Hintergrundgrafik intersoft consulting services AG
Weiter zum Inhalt
IT-Sicherheit

Informations­sicherheits­beauftragter

Wir unterstützen die Unternehmensleitung praxiserfahren bei der Wahrnehmung ihrer Aufgaben zur Informationssicherheit.

Ihre Vorteile

Überzeugen Sie sich von den Vorteilen einer Zusammenarbeit.

  • Ganzheitliche Informationssicherheit

    Wir sorgen für ein angemessenes IT‑Sicherheitsniveau zugeschnitten auf Ihr Unternehmen anhand anerkannter Standards.

  • Zertifizierte IT‑Experten

    Die vielen unterschiedlichen Qualifikationen unserer Berater im Bereich IT‑Sicherheit bieten eine hohe Expertise.

  • Großer Erfahrungsschatz

    Wir beraten seit Jahren im Bereich der Informationssicherheit. Unsere Kunden profitieren von dem gewonnenen Praxiswissen.

Ein externer Informationssicherheitsbeauftragter minimiert Risiken

Management der IT‑Sicherheit durch erfahrene Experten

Informationssicherheit ist ein lebendiger Prozess, welcher die Vertraulichkeit, Verfügbarkeit und Integrität von Daten sicherstellen soll. Mit einem Informationssicherheitsmanagementsystem (ISMS) etablieren Sie ein Verfahren, mit dem Sie Ihre Informationssicherheitsrisiken ermitteln können. Die dabei identifizierten Maßnahmen reduzieren Ihr Restrisiko. Durch das ISMS vermitteln Sie Ihren Partnern und Kunden Vertrauen in einen angemessenen Umgang mit den Ihnen anvertrauten und schützenswerten Informationen.

In vielen Unternehmen ist es allerdings schwierig, ein angemessenes Informationssicherheitsniveau herzustellen und aufrechtzuerhalten. Fehlende Ressourcen, knappe Budgets und steigende Anforderungen sind die Hauptgründe. Oft fehlt auch ein Informationssicherheitsbeauftragter (ISB) als das „Gesicht“ der Informationssicherheit.

Die Aufgabe des Informationssicherheitsbeauftragten ist es, die IT‑Sicherheitsprozesse zu etablieren und zu lenken. Die Umsetzung und die Einhaltung von Sicherheitsmaßnahmen sind einer ständigen Kontrolle zu unterziehen, damit ein erreichtes Sicherheitsniveau aufrechterhalten wird. Der externe Informationssicherheitsbeauftragte unterstützt Ihr Unternehmen beim Management der Informationssicherheit und orientiert sich bei der Ausrichtung an nationalen sowie internationalen Sicherheitsstandards. Er arbeitet für die Erfüllung dieser Aufgaben eng mit der Unternehmensleitung, der IT‑Leitung, dem Datenschutzbeauftragten und allen anderen Stellen des Informationssicherheitsmanagements zusammen.

Risikominimierung mit Fokus auf Ihre Unternehmensziele

Wir stellen Ihnen auf Wunsch einen externen Informationssicherheitsbeauftragten, der für die Erfüllung der Aufgaben im Informationssicherheitsmanagement in Ihrem Unternehmen sorgt. Gerade für klein- und mittelständische Unternehmen ist diese Möglichkeit eine kostengünstige Alternative, indem personeller Aufwand reduziert wird. Wenn Sie bereits einen Informationssicherheitsbeauftragten haben, unterstützen wir diesen gern mit viel Erfahrung in seiner Arbeit.

