Der Informationssicherheitsbeauftragte (ISB) im Unternehmen berät und unterstützt die Unternehmensleitung im Bereich der Informationssicherheit. Dieser Beitrag erklärt, wie der Informationssicherheitsbeauftragte im Unternehmen etabliert wird, welche Aufgaben er hat und ob der Informationssicherheitsbeauftragte intern oder extern beauftragt werden sollte.
Aufgaben des Informationssicherheitsbeauftragten
Bei der Beratung und Unterstützung der Unternehmensleitung beschränkt sich seine Tätigkeit nicht nur auf die IT-Umgebung. Ob analog oder digital — der ganzheitliche Schutz aller Informationen, die in einem Unternehmen verarbeitet werden, gelten auch für die Gebäudesicherheit, Dokumente und Aktenordner.
Wesentliche Steuerungsinstrumente sind die Leitlinie und die Richtlinie für Beschäftigte zur Informationssicherheit. Der Informationssicherheitsbeauftragten entwickelt diese in Abstimmung mit der Unternehmensleitung. Der Informationssicherheitsbeauftragte definiert diese zum Umgang mit jeder Art von Informationen im Innen- und Außenverhältnis. Er überwacht die Wirksamkeit und Angemessenheit und aktualisiert diese regelmäßig. Er macht den Nutzen der Regelungen messbar und steuert darüber die Anpassung der Prozesse an neue oder geänderte Gegebenheiten.
Ein Informationssicherheitsbeauftragter
- ermittelt die Anforderungen zwischen der Geschäftsleitung, der Fachbereiche und den Nutzern.
- analysiert vorhandene Sicherheitsmaßnahmen und führt Optimierungen herbei.
- ermittelt und definiert sicherheitsrelevante Objekte, Gefährdungen und Risiken
- entwickelt in Absprache mit der Geschäftsleitung die erforderlichen Sicherheitsziele.
- implementiert eines Informationsmanagement-System.
- dokumentiert die technischen und organisatorischen Maßnahmen.
- arbeitet Prozessbeschreibungen, Konzepte und Richtlinien für den Umgang mit relevanten Themen zur Informationssicherheit.
- sensibilisiert und schult Beschäftigte im Bereich der Informationssicherheit.
Regelmäßige Berichte an die Geschäftsleitung sorgen für eine belastbare und transparente Darstellung des aktuellen Sicherheitsniveaus. Der Informationssicherheitsbeauftragte unterstützt bei der Erstellung und Pflege der erforderlichen Dokumentation.
Vorteile eines Externen Informationssicherheitsbeauftragten
Der Aufgabenbereich eines Informationssicherheitsbeauftragten ist stark abhängig vom Geschäftsfeld und der Unternehmensgröße. Bei KMUs wird die Tätigkeit des Informationssicherheitsbeauftragen meist nicht in Vollzeit erbracht. Grundsätzlich ist die IT-Leitung aufgrund einer möglichen Befangenheit nicht geeignet als Funktionsinhaber geeignet.
Für die Umsetzung eines effektiven Konzeptes zur Informationssicherheit ist ein umfangreiches Wissen und viel Routine im Umgang mit Normen und Gesetzen erforderlich. Dieses Wissen steht in einem Unternehmen üblicherweise nicht aufgrund der täglichen Arbeit bereits zur Verfügung. Das Wissen muss speziell für diese Tätigkeit erworben werden. Das Aneignen von diesem Spezialwissen ist zeitaufwändig und in einer Teilzeittätigkeit kaum zu bewältigen.
Ein externer Informationssicherheitsbeauftragter bringt sowohl Wissen als auch Routine bereits mit und kann sich so unmittelbar mit dem Aufbau eines angemessenen Informationssicherheitsmanagements befassen.
Der Informationssicherheitsbeauftragte bewahrt Verschwiegenheit über alle ihm bekannt gewordenen Daten und Informationen des Unternehmens . Er verpflichtet sich gegenüber der Geschäftsführung schriftlich vorab auf die Einhaltung zur Vertraulichkeit gem. EU-Datenschutzgrundverordnung, Vertraulichkeit der Kommunikation (Fernmeldegeheimnis) und dem Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG).
Der Aufbau eines internen Informationssicherheitsbeauftragter lohnt sich
- bei größeren Unternehmen und in der Unternehmensgruppe.
- wenn wichtige Informationen im Unternehmen verarbeitet werden.
Der Einsatz eines externen Informationssicherheitsbeauftragten erfolgt überwiegend
- bei kleineren und mittelständischen Unternehmen.
- zur Vermeidung des Aufbaus interner Ressourcen.
Pflicht zur Bestellung eines Informationssicherheitsbeauftragten
Unternehmen, die eine kritische Infrastruktur (§ 8a BSIG ‑KritisV) betreiben, ist der Einsatz eines Informationssicherheitsbeauftragten indirekt verpflichtend, weil diese einer Berichtspflicht unterliegen, die nur von einem Informationssicherheitsbeauftragten geleistet werden kann.
Folgende Bereiche fallen im Rahmen des IT-Sicherheitsgesetzes zu den kritischen Infrastrukturen. Dabei sind entsprechende Schwellenwerte zu beachten:
- Energie: Strom- und Gasversorger, Kraftstoff‑, Heizöl und Fernwärmeversorger sowie sonstige Beteiligte an der Erzeugung bzw. Produktion, Übertragung und Verteilung der Energieformen . Schwellenwerte im Anhang 1.
