Wonach suchen Sie?

Skip to main content

IT-Security III: Zertifikate

Wenn Sie denken, Zertifikate seien ein Phänomen der IT-Welt, dann schauen Sie beim nächsten Besuch in der Autowerkstatt mal genauer hin. Wo früher ein Meisterbrief an der Wand hing, reihen sich heute Bilderrahmen an Bilderrahmen. Damit jeder sieht, was das Unternehmen kann: einzelne Modelle, spezielle Arbeiten oder das Verständnis neuer Techniken.

Dabei muss man grundsätzlich zwischen zwei Arten von Zertifikaten unterscheiden: denen für einen Menschen und denen für eine ganze Organisation, etwa ein Unternehmen. Klar ist es schön, wenn sich Ihr IT-Fachmann eine Bescheinigung von Cisco verdient, die ihn für eine besondere technische Beratung qualifiziert. Doch wenn er eines Tages das Unternehmen verlassen sollte, nimmt er seine speziellen Kenntnisse und damit auch den Mehrwert für das Unternehmen mit. Denn so manche Firmenzertifizierung hat neben anderen Anforderungen auch die technische Qualifizierung von Mitarbeitern zur Bedingung.

Zertifikate sind wie Qualitätsversprechen

Lässt man jedoch eine Firma auditieren, so ist klar hinterlegt, welche Ansprüche damit an die Organisation gestellt werden. Etwa an die Sicherheit der Informationen oder das Management der Qualität. Hier geht es in erster Linie nicht um die Qualifizierung der Mitarbeiter, sondern um die Wirkung des gesamten Unternehmens nach außen. Und eben darum, dass es das, was es seinen Kunden verspricht, auch wirklich einhalten kann.

Die schwarzen Schafe sind heute nicht mehr die, die sich nicht zertifizieren lassen. Gewisse Zertifikate gehören mittlerweile zum Standard. Wer sie nicht hat, verpasst den Anschluss an Aufträge, Kunden und die Zukunftssicherheit. Den Unterschied machen die Absichten, die dahinterstehen.

Dort, wo eine Zertifizierung nur zum Selbstzweck betrieben wird, sind die Wirkungen oft gering. Anders sieht es aus, wenn der Wunsch nach Verbesserung der Antrieb ist. Wo die Prozesse und Werte eines Unternehmens geprüft, bewertet und optimiert werden, werden durch Audits wertvolle Anregungen aufgenommen und schließlich verbindlich und dauerhaft umgesetzt.

Googelt man IT-Zertifikate, so findet man einen Wikipedia-Eintrag mit mehr als 50 Beispielkapiteln, die teilweise selbst aus einem Dutzend Unterpunkten bestehen. „Unsere Mitarbeiter bringen es im Schnitt auf 20 bis 30 Zertifikate“, sagt der Sicherheitsbeauftragte eines mittelständischen IT-Dienstleisters. Was man hier lernt, unterscheidet sich gravierend vom Fahrradfahren. Das verlernt man bekanntermaßen nicht und muss es auch niemandem beweisen. Geht es aber um das mit Brief und Siegel bescheinigte Verständnis von Techniken oder Prozessen, so fordern Hersteller, Kunden und Institute, dass dies regelmäßig erneut belegt wird.

Zeitverschwendung sei das aber nicht, sagt der Experte. „Dieser Austausch ist wichtig für uns. Hier gibt es neue Erkenntnisse, neues Wissen.“ Der leitende Angestellte selbst schätzt seinen Aufwand für Zertifizierungen auf rund drei Wochen pro Jahr.

Was will man erreichen? Vor dem Zertifikat steht die Strategie

Die Zertifikate müssen sich selbstverständlich nach dem Bedarf richten. Und man zertifiziert auch nicht einfach drauflos. Vorher bedarf es Antworten auf die Fragen: Welche Zertifizierungen brauche ich unbedingt? Welche sind verzichtbar oder können noch warten? Was will ich mit den Prüfungen eigentlich erreichen? Mit welchem Ziel gehe ich in den Auditierungsprozess? Welche Prozesse kann ich vorab optimieren, welche Mängel beseitigen? Und vor allem: Wie hoch ist der Aufwand?

