Informations­sicherheits­beauftragter

Der Informationssicherheitsbeauftragte berät und unterstützt die Unternehmensleitung in allen Fragen der Informationssicherheit. Dabei beschränkt sich seine Tätigkeit nicht nur auf die klassische IT, sondern auf den Schutz aller Informationen, die in einem Unternehmen empfangen, gespeichert, verarbeitet und weitergegeben werden.

Wesentliche Steuerungsinstrumente sind die Sicherheits-Policy und die Sicherheitsleitlinie, die vom Informationssicherheitsbeauftragten in Abstimmung mit der Unternehmensleitung entwickelt werden. Auf Basis dieser Dokumente definiert der Informationssicherheitsbeauftragte Prozesse und Richtlinien zum Umgang mit jeder Art von Informationen im Innen- und Außenverhältnis, hält sie aktuell und überwacht deren Effektivität. Über die Definition von Kennzahlen und Grenzwerten macht er den Nutzen der getroffenen Regelungen messbar und steuert darüber die Anpassung der Prozesse an neue oder geänderte Gegebenheiten.

Der Informationssicherheitsbeauftragte identifiziert und definiert die sicherheitsrelevanten Objekte (Systeme und Informationen) eines Unternehmens. Er legt die Sicherheitsanforderungen fest und entwickelt ein Sicherheitskonzept auf Basis eines abgestimmten Dokumentensatzes sowie die zu erreichenden Sicherheitsziele.

Die Mitarbeiter sind in vielen Fällen der zentrale Angriffspunkt für Viren, Trojaner und andere Gefährdungen der Unternehmens-IT. Deshalb führt der Informationssicherheitsbeauftragte Schulungen zur Sensibilisierung und Awareness für die Informationssicherheit durch.

Regelmäßige Berichte an die Geschäftsleitung sorgen für eine belastbare und transparente Darstellung des tatsächlich erreichten Sicherheitsniveaus.
Soweit eine Zertifizierung des erreichten Sicherheitsniveaus angestrebt wird, unterstützt der Informationssicherheitsbeauftragte bei der Erstellung und Pflege der erforderlichen Dokumentation.

Der Umfang der Tätigkeiten eines Informationssicherheitsbeauftragten ist stark abhängig vom Geschäftsfeld und der Größe eines Unternehmens. Bei kleinen und mittleren Unternehmen wird die Tätigkeit des Informationssicherheitsbeauftragen oft keine Vollzeit-Stelle rechtfertigen, oder die personellen Ressourcen stehen einfach nicht zur Verfügung. Grundsätzlich darf die Funktion des Informationssicherheitsbeauftragten nicht vom IT‑Leiter wahrgenommen werden, sie ist eine Schnittstellenfunktion zwischen der Geschäftsleitung und der IT‑Abteilung eines Unternehmens.

Für die Umsetzung eines effektiven Sicherheitskonzeptes sind umfangreiches Wissen und Routine im Umgang mit Normen und Gesetzen erforderlich. Dieses Wissen steht in einem Unternehmen üblicherweise nicht aufgrund der täglichen Arbeit bereits zur Verfügung, es muss speziell für diese Tätigkeit erworben werden. Dieser Prozess ist oft sowohl mühsam als auch wenig effizient, weil vergleichsweise viel Zeit für einen geringen Anteil der täglichen Aufgabenerfüllung aufgewendet wird.

Ein externer Informationssicherheitsbeauftragter bringt sowohl Wissen als auch Routine bereits mit und kann sich so unmittelbar mit dem Aufbau eines angemessenen Informationssicherheitsmanagements befassen.

Selbstverständlich wird der Informationssicherheitsbeauftragte über alle ihm bekannt gewordenen Daten und Informationen des Auftraggebers Verschwiegenheit bewahren. Er ist auf die Einhaltung des Datengeheimnisses gemäß § 5 BDSG und auf das Fernmeldegeheimnis gemäß § 88 TKG verpflichtet. Zusätzlich kann der Auftraggeber mit dem externen Informationssicherheitsbeauftragten eine gesonderte Vertraulichkeitsvereinbarung abschließen.

In älteren Dokumenten und Veröffentlichungen wird häufig noch vom IT‑Sicherheitsbeauftragten, nicht vom Informationssicherheitsbeauftragten gesprochen. Der neue Begriff ist Ausdruck eines veränderten Rollenverständnisses des Informationssicherheitsbeauftragten.

Die bisherige Sicht auf IT‑Sicherheit war geprägt von einem eher technischen Aspekt, der sich ganz konkret auf die im Unternehmen vorhandenen IT‑Systeme und die darauf laufenden Anwendungen bezog. Der IT‑Sicherheitsbeauftragte war zuständig für die Festlegung von Schutzbedarfen bestimmter Anwendungen aufgrund der in der Anwendung verarbeiteten Daten. Die Sicherheitsmaßnahmen, die für ein bestimmtes System angemessen schienen, wurden vom IT‑Sicherheitsbeauftragten an den auf dem System laufenden Anwendungen und deren Schutzbedarfen gemessen. Der IT‑Sicherheitsbeauftrage hatte damit einen etablierten Platz in der Unternehmens‑IT und wurde daher auch oft aus dem Bereich der IT‑Mitarbeiter gestellt. Diese Regelung bot sich schon deshalb an, weil offensichtlich nur ein IT‑Mitarbeiter die erforderlichen Kenntnisse mitbringt, die fachlichen und technischen Aspekte eines Verfahrens korrekt zu beurteilen.

Schon mit dem Outsourcing einzelner Verfahren war man (fälschlicherweise) geneigt, sich auch der Verantwortung für den Betrieb dieser Verfahren zu entziehen.