- Wasser: Trinkwasserversorgung und Abwasserbeseitigung sowie sonstige Unternehmen in den Bereichen Wassergewinnung, ‑aufbereitung, ‑verteilung, ‑steuerung und ‑überwachung sowie Abwasserbehandlung, Gewässereinleitung. Schwellenwerte im Anhang 2.
- Ernährung: Lebensmittelversorgung, wie z.B. Produktion, Verarbeitung und Handel von Lebensmitteln. Schwellenwerte im Anhang 3.
- Informationstechnik und Telekommunikation: Sprach- und Datenübertragung, Datenspeicherung und ‑verarbeitung, wie z.B. IT-Hoster, DNS-Resolver, Rechenzentren, Vertrauensdienste. Schwellenwerte im Anhang 4.
- Gesundheit: Stationäre medizinische Versorgung, Versorger mit lebenserhaltenden Medizinprodukten oder verschreibungspflichtigen Arzneien sowie Dienstleister im Bereich der Laboratoriumsdiagnostik. Schwellenwerte im Anhang 5.
- Finanz- und Versicherungswesen: Dienstleister für die Bargeldversorgung, an kartengestütztem und konventionellem Zahlungsverkehr, der Verrechnung und Abwicklung von Wertpapier- und Derivatgeschäften sowie Versicherungsdienstleistungen. Schwellenwerte im Anhang 6.
- Transport und Verkehr: Personen- und Gütertransport. Schwellenwerte im Anhang 7.
Oftmals ist die Unternehmensleitung mit der fachgerechten Bewertung der Leistungsfähigkeit der internen oder externen IT-Abteilung zeitlich und fachlich überfordert. Eine strukturierte Analyse und Konzeption ist für den Betrieb der IT entscheidenden Kriterien Verfügbarkeit, Vertraulichkeit und Integrität erforderlich. Im Fall eines Angriffs oder einer Störung ist der Normalbetrieb möglichst schnell wieder herzustellen. Ein Informationssicherheitsbeauftragter kann dem Unternehmen wertvolle Hilfestellung leisten und baut eine solide und sichere Arbeitsumgebung auf.
Qualifikation eines Informationssicherheitsbeauftragten
Der Informationssicherheitsbeauftragte bringt sowohl die notwendige Fachkunde als auch Zuverlässigkeit mit. Aufgrund seiner Persönlichkeit hat er das volle Vertrauen der Geschäftsleitung. Er ist in der Lage, ein Informationssicherheitsmanagementsystem (ISMS) zu implementieren. Er prüft regelmäßig und gewährleistet die im ISMS definierten Prozesse und Berichtspflichten. Sehr gute Kenntnisse der ISO 27000-Normenreihe und des IT-Grundschutzes sind für die Beratung erforderlich.
Er nimmt regelmäßig an Fortbildungen teil, um auch aktuelle Änderungen und rechtliche Vorgaben, wie z.B. die DSGVO und das BDSG korrekt im Umfeld des Unternehmens zu berücksichtigen.
Der Informationssicherheitsbeauftragte ist nicht im Bereich der IT tätig, muss aber mit der IT-Abteilung auch einer Ebene kommunizieren können. Ein solides Wissen über die eingesetzten Systeme und Prozesse, zu Netzwerken, Routing und Firewalls ist für die wirksame Implementierung von Schutzmaßnahmen für das Unternehmensnetzwerk erforderlich.
Kosten eines externen Informationssicherheitsbeauftragten
Der Umfang der Tätigkeiten des externen Informationssicherheitsbeauftragten ist vertraglich geregelt, der Inhalt des Vertrages wird individuell festgelegt.
Üblicherweise umfasst die Tätigkeit des externen Informationssicherheitsbeauftragten die Abstimmung der Informationssicherheitsziele mit den Zielen des Unternehmens, die Erstellung der Leit- und Richtlinien zur Informationssicherheit einschließlich der regelmäßigen Überprüfung ihrer Aktualität sowie die Unterweisung der betroffenen Mitarbeiter. Weiterhin obliegt ihm der Aufbau, der Betrieb und die Weiterentwicklung der Organisation und der Konzeption zur Realisierung und Durchsetzung der getroffenen Regelungen. Der Informationssicherheitsbeauftragte unterstützt bei der Erstellung und der Verwaltung der für das Informationssicherheitsmanagement erforderlichen Dokumentation. Dies umfasst auch die Koordination der Erstellung von Betriebs- oder Dienstanweisungen und Prozessbeschreibungen. Die Abrechnung der Tätigkeiten des externen Informationssicherheitsbeauftragten erfolgt stundenweise, wobei im Vertrag üblicherweise ein Stundenkontingent vereinbart wird.
Fazit
Wenn Sie von meiner langjährigen Erfahrung in den Bereichen Datenschutz und Informationssicherheit profitieren wollen, nehmen Sie gern Kontakt auf. Ich berate diverse Unternehmen in verschiedenen Branchen und bringe umfassende Kenntnisse mit.
Ich begleite Sie bei der Erstellung eines Informationssicherheitssystems in Ihrem Unternehmen. Sie erreichen und halten ihr angestrebtes Sicherheitsniveau. Sofern Sie ein Zertifikat erreichen wollen, unterstütze ich Sie dabei, Ihre Ziele zu erreichen.