Der Managementansatz zum Thema Sicherheit…

In der aktuellen KES findet sich der Artikel Epische Macht ( keine stabile URL , da der Archivzugang mit den stabilen URLs paßwortgeschützt und nur für Abonnenten ist).

Der Artikel konzentriert sich auf die Machtfülle von Systemadministratoren, und prägt das Wort “Machtumsetzungsgeschwindigkeit” in Bezug auf Systemadministratoren. Damit will der Autor (Stephen Feldke) darauf abheben, daß Root-Arbeiter besonders schnell besonders viel Schaden gemessen in Mio Euro/Minute anrichten können. Der Autor zieht Parallelen zu Prokura- und Budget-Regelungen, bei denen man bei bestimmten Transaktionen absichtlich mehr als eine Unterschrift für eine Entscheidung fordert, um Prozesse künstlich zu verlangsamen und Mehr-Augen-Prinzipien zu erzwingen.

Der Autor schlägt eine EPIS-Zertifizierung (“Extrem Privilegierte IT-Spezialisten”) für Sysadmins vor, die in kritischen Infrastrukturen nach BSI-Definition arbeiten (“volkswirtschaftlich oder gesellschaftlich besonders wichtige Institutionen, die für die Sicherheit und Stabilität eines Landes essenziell sind (u. a. Großbanken und Energieunternehmen sowie deren Dienstleister)”) . Für EPIS soll nach den Vorstellungen des Artikels eine “Zuverlässigkeits- beziehungsweise Sicherheitsüberprüfung als Pflichtmaßnahme der Risikovorsorge (möglicherweise sogar per Gesetz) vorgesehen” werden. “Die hierfür notwendige Validierung bezieht sich dabei weniger auf die fachliche Kompetenz als vielmehr auf die persönliche Zuverlässigkeit und Integrität.”

Der Artikel hat mir beim Lesen die ganze Zeit ein Lächeln auf das Gesicht gezaubert.

IT im allgemeinen und insbesondere der Markt für fähige Sysadmins ist ja sowieso schon in vielerlei Hinsicht ein Arbeitnehmermarkt. Verknappt man diesen Bestand durch EPIS-Requirements noch weiter, ist das für die Arbeitnehmer ein wichtiger Punkt, durch den sie ihren Wert noch weiter steigern können.

Andererseits ist die Maßnahme offensichtlich witzlos, oder der Autor lebt in einem komplett anderen Universum als ich.

In meiner Welt kenne ich Unternehmen, die gar keine Rechenzentren und Rechner mehr haben, sondern komplett aus der Cloud laufen. In meiner Welt versuchen Unternehmen ihre Agilität zu erhöhen und mehrere Rollouts von Code pro Tag zu realisieren. In meiner Welt haben Unternehmen hunderte offener Stellen im Bereich IT. In meiner Welt versuchen Unternehmen ihren Systembetrieb zu automatisieren und hunderte oder tausende von Rechnern automatisch zu administrieren.

In dieser Welt ist eine EPIS-Zertifizierung Augenwischerei.

Sie erhöht den Organisationswiderstand gegen Prozeßveränderungen und schwächt damit die Anpassungsfähigkeit des Unternehmens an Veränderungen des Umfeldes. Sie bringt keine meßbare Verbesserung der Sicherheit, solange man nicht auch im Bereich der Feature-Entwickler und im Bereich der Infrastrukturentwickler die Prozesse mächtig aufbläst - E4 bis E6 lassen grüßen und damit geht jedwede mühsam erarbeitete Agilität verloren.

Irgendwie kommt mir da der Wind der 90er Jahre aus dem Heft entgegen. Kann das sein?