Diese IT‑zentrierte Sicht auf den Sicherheitsbeauftragten hat sich, auch im Zusammenhang mit den Verpflichtungen, die sich aus der DSGVO ergeben, gewandelt. Es sind nicht mehr die Verfahren und die Systeme (Software und Hardware) eines Unternehmens, die Objekt einer Sicherheitsbetrachtung sind. Die Sicht auf die Informationen, die ein Unternehmen besitzt, speichert, verarbeitet und möglicherweise an Andere weitergibt, wird mittlerweile genereller gesehen. Es geht um alle im Unternehmen verwendeten Informationen, nicht mehr nur um die Datensätze einer Kundendatei, sondern auch um Konstruktionszeichnungen, Geburtstags- und Telefonlisten und die Besucherliste, die auf einem Blatt Papier am Empfang geführt wird. Derartige Informationen, insbesondere solche, die nicht in IT‑Systemen verarbeitet oder gespeichert wurden, entzogen sich nach der bisherigen Definition der Sicht des IT‑Sicherheitsbeauftragten, sind aber nicht minder wertvoll. Von dem neuen Begriff „Informationssicherheitsbeauftragter“ werden auch diese Informationen deutlicher mit erfasst.

Nichtsdestotrotz wird der Begriff „IT‑Sicherheitsbeauftragter“ wohl auch wegen seiner Griffigkeit gerne weiterhin verwendet, oftmals synonym zu der Bezeichnung „Informationssicherheitsbeauftragter“, dann aber mit der erweiterten Sicht auf alle Daten eines Unternehmens, nicht nur auf die IT‑Systeme.

Die Bestellung eines Informationssicherheitsbeauftragten ist nur für Betreiber kritischer Infrastrukturen (§ 8a BSIG / BSI‑KritisV) rechtlich verpflichtend, weil diese einer Berichtspflicht unterliegen, die nur von einem Informationssicherheitsbeauftragten geleistet werden kann. Ansonsten ist die Bestellung eines Informationssicherheitsbeauftragten eine strategische Entscheidung der Unternehmensleitung.

Diese Entscheidung ist üblicherweise getrieben von dem Bedarf, die Resilienz des Unternehmens in Bezug auf Störungen und Gefährdungen des Unternehmens zu erhöhen. Oftmals ist die Unternehmensleitung mit der fachgerechten Bewertung der Leistungsfähigkeit der eigenen IT sowohl zeitlich als auch fachlich überfordert. Die für den Betrieb der IT entscheidenden Kriterien Verfügbarkeit, Vertraulichkeit und Integrität sind ohne eine strukturierte Analyse nur schwer zu fassen und, auch im Fall eines Angriffs oder einer Störung soll der normale Betrieb möglichst schnell wieder hergestellt werden. Zu diesen Fragestellungen kann ein Informationssicherheitsbeauftragter der Unternehmensleitung wertvolle Hilfestellung leisten und mit seiner Expertise zusammen mit der IT‑Abteilung einen auf die individuelle Situation des Unternehmens angepassten soliden, messbar leistungsfähigen Betrieb aufbauen.

Der Informationssicherheitsbeauftragte muss für die korrekte Ausübung seiner Tätigkeit sowohl Fachkunde als auch Zuverlässigkeit mitbringen und auch aufgrund seiner Persönlichkeit das volle Vertrauen der Geschäftsführung genießen. Er muss in der Lage sein, ein Informationssicherheitsmanagementsystem (ISMS) zu implementieren und die im ISMS definierten Prozesse und Berichtspflichten fortlaufend zu prüfen und zu gewährleisten. Dazu benötigt der Informationssicherheitsbeauftragte sehr gute Kenntnisse der ISO 27000-Normenreihe und der damit verbunden Normen, beispielsweise der ISO 22301 zur Gewährleistung der betrieblichen Kontinuität. Er muss bereit sein, regelmäßig an Fortbildungen teilzunehmen, um auch aktuelle Änderungen wie die DSGVO und das BDSG korrekt im Umfeld seines Unternehmens umsetzen zu können.

Der Informationssicherheitsbeauftragte ist kein Mitarbeiter der IT, muss aber mit der IT-Abteilung „auf Augenhöhe“ kommunizieren können. Deshalb ist ein solides Wissen um die im Unternehmen eingesetzten Systeme und Verfahren unabdingbar. Umfassendes Wissen zu Netzwerken, Routing und Firewalls ist für die wirksame Implementierung von Schutzmaßnahmen für das Unternehmensnetzwerk ebenfalls erforderlich.

Der Umfang der Tätigkeiten des externen Informationssicherheitsbeauftragten ist vertraglich geregelt, der Inhalt des Vertrages sowie das Stundenkontingent werden individuell festgelegt.

Üblicherweise umfasst die Tätigkeit des externen Informationssicherheitsbeauftragten die Abstimmung der Informationssicherheitsziele mit den Zielen des Unternehmens, die Erstellung der Sicherheits-Policy sowie der Sicherheitsleitlinie einschließlich der regelmäßigen Überprüfung ihrer Aktualität sowie die Unterweisung der betroffenen Mitarbeiter. Weiterhin obliegt ihm der Aufbau, der Betrieb und die Weiterentwicklung der Informationssicherheitsorganisation, einschließlich der Konzeption zur Realisierung und Durchsetzung der getroffenen Regelungen. Der Informationssicherheitsbeauftragte unterstützt bei der Erstellung und der Verwaltung der für das Informationssicherheitsmanagement erforderlichen Dokumentation. Dies umfasst auch die Koordination der Erstellung von Dienstanweisungen und Verfahrensbeschreibungen.