Wir lassen uns von Ihren Unternehmenszielen leiten und setzen auf wirtschaftlich sinnvolle Maßnahmen. Grundlage ist die Ausrichtung an bewährten Sicherheitsstandards wie z. B. ISO 27001 und ISO 27001 auf Basis von IT-Grundschutz (BSI). Unsere Berater haben nicht nur Erfahrungen als Auditoren im Bereich ISO 27001 und IT-Grundschutz, sondern auch praktische Erfahrungen, da sie diese Verfahren als Verantwortliche selbst eingeführt haben. So können wir Ihnen mit unserem Know-how dabei im Bereich nationaler und internationaler Informationssicherheits-Standards hilfreich als kompetenter Partner zur Seite stehen. Auch individuelle Unternehmensstandards und andere Gesetze wie z. B. die Datenschutz-Grundverordnung (DSGVO) beziehen wir in Projekte ein und richten Ihre Informationssicherheit strategisch aus.

So können wir Sie unterstützen

  • Beratung der Unternehmensleitung hinsichtlich der Wahrnehmung ihrer Aufgaben der IT‑Sicherheit
  • Analyse der bereits vorhandenen IT‑Sicherheits-Maßnahmen
  • Erstellung, Umsetzung und Kontrolle der Wirksamkeit von IT‑Sicherheitsrichtlinien (Security-Policy)
  • Erstellung, Umsetzung und Kontrolle des übergeordneten Sicherheitskonzeptes sowie aller untergeordneten Teilkonzepte, Regeln und Richtlinien zur Informationssicherheit
  • Erstellung der erforderlichen Dokumentationen zur IT‑Sicherheit
  • Systematische Erfassung, Bewertung und Steuerung von Risiken für Unternehmen
  • Aufbau eines leistungsfähigen Notfall- und Krisenmanagements
Hintergrundgrafik intersoft consulting services AG
Als Experten für IT‑Sicherheit sind wir an Ihrer Seite. Kontaktieren Sie uns. Hier unverbindlich anfragen

Häufige Fragen

Wir sagen Ihnen, was Sie über den Informationssicherheitsbeauftragter wissen sollten.

Der Informationssicherheitsbeauftragte berät und unterstützt die Unternehmensleitung in allen Fragen der Informationssicherheit. Dabei beschränkt sich seine Tätigkeit nicht nur auf die klassische IT, sondern auf den Schutz aller Informationen, die in einem Unternehmen empfangen, gespeichert, verarbeitet und weitergegeben werden.

Wesentliche Steuerungsinstrumente sind die Sicherheits-Policy und die Sicherheitsleitlinie, die vom Informationssicherheitsbeauftragten in Abstimmung mit der Unternehmensleitung entwickelt werden. Auf Basis dieser Dokumente definiert der Informationssicherheitsbeauftragte Prozesse und Richtlinien zum Umgang mit jeder Art von Informationen im Innen- und Außenverhältnis, hält sie aktuell und überwacht deren Effektivität. Über die Definition von Kennzahlen und Grenzwerten macht er den Nutzen der getroffenen Regelungen messbar und steuert darüber die Anpassung der Prozesse an neue oder geänderte Gegebenheiten.

Der Informationssicherheitsbeauftragte identifiziert und definiert die sicherheitsrelevanten Objekte (Systeme und Informationen) eines Unternehmens. Er legt die Sicherheitsanforderungen fest und entwickelt ein Sicherheitskonzept auf Basis eines abgestimmten Dokumentensatzes sowie die zu erreichenden Sicherheitsziele.

Die Mitarbeiter sind in vielen Fällen der zentrale Angriffspunkt für Viren, Trojaner und andere Gefährdungen der Unternehmens-IT. Deshalb führt der Informationssicherheitsbeauftragte Schulungen zur Sensibilisierung und Awareness für die Informationssicherheit durch.

Regelmäßige Berichte an die Geschäftsleitung sorgen für eine belastbare und transparente Darstellung des tatsächlich erreichten Sicherheitsniveaus.
Soweit eine Zertifizierung des erreichten Sicherheitsniveaus angestrebt wird, unterstützt der Informationssicherheitsbeauftragte bei der Erstellung und Pflege der erforderlichen Dokumentation.