In vielen Branchen geht es heute ohne ein nach der ISO-Norm 9001 zertifiziertes Qualitätsmanagement gar nicht mehr. Autohersteller machen dies ebenso zur Bedingung wie Pharma- oder Healthcare-Unternehmen. Die Zulieferer haben dann gar keine Wahl, denn der Kunde stellt glasklare Forderungen an die Art der Zertifizierung.

Dabei kommt es aber immer wieder vor, dass Firmen, die sich erstmals zertifizieren lassen, den Aufwand unterschätzen. Denn es ist nicht damit getan, einen Mitarbeiter zum Qualitätsmanager zu benennen und ihm ein paar Tage Zeit pro Woche einzuräumen. Ein Plan muss her. Zertifikate nach ISO sind bei einem 200-Mann-Unternehmen kaum unter 600 Mannstunden zu bewerkstelligen. Die Ersteinführung kann sich somit hinziehen. Anderthalb oder gar zwei Jahre sind keine Seltenheit.

Wer sein grünes Gewissen werbewirksam zeigen will, der lässt sich nach ISO 14001 das Umweltmanagement zertifizieren. Und wer mit wichtigen Daten und Informationen hantiert, für den kann die Zertifizierung der IT-Sicherheit und des Servicemanagements nach ISO 27001 sinnvoll sein. Und machen wir uns nichts vor: Mit wichtigen digitalisierten Informationen arbeitet heute doch jedes Unternehmen.

Das Urteil unabhängiger Prüfer bedeutet Glaubwürdigkeit

Das Gute an Zertifizierungen ist, dass sie ein unabhängiger Dritter vergibt. Hat man dieses Prädikat, so ist es glaubwürdig. Es sagt: Wir tun es nicht nur, sondern wir tun es auch richtig. Dabei kann es um die Organisation als Ganzes gehen, um ausgewählte Einheiten – etwa die Werkstatt im Autohaus oder die Service-Techniker im Systemhaus – oder sogar um die Kompetenz einzelner Personen.

Zu bedenken ist, dass man Zertifikate selbst im persönlichen Bereich nicht von heute auf morgen erwirbt. Es gibt Anmeldefristen, Ausbildungsdauer, Prüfungen. Hier gilt es also mit Weitsicht zu planen, die Leute eher überzuqualifizieren, als zaghaft zu sein. Sonst steht man ratlos da, wenn plötzlich ein Mitarbeiter ausfällt oder gar das Unternehmen verlässt.

Beratung gehört dazu und muss zum eigenen Anspruch passen

Die wichtigste und am häufigsten vertretene Zertifizierung ist die des Qualitätsmanagements. Sie belegt, dass die Organisation ihre Prozesse auf einem hohen Niveau standardisiert hat. Es zu haben, ist unerlässlich, wenn Qualität kein Zufall sein soll, sondern das berechenbare Produkt aus intelligenten Prozessen und Abläufen innerhalb des Unternehmens. Ein QM zu haben, ist Pflicht. Die Zertifizierung die Kür. Doch wie im Sport: Ohne die Kür gewinnt man nur Trostpreise.

Was im Sport der Trainer, ist bei der Auditierung der Berater. Er muss das Unternehmen in Form bringen, es disziplinieren und konditionieren, motivieren und nach seinen Stärken perfekt aufstellen. Und natürlich muss der Coach zum Team passen. Dann wird aus viel Potenzial ein Platz ganz oben im Medaillenspiegel.

Kontakt

Gerne beantworten wir Ihre Anfrage via E-Mail. Wünschen Sie lieber einen persönlichen Rückruf? Dann geben Sie gerne freiwillig Ihre Telefonnummer im entsprechenden Feld ein. Alternativ freuen wir uns auch über Ihren Anruf unter +49 7805 918 0.

* Pflichtfeld