Informationssicherheitsbeauftragte

Praxisnahe Umsetzung seit 2013

Ihr Experte für Datenschutz und Informationssicherheit

Der Informationssicherheitsbeauftragte (ISB) berät und unterstützt die Geschäftsleitung im Unternehmen im Bereich der Informationssicherheit

Kontaktaufnahme

Der Informationssicherheitsbeauftragte (ISB) im Unternehmen berät und unterstützt die Unternehmensleitung im Bereich der Informationssicherheit. Dieser Beitrag erklärt, wie der Informationssicherheitsbeauftragte im Unternehmen etabliert wird, welche Aufgaben er hat und ob der Informationssicherheitsbeauftragte intern oder extern beauftragt werden sollte.

Aufgaben des Informationssicherheitsbeauftragten

Bei der Beratung und Unterstützung der Unternehmensleitung beschränkt sich seine Tätigkeit nicht nur auf die IT-Umgebung. Ob analog oder digital — der ganzheitliche Schutz aller Informationen, die in einem Unternehmen verarbeitet werden, gelten auch für die Gebäudesicherheit, Dokumente und Aktenordner.

Wesentliche Steuerungsinstrumente sind die Leitlinie und die Richtlinie für Beschäftigte zur Informationssicherheit. Der Informationssicherheitsbeauftragten entwickelt diese in Abstimmung mit der Unternehmensleitung. Der Informationssicherheitsbeauftragte definiert diese zum Umgang mit jeder Art von Informationen im Innen- und Außenverhältnis. Er überwacht die Wirksamkeit und Angemessenheit und aktualisiert diese regelmäßig. Er macht den Nutzen der Regelungen messbar und steuert darüber die Anpassung der Prozesse an neue oder geänderte Gegebenheiten.

Ein Informationssicherheitsbeauftragter

ermittelt die Anforderungen zwischen der Geschäftsleitung, der Fachbereiche und den Nutzern.
analysiert vorhandene Sicherheitsmaßnahmen und führt Optimierungen herbei.
ermittelt und definiert sicherheitsrelevante Objekte, Gefährdungen und Risiken
entwickelt in Absprache mit der Geschäftsleitung die erforderlichen Sicherheitsziele.
implementiert eines Informationsmanagement-System.
dokumentiert die technischen und organisatorischen Maßnahmen.
arbeitet Prozessbeschreibungen, Konzepte und Richtlinien für den Umgang mit relevanten Themen zur Informationssicherheit.
sensibilisiert und schult Beschäftigte im Bereich der Informationssicherheit.

Regelmäßige Berichte an die Geschäftsleitung sorgen für eine belastbare und transparente Darstellung des aktuellen Sicherheitsniveaus. Der Informationssicherheitsbeauftragte unterstützt bei der Erstellung und Pflege der erforderlichen Dokumentation.

Vorteile eines Externen Informationssicherheitsbeauftragten

Der Aufgabenbereich eines Informationssicherheitsbeauftragten ist stark abhängig vom Geschäftsfeld und der Unternehmensgröße. Bei KMUs wird die Tätigkeit des Informationssicherheitsbeauftragen meist nicht in Vollzeit erbracht. Grundsätzlich ist die IT-Leitung aufgrund einer möglichen Befangenheit nicht geeignet als Funktionsinhaber geeignet.

Für die Umsetzung eines effektiven Konzeptes zur Informationssicherheit ist ein umfangreiches Wissen und viel Routine im Umgang mit Normen und Gesetzen erforderlich. Dieses Wissen steht in einem Unternehmen üblicherweise nicht aufgrund der täglichen Arbeit bereits zur Verfügung. Das Wissen muss speziell für diese Tätigkeit erworben werden. Das Aneignen von diesem Spezialwissen ist zeitaufwändig und in einer Teilzeittätigkeit kaum zu bewältigen.

Lohnt sich ein externer Informationssicherheitsbeauftragter? — Lohnt sich ein externer Informationssicherheitsbeauftragter (Foto: Austin Distel@unsplash.com)

Ein externer Informationssicherheitsbeauftragter bringt sowohl Wissen als auch Routine bereits mit und kann sich so unmittelbar mit dem Aufbau eines angemessenen Informationssicherheitsmanagements befassen.