Der Umfang der Tätigkeiten eines Informationssicherheitsbeauftragten ist stark abhängig vom Geschäftsfeld und der Größe eines Unternehmens. Bei kleinen und mittleren Unternehmen wird die Tätigkeit des Informationssicherheitsbeauftragen oft keine Vollzeit-Stelle rechtfertigen, oder die personellen Ressourcen stehen einfach nicht zur Verfügung. Grundsätzlich darf die Funktion des Informationssicherheitsbeauftragten nicht vom IT‑Leiter wahrgenommen werden, sie ist eine Schnittstellenfunktion zwischen der Geschäftsleitung und der IT‑Abteilung eines Unternehmens.

Für die Umsetzung eines effektiven Sicherheitskonzeptes sind umfangreiches Wissen und Routine im Umgang mit Normen und Gesetzen erforderlich. Dieses Wissen steht in einem Unternehmen üblicherweise nicht aufgrund der täglichen Arbeit bereits zur Verfügung, es muss speziell für diese Tätigkeit erworben werden. Dieser Prozess ist oft sowohl mühsam als auch wenig effizient, weil vergleichsweise viel Zeit für einen geringen Anteil der täglichen Aufgabenerfüllung aufgewendet wird.

Ein externer Informationssicherheitsbeauftragter bringt sowohl Wissen als auch Routine bereits mit und kann sich so unmittelbar mit dem Aufbau eines angemessenen Informationssicherheitsmanagements befassen.

Selbstverständlich wird der Informationssicherheitsbeauftragte über alle ihm bekannt gewordenen Daten und Informationen des Auftraggebers Verschwiegenheit bewahren. Er ist auf die Einhaltung des Datengeheimnisses gemäß § 5 BDSG und auf das Fernmeldegeheimnis gemäß § 88 TKG verpflichtet. Zusätzlich kann der Auftraggeber mit dem externen Informationssicherheitsbeauftragten eine gesonderte Vertraulichkeitsvereinbarung abschließen.

In älteren Dokumenten und Veröffentlichungen wird häufig noch vom IT‑Sicherheitsbeauftragten, nicht vom Informationssicherheitsbeauftragten gesprochen. Der neue Begriff ist Ausdruck eines veränderten Rollenverständnisses des Informationssicherheitsbeauftragten.

Die bisherige Sicht auf IT‑Sicherheit war geprägt von einem eher technischen Aspekt, der sich ganz konkret auf die im Unternehmen vorhandenen IT‑Systeme und die darauf laufenden Anwendungen bezog. Der IT‑Sicherheitsbeauftragte war zuständig für die Festlegung von Schutzbedarfen bestimmter Anwendungen aufgrund der in der Anwendung verarbeiteten Daten. Die Sicherheitsmaßnahmen, die für ein bestimmtes System angemessen schienen, wurden vom IT‑Sicherheitsbeauftragten an den auf dem System laufenden Anwendungen und deren Schutzbedarfen gemessen. Der IT‑Sicherheitsbeauftrage hatte damit einen etablierten Platz in der Unternehmens‑IT und wurde daher auch oft aus dem Bereich der IT‑Mitarbeiter gestellt. Diese Regelung bot sich schon deshalb an, weil offensichtlich nur ein IT‑Mitarbeiter die erforderlichen Kenntnisse mitbringt, die fachlichen und technischen Aspekte eines Verfahrens korrekt zu beurteilen.

Schon mit dem Outsourcing einzelner Verfahren war man (fälschlicherweise) geneigt, sich auch der Verantwortung für den Betrieb dieser Verfahren zu entziehen.

