So verändert der neue ISC2 Verhaltenskodex die Cybersecurity-Welt
Desinformation, digitale Bedrohungen und KI sind die grossen Herausforderungen im Bereich Cybersecurity. Um sie zu meistern braucht es mehr als Firewalls: Führungskräfte und Fachleute sind in der Pflicht, verantwortlich zu handeln. Als neuer Standard gilt hier der ISC2 Verhaltenskodex.
Das Motto «Schneller, höher, weiter» der Olympischen Spiele lässt sich wunderbar auf die digitale Transformation übertragen: Es gibt immer mehr Möglichkeiten, Daten zu erfassen, auszuwerten und zu interpretieren und das – auch dank Künstlicher Intelligenz (KI) – in einem kaum greifbaren Tempo.
Automatisierung, algorithmische Entscheidungsprozesse und die enge Mensch-Maschine-Interaktion erfordern deshalb mehr als rein technische Vorkehrungen, um Nutzende zu schützen. Ohne den ethischen Diskurs wird die Technik wertlos, wenn nicht gar gefährlich. Cybersecurity ohne Ethik – ein No-Go.
Wie das Olympia-Motto muss deshalb auch der Umgang mit der digitalen Transformation um den Zusatz «gemeinsam» ergänzt werden: Es braucht ethische Richtlinien, nach denen Fachleute in der Cybersecurity-Branche handeln. Eine solche ist der neue ISC2 Verhaltenskodex, der Code of Professional Conduct.
Was ist neu am ISC2 Verhaltenskodex?
Der ISC2 Verhaltenskodex «Code of Professional Conduct» ist ein globaler Leitfaden für Cybersecurity-Fachleute, der von knapp 1400 Expertinnen und Experten entwickelt wurde. Er stellt klar definierte Erwartungen an die Pflichten und Verantwortlichkeiten, die Führungskräfte und IT-Expertinnen und -Experten erfüllen müssen.
Mit diesen Richtlinien, die als IT-Sicherheitsstandard 2026 gelten, können die Fachkräfte fundierte Entscheidungen treffen und so das Vertrauen in die Technik stärken. Der Verhaltenskodex soll sie insbesondere auch in Situationen unterstützen, für die es noch keine klare Regeln gibt. Denn gerade der Bereich Cybersecurity entwickelt sich rasant, sodass Fachleute häufig für bisher unbekannte Probleme Lösungen finden müssen.
Der Code of Professional Conduct basiert auf dem ISC2 Ethikkodex. Beide Richtlinien ergänzen sich, legen aber andere Schwerpunkte:
| Code of Ethics | Code of Professional Conduct | |
| Fokus | Grundlegende Werte | Konkrete Handlungsanweisungen |
| Charakter | Allgemein gehalten | Praktisch, detailliert |
| Zweck | Leitfaden für ethische Entscheidungsfindung | Globaler Standard für Cybersecurity-Fachleute |
| Verbindlichkeit | Für alle ISC2 Mitglieder, Voraussetzung für ISC2 Zertifizierungen | Nicht auf ISC2 Mitglieder beschränkt, sondern für die gesamte Cybersecurity-Community gedacht |
Der Unterschied zwischen beiden Richtlinien besteht zusammengefasst darin: Während der Ethikkodex die Prinzipien erklärt und betont, warum IT-Fachkräfte ethisch handeln sollen, übersetzt der Verhaltenskodex diese in konkrete Handlungsanweisungen und beschreibt, wie sich Fachleute im Job optimal verhalten.
Die zwei Säulen der Verantwortung
Der ISC2 Verhaltenskodex legt ethische Grundsätze fest, nach denen Cybersecurity-Fachleute gerecht und verantwortungsbewusst handeln und auch in komplexen Situationen fundierte Entscheidungen treffen. Hierzu basiert der Kodex auf den zwei Leiprinzipien «Ethik» und «berufliches Verhalten».
Ethik
Die erste Säule behandelt Themen, die zum Schutz der Gesellschaft beitragen und den guten Ruf des Berufstands wahren:
- Integrität: In allen Arbeitsbereichen Ehrlichkeit und Transparenz wahren
- Vertraulichkeit: Verantwortlicher Umgang mit verschiedenen Datentypen
- Einhaltung von Gesetzen, Vorschriften und Unternehmensrichtlinien
- Risiken erkennen und sichere Vorgehensweisen fördern
- Verantwortungsvoller Umgang mit neuen Technologien
Berufliches Verhalten
Die zweite Säule widmet sich thematisch den konkreten Handlungspflichten von Cybersecurity-Fachleuten:
- Verantwortung & Rechenschaftspflicht: Menschen und Daten schützen, Risiken klar kommunizieren
- Kollaboration: respektvoll zusammenarbeiten, klar kommunizieren
- Eigene Kompetenzen ehrlich kommunizieren
- kontinuierliche Verbesserung durch Weiterbildung
- Probleme, Bedenken und Sicherheitslücken melden
Cybersecurity im Zeitalter der KI
Künstliche Intelligenz hat viele positive Auswirkungen auf unseren Arbeitsalltag: Sie verbessert die Zusammenarbeit von Teams und steigert die Produktivität. Auch für den Bereich Cybersecurity ist KI relevant – sowohl als Schutzschild als auch als Angriffswaffe.
Hacker nutzen die Technologie, um Angriffe schnell durchzuführen und dabei gezielt auf ihre Opfer zuzuschneiden – mit Hilfe von Deepfakes zum Beispiel. Zum Schutz vor Cyberattacken wird KI vor allem in Form von Machine Learning als Malwarescanner eingesetzt, um Schadcodes – auch neue – schneller zu erkennen.
Laut einer Studie von Trend Micro setzen bereits 77 Prozent der Schweizer Unternehmen KI-gestützte Tools ein, um ihre Cyberabwehr zu stärken. Gleichzeitig nehmen Unternehmen die Technologie aber auch als zweitgrösstes Risiko wahr, direkt hinter Cyberangriffen. Wohl auch, weil KI im Arbeitsalltag der Schweizerinnen und Schweizer längst angekommen ist: Mehr als 88 Prozent der Büroangestellten nutzen die Technologie, jede zweite Person ist im Umgang mit ihr aber sorglos und gibt auch sensible Daten in Anwendungen ein.
Für ein sicheres digitales Miteinander braucht es im Zeitalter der KI umso dringlicher standardisierte Rahmenbedingungen und verbindliche Richtlinien. Dazu gehören technische Vorkehrungen wie Zero-Trust-Modelle, Ent-to-End-Verschlüsselung und klare Identitätsbestätigung ebenso wie die ethischen Handlungsempfehlungen im ISC2 Verhaltenskodex. Nur so lässt sich auch die unkontrollierte Parallelwelt von KI-Anwendungen, die sogenannte «Shadow AI», verhindern.
Der Nutzen für Unternehmen und Profis
Die Verantwortung, die Cybersercurity-Expertinnen und -Experten tragen, ist gross: Sie schützen Individuen, Organisationen und Systeme weltweit vor Angriffen. Der Code of Professional Conduct bietet Unternehmen und Cybersecurity-Fachkräften eine gemeinsame Grundlage und ist deshalb von hohem Wert. Denn er unterstützt sie dabei, komplexe Probleme zu lösen, sich rechtlich abzusichern und so das Vertrauen des Kollegiums, der Stakeholder und der Kundschaft zu stärken.
Kompetenzen im Bereich Cybersecurity weist du als Profi übrigens mit ISC2 Zertifizierungen nach. Mit unseren Trainings bereitest du dich auf die ISC2 Zertifizierung in der Schweiz optimal vor.
Zukunftsausblick: Der ISC2 Verhaltenskodex als «Living Document»
Der neue Code of Professional Conduct fusst auf der Erfahrung von fast 1400 Expertinnen und Experten, die ehrenamtlich an der Erstellung mitgewirkt haben. Dennoch ist er kein abgeschlossenes Werk. Vielmehr soll der Verhaltenskodex als «living document» fortwährend ergänzt und spezifiziert werden – schliesslich entwickelt sich auch der Bereich Cybersecurity stetig weiter. Wenn du als Cybersecurity-Spezialistin oder -Spezialist etwas beitragen kann, wende dich direkt an per E-Mail ICS2 (codeofconducttaskforce@isc2.org).