Der Informationssicherheitsbeauftragte bewahrt Verschwiegenheit über alle ihm bekannt gewordenen Daten und Informationen des Unternehmens . Er verpflichtet sich gegenüber der Geschäftsführung schriftlich vorab auf die Einhaltung zur Vertraulichkeit gem. EU-Datenschutzgrundverordnung, Vertraulichkeit der Kommunikation (Fernmeldegeheimnis) und dem Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG).

Der Aufbau eines internen Informationssicherheitsbeauftragter lohnt sich

bei größeren Unternehmen und in der Unternehmensgruppe.
wenn wichtige Informationen im Unternehmen verarbeitet werden.

Der Einsatz eines externen Informationssicherheitsbeauftragten erfolgt überwiegend

bei kleineren und mittelständischen Unternehmen.
zur Vermeidung des Aufbaus interner Ressourcen.

Bundesamt für Sicherheit in der Informationstechnik

Pflicht zur Bestellung eines Informationssicherheitsbeauftragten

Unternehmen, die eine kritische Infrastruktur (§ 8a BSIG ‑KritisV) betreiben, ist der Einsatz eines Informationssicherheitsbeauftragten indirekt verpflichtend, weil diese einer Berichtspflicht unterliegen, die nur von einem Informationssicherheitsbeauftragten geleistet werden kann.

Folgende Bereiche fallen im Rahmen des IT-Sicherheitsgesetzes zu den kritischen Infrastrukturen. Dabei sind entsprechende Schwellenwerte zu beachten:

Energie: Strom- und Gasversorger, Kraftstoff‑, Heizöl und Fernwärmeversorger sowie sonstige Beteiligte an der Erzeugung bzw. Produktion, Übertragung und Verteilung der Energieformen . Schwellenwerte im Anhang 1.
Wasser: Trinkwasserversorgung und Abwasserbeseitigung sowie sonstige Unternehmen in den Bereichen Wassergewinnung, ‑aufbereitung, ‑verteilung, ‑steuerung und ‑überwachung sowie Abwasserbehandlung, Gewässereinleitung. Schwellenwerte im Anhang 2.
Ernährung: Lebensmittelversorgung, wie z.B. Produktion, Verarbeitung und Handel von Lebensmitteln. Schwellenwerte im Anhang 3.
Informationstechnik und Telekommunikation: Sprach- und Datenübertragung, Datenspeicherung und ‑verarbeitung, wie z.B. IT-Hoster, DNS-Resolver, Rechenzentren, Vertrauensdienste. Schwellenwerte im Anhang 4.
Gesundheit: Stationäre medizinische Versorgung, Versorger mit lebenserhaltenden Medizinprodukten oder verschreibungspflichtigen Arzneien sowie Dienstleister im Bereich der Laboratoriumsdiagnostik. Schwellenwerte im Anhang 5.
Finanz- und Versicherungswesen: Dienstleister für die Bargeldversorgung, an kartengestütztem und konventionellem Zahlungsverkehr, der Verrechnung und Abwicklung von Wertpapier- und Derivatgeschäften sowie Versicherungsdienstleistungen. Schwellenwerte im Anhang 6.
Transport und Verkehr: Personen- und Gütertransport. Schwellenwerte im Anhang 7.

Oftmals ist die Unternehmensleitung mit der fachgerechten Bewertung der Leistungsfähigkeit der internen oder externen IT-Abteilung zeitlich und fachlich überfordert. Eine strukturierte Analyse und Konzeption ist für den Betrieb der IT entscheidenden Kriterien Verfügbarkeit, Vertraulichkeit und Integrität erforderlich. Im Fall eines Angriffs oder einer Störung ist der Normalbetrieb möglichst schnell wieder herzustellen. Ein Informationssicherheitsbeauftragter kann dem Unternehmen wertvolle Hilfestellung leisten und baut eine solide und sichere Arbeitsumgebung auf.

Qualifikation eines Informationssicherheitsbeauftragten

Der Informationssicherheitsbeauftragte bringt sowohl die notwendige Fachkunde als auch Zuverlässigkeit mit. Aufgrund seiner Persönlichkeit hat er das volle Vertrauen der Geschäftsleitung. Er ist in der Lage, ein Informationssicherheitsmanagementsystem (ISMS) zu implementieren. Er prüft regelmäßig und gewährleistet die im ISMS definierten Prozesse und Berichtspflichten. Sehr gute Kenntnisse der ISO 27000-Normenreihe und des IT-Grundschutzes sind für die Beratung erforderlich.

Er nimmt regelmäßig an Fortbildungen teil, um auch aktuelle Änderungen und rechtliche Vorgaben, wie z.B. die DSGVO und das BDSG korrekt im Umfeld des Unternehmens zu berücksichtigen.

Der Informationssicherheitsbeauftragte ist nicht im Bereich der IT tätig, muss aber mit der IT-Abteilung auch einer Ebene kommunizieren können. Ein solides Wissen über die eingesetzten Systeme und Prozesse, zu Netzwerken, Routing und Firewalls ist für die wirksame Implementierung von Schutzmaßnahmen für das Unternehmensnetzwerk erforderlich.

Kosten eines externen Informationssicherheitsbeauftragten

Der Umfang der Tätigkeiten des externen Informationssicherheitsbeauftragten ist vertraglich geregelt, der Inhalt des Vertrages wird individuell festgelegt.

Üblicherweise umfasst die Tätigkeit des externen Informationssicherheitsbeauftragten die Abstimmung der Informationssicherheitsziele mit den Zielen des Unternehmens, die Erstellung der Leit- und Richtlinien zur Informationssicherheit einschließlich der regelmäßigen Überprüfung ihrer Aktualität sowie die Unterweisung der betroffenen Mitarbeiter. Weiterhin obliegt ihm der Aufbau, der Betrieb und die Weiterentwicklung der Organisation und der Konzeption zur Realisierung und Durchsetzung der getroffenen Regelungen. Der Informationssicherheitsbeauftragte unterstützt bei der Erstellung und der Verwaltung der für das Informationssicherheitsmanagement erforderlichen Dokumentation. Dies umfasst auch die Koordination der Erstellung von Betriebs- oder Dienstanweisungen und Prozessbeschreibungen. Die Abrechnung der Tätigkeiten des externen Informationssicherheitsbeauftragten erfolgt stundenweise, wobei im Vertrag üblicherweise ein Stundenkontingent vereinbart wird.

Fazit

Wenn Sie von meiner langjährigen Erfahrung in den Bereichen Datenschutz und Informationssicherheit profitieren wollen, nehmen Sie gern Kontakt auf. Ich berate diverse Unternehmen in verschiedenen Branchen und bringe umfassende Kenntnisse mit.

Ich begleite Sie bei der Erstellung eines Informationssicherheitssystems in Ihrem Unternehmen. Sie erreichen und halten ihr angestrebtes Sicherheitsniveau. Sofern Sie ein Zertifikat erreichen wollen, unterstütze ich Sie dabei, Ihre Ziele zu erreichen.

Unterstützung in allen datenschutzrelevanten Fragen — Informationssicherheit macht sich nicht von alleine. Ich unterstütze Sie bei dem Erreichen Ihrer Ziele.

Ein wichtiger Hinweis: Die Beiträge ersetzen nicht die Datenschutzberatung und stellen keine rechtliche Beratung dar. Die Beiträge geben einen groben Überblick über die Thematik und geben erste Informationen zum Sachverhalt. Vielleicht sind die Inhalte auch nicht mehr aktuell, weil sich die Rechtsprechung oder die Rechtsgrundlagen geändert haben.

Aktuelle News zum Thema Datenschutz und Informationssicherheit

In diesem Bereich finden Sie Nachrichten und Hintergrundinformationen zum Thema Datenschutz und Informationssicherheit. Sie haben ein Thema, was einen Beitrag wert wäre? Melden Sie sich gerne.

Auswirkungen auf die Zukunft personalisierter Online-Werbung

Das EuGH-Urteil vom 6. März 2024 hat entscheidende Auswirkungen auf die personalisierte Online-Werbung und das Transparency and Consent Framework (TCF) des Interactive Advertising Bureau (IAB).

14. März 2024

Videoüberwachung mit Drohnen — Nicht zulässig auch für öffentliche Unternehmen

Ein Gerichtsurteil erklärt Drohnenüberflüge in Wohnbereichen für nicht zulässig bei der Rechtsgrundlage “öffentliches Interesse”.

10. März 2024

Eckpunktepapier zum neuen Beschäftigtendatenschutz

Einleitung Im April präsentierten das Bundesministerium des Innern und für Heimat (BMI) sowie das Bundesministerium für Arbeit und Soziales (BMAS) ein Eckpunktepapier zum neuen Beschäftigtendatenschutz

3. Januar 2024

Kontakt

Buchen Sie ein kostenfreies Erstgespräch und lassen Sie uns über Ihr Projekt sprechen.