. Ebenso wie dein DSB keine leitende Funktion inne haben darf.
TheHille
TheHille Jun 22, 2023 at 16:54:26 (UTC)
Goto Top
Hallo zusammen, danke für die Antworten bisher.

Dass es hier einen möglichen Interessenkonflikt geben könnte, war mir vorher bewusst. Allerdings wird diese Fortbildung auch für IT-Admins beworben. Bei einem kleinen Unternehmen mit knapp 100 Mitarbeitern und nur anderthalb Admins, ist das anders auch relativ schwierig.

Unser Unternehmen ist nicht verpflichtet, einen ITSiBe zu stellen, wollen in dem Bereich aber erstarken und streben sie ISO 27001 an.

Es kommt darauf an, was man daraus macht. Ich persönlich traue mir zu, meinen inneren IT-Admin dem inneren ITSiBe zu unterwerfen.

Die Frage ist, wie begründe ich die Zusatzqualifikation gegenüber der Geschäftsführung, um den Mehraufwand über das Gehalt geltend zu machen?

Bin ich ein Einhorn oder gibt es noch andere in meiner Situation?
manuel-r
manuel-r Jun 22, 2023 at 17:30:12 (UTC)
Goto Top
In kurzen Worten würde ich das so beschreiben:

Der Admin administriert und implementiert. Der Sicherheitsbeauftragte betrachtet das was der Admin macht (machen will) mit dem Fokus auf die Sicherheit.

Einfaches Beispiel:
Der Admin will einen Webdienst veröffentlichen und hat vor das einfach per Portweiterleitung zu tun.
Der Sicherheitsbeauftragte kommt dann um die Ecke und sagt, dass er da mindestens einen ReverseProxy davor haben will und bestimmte Unterverzeichnisse nicht von extern erreichbar sein dürfen.

Ein verantwortungsvoller Admin wird in seine Vorhaben auch immer (oder sollte das zumindest) Sicherheitsaspekte einfließen lassen.

In Richtung Geschäftsleitung berät der Sicherheitsbeauftragte ggf zusammen mit dem Admin, warum der einfachste und billigste Weg meist nicht der beste und sicherste ist.

Ich denke, das geht durchaus auch in Personalunion wenn man es entsprechend angeht. Nur ist für Dritte dann nicht immer klar, ob jetzt gerade der Admin spricht oder der Sicherheitsbeauftragte. Außerdem macht man sich - wenn man den Job richtig macht - als Sicherheitsbeauftragter, ähnlich wie bspw die Fachkraft für Arbeitssicherheit oder der Brandschutzbeauftragte nicht unbedingt Freunde und auch nicht beliebt bei GL und Kollegen 😉

Manuel
C.R.S.
C.R.S. Jun 22, 2023 at 18:13:31 (UTC)
Goto Top
Zitat von @TheHille:

Dass es hier einen möglichen Interessenkonflikt geben könnte, war mir vorher bewusst. Allerdings wird diese Fortbildung auch für IT-Admins beworben. Bei einem kleinen Unternehmen mit knapp 100 Mitarbeitern und nur anderthalb Admins, ist das anders auch relativ schwierig.

Diese Form des Interessenkonflikts spielt in der Praxis keine Rolle. Die Funktionstrennung ist eine Maßnahme, die wie jede andere Maßnahme Praktikabilitätsgrenzen unterliegt. Das verbleibende Risiko muss bewertet und angemessen behandelt werden.

Wenn deine Fortbildung inhaltlich zum IT-Sicherheitsbeauftragten war, ist der Punkt ein anderer: Die angestrebte ISO 27001-Zertifizierung setzt einen Informationssicherheitsbeauftragten voraus. Das sind zwei leicht verschiedene Profile, die bei dieser Größe natürlich in der Regel auch personell zusammentreffen, aber auch eine weitere Administrationstätigkeit allein duch den nötigen Zeitaufwand ausschließen.

Die Zertifizierungsabsicht bestimmt hier den Schwerpunkt der Position, was Fragen aufwirft:
  • Hat die Fortbildung auf die weiteren Governance-Aspekte vorbereitet, oder ist "IT-Sicherheitsbeauftragter" wörtlich zu nehmen?
  • Wird ein Admin, der ggf. bislang nur den "IT-Sicherheitsbeauftragten" vor Augen hatte, als Informationssicherheitsbeauftragter im eigentlichen Sinne überhaupt glücklich?
  • Sieht eine Geschäftsführung den IT-Admin in einer solchen Position? Das kann gut sein, man kann aber auch gut den Bogen zu den Antworten hier schlagen, die schon Inkompatibilitäten in der Denkweise aufzeigen.

Die Frage ist, wie begründe ich die Zusatzqualifikation gegenüber der Geschäftsführung, um den Mehraufwand über das Gehalt geltend zu machen?

Das kann dir so niemand beantworten. Die Erwartung ist verständlich. Ob du sie durchsetzen kannst, und beim bestehenden oder nur einem anderen Unternehmen, hängt von vielen anderen Faktoren ab. Der Abstand von Informationssicherheitsbeauftragten - per Definition eine Position mit gewisser Seniorität - zu ähnlich erfahrenen Admins ist aus meiner Sicht nicht allzu groß; eben weil hier recht unterschiedliche Qualifikationsprofile eher parallel als in Aufstiegsserie liegen.

Grüße
Richard
Milord
Milord Jun 22, 2023 at 20:36:19 (UTC)
Goto Top
Entweder du machst das eine oder andere, beides gleichzeitig macht kein Sinn.
StefanKittel
StefanKittel Jun 22, 2023 at 21:33:58 (UTC)
Goto Top
Hallo,

das hängt ja Alles von der größe des Unternehmenes an.
Der TO meinte ja es wären 100 MA und 1,5 Admins.

Viele KMU Kunden die ich kenne bis 100 MA haben gar keinen eigenen IT-Ler.
Das macht ein IT-Systemhaus oder ein externen Einzel-IT-Ler. Der Datenschutzbeauftragte und der ITSiBe sind Externe auf dem Papier die noch nie vor Ort waren.

Also ist in diesem Zusammenhang alles besser als es gar nicht zu machen.
Noch besser wäre es alles aufzuteilen, aber wenn die Stellen nicht da sind, wird das halt nichts.

Das Thema NIS2 wird in diesem Zusammenhang noch sehr unterhaltsam.

Stefan
Lochkartenstanzer
Lochkartenstanzer Jun 22, 2023 at 21:51:18 (UTC)
Goto Top
Zitat von @StefanKittel:

Das Thema NIS2 wird in diesem Zusammenhang noch sehr unterhaltsam.

Was sich halt EU-Sesselfurzer so ausdenken. face-sad

lks
TheHille
TheHille Jun 23, 2023 at 05:25:10 (UTC)
Goto Top
Zitat von @c.r.s.:

Wenn deine Fortbildung inhaltlich zum IT-Sicherheitsbeauftragten war, ist der Punkt ein anderer: Die angestrebte ISO 27001-Zertifizierung setzt einen Informationssicherheitsbeauftragten voraus. Das sind zwei leicht verschiedene Profile, die bei dieser Größe natürlich in der Regel auch personell zusammentreffen, aber auch eine weitere Administrationstätigkeit allein duch den nötigen Zeitaufwand ausschließen.

Die Zertifizierungsabsicht bestimmt hier den Schwerpunkt der Position, was Fragen aufwirft:
  • Hat die Fortbildung auf die weiteren Governance-Aspekte vorbereitet, oder ist "IT-Sicherheitsbeauftragter" wörtlich zu nehmen?
  • Wird ein Admin, der ggf. bislang nur den "IT-Sicherheitsbeauftragten" vor Augen hatte, als Informationssicherheitsbeauftragter im eigentlichen Sinne überhaupt glücklich?
  • Sieht eine Geschäftsführung den IT-Admin in einer solchen Position? Das kann gut sein, man kann aber auch gut den Bogen zu den Antworten hier schlagen, die schon Inkompatibilitäten in der Denkweise aufzeigen.


Die Fortbildung ging inhaltlich als "IT-Sicherheitsbeauftragter", alle Beteiligten (GF, HR, ich) meinen aber inhaltlich den ISB, die Stellenbeschreibung ist auch inhaltlich ISB. Entschuldigt bitte, diese Differenzierung habe ich auch erst vor Kurzem erst mitbekommen.

Wie @StefanKittel schon angemerkt hatte: Das Unternehmen legt Wert auf Wissen im Haus zu haben und "gönnt" sich einen eigenen IT-Ler. Da ich an sich schon recht Sicherheitsaffin bin, wollte ich meine Kompetenz entsprechend ausbauen. Dann kam die Schulung gerade recht, danach erwuchs der Wunsch, die ISO 27001 prophylaktisch zu machen, um für die zukünftigen Anforderungen gerüstet zu sein. Um die Ganze Sinnhaftigkeit kann man sich streiten, ist Ansichtssache.

Somit bin ich aktuell IT-Admin und zukünftiger ISB. Mein Kollege, der die IT aus der Historie betreut, hat (Unternehmen ist in den letzten Jahren ums 5-Fache gewachsen) aber selbst kein gelernter ITler ist, hat den Hut als Datenschutzbeauftrager auf.

Ich erzähle das nur, damit man meine Situation besser einschätzen kann. Dass IT-Admin, ITSiBe, IT-Leiter, DSB und ISB idealerweise fünf völlig verschiedene Personen sein sollen, versteht sich von selbst. Das ist aber in der jetzigen Situation nicht möglich.

Ich versuche als ISB mein möglichstes zu tun um das Unternehmen in Sachen ISO 27001 und den anderen Richtlinien zu unterstützen, ohne meine Haupttätigkeit als Admin zu vernachlässigen.

Aber diesen Mehrwert kann ich persönlich schwer quantifizieren und arbeitstechnisch einschätzen. Ebenso den Mehrwert an Gehalt, der in Relation steht.
Bei den Aufgaben ISB/IT-Admin fällt es mir aktuell leichter, dank Recherche.
Milord
Milord Jun 23, 2023 at 05:32:56 (UTC)
Goto Top
Das hört sich ja noch gruseliger an. Itler ist der Datenschutzbeauftragte..
Die Frage ist halt wie viel du aktuell verdienst um das einschätzen zu können, ansonsten kann man 400-500€ in den Raum werfen, wenn der Firma das scheinbar egal ist.
DerMaddin
DerMaddin Jun 23, 2023 at 07:09:04 (UTC)
Goto Top
In einem meiner bisherigen Unternehmen, war das auch etwas gruselig mit den Funktionen. Für sich auch ein KMU (ca. 300 MA) aber Teil einer größeren Gruppe (ca. 1100 MA). Unsere lokale IT war 8 Personen. Dazu noch an weiteren 4 Standorten weitere 7 ITler. Mein direkter Vorgesetzter war der "Head of Infrastucture", gleichzeitig aber auch DSB und einige Jahre zeitgleich der "IT-Security Officer". DAS war wirklich ein großer Interessenkonflikt in meinen Augen.

In meiner jetzigen Position (anderes Unternehmen) leite ich das IT-Team aber auch das Thema NIS2 und evtl. Einstufung zu einem KRITIS-Betreiber, stellt uns vor Herausforderungen wie wir das personell abfangen ohne interne Interessenkonflikte zu erschaffen.