Diese IT‑zentrierte Sicht auf den Sicherheitsbeauftragten hat sich, auch im Zusammenhang mit den Verpflichtungen, die sich aus der DSGVO ergeben, gewandelt. Es sind nicht mehr die Verfahren und die Systeme (Software und Hardware) eines Unternehmens, die Objekt einer Sicherheitsbetrachtung sind. Die Sicht auf die Informationen, die ein Unternehmen besitzt, speichert, verarbeitet und möglicherweise an Andere weitergibt, wird mittlerweile genereller gesehen. Es geht um alle im Unternehmen verwendeten Informationen, nicht mehr nur um die Datensätze einer Kundendatei, sondern auch um Konstruktionszeichnungen, Geburtstags- und Telefonlisten und die Besucherliste, die auf einem Blatt Papier am Empfang geführt wird. Derartige Informationen, insbesondere solche, die nicht in IT‑Systemen verarbeitet oder gespeichert wurden, entzogen sich nach der bisherigen Definition der Sicht des IT‑Sicherheitsbeauftragten, sind aber nicht minder wertvoll. Von dem neuen Begriff „Informationssicherheitsbeauftragter“ werden auch diese Informationen deutlicher mit erfasst.

Nichtsdestotrotz wird der Begriff „IT‑Sicherheitsbeauftragter“ wohl auch wegen seiner Griffigkeit gerne weiterhin verwendet, oftmals synonym zu der Bezeichnung „Informationssicherheitsbeauftragter“, dann aber mit der erweiterten Sicht auf alle Daten eines Unternehmens, nicht nur auf die IT‑Systeme.

Die Bestellung eines Informationssicherheitsbeauftragten ist nur für Betreiber kritischer Infrastrukturen (§ 8a BSIG / BSI‑KritisV) rechtlich verpflichtend, weil diese einer Berichtspflicht unterliegen, die nur von einem Informationssicherheitsbeauftragten geleistet werden kann. Ansonsten ist die Bestellung eines Informationssicherheitsbeauftragten eine strategische Entscheidung der Unternehmensleitung.

Diese Entscheidung ist üblicherweise getrieben von dem Bedarf, die Resilienz des Unternehmens in Bezug auf Störungen und Gefährdungen des Unternehmens zu erhöhen. Oftmals ist die Unternehmensleitung mit der fachgerechten Bewertung der Leistungsfähigkeit der eigenen IT sowohl zeitlich als auch fachlich überfordert. Die für den Betrieb der IT entscheidenden Kriterien Verfügbarkeit, Vertraulichkeit und Integrität sind ohne eine strukturierte Analyse nur schwer zu fassen und, auch im Fall eines Angriffs oder einer Störung soll der normale Betrieb möglichst schnell wieder hergestellt werden. Zu diesen Fragestellungen kann ein Informationssicherheitsbeauftragter der Unternehmensleitung wertvolle Hilfestellung leisten und mit seiner Expertise zusammen mit der IT‑Abteilung einen auf die individuelle Situation des Unternehmens angepassten soliden, messbar leistungsfähigen Betrieb aufbauen.

Der Informationssicherheitsbeauftragte muss für die korrekte Ausübung seiner Tätigkeit sowohl Fachkunde als auch Zuverlässigkeit mitbringen und auch aufgrund seiner Persönlichkeit das volle Vertrauen der Geschäftsführung genießen. Er muss in der Lage sein, ein Informationssicherheitsmanagementsystem (ISMS) zu implementieren und die im ISMS definierten Prozesse und Berichtspflichten fortlaufend zu prüfen und zu gewährleisten. Dazu benötigt der Informationssicherheitsbeauftragte sehr gute Kenntnisse der ISO 27000-Normenreihe und der damit verbunden Normen, beispielsweise der ISO 22301 zur Gewährleistung der betrieblichen Kontinuität. Er muss bereit sein, regelmäßig an Fortbildungen teilzunehmen, um auch aktuelle Änderungen wie die DSGVO und das BDSG korrekt im Umfeld seines Unternehmens umsetzen zu können.

Der Informationssicherheitsbeauftragte ist kein Mitarbeiter der IT, muss aber mit der IT-Abteilung „auf Augenhöhe“ kommunizieren können. Deshalb ist ein solides Wissen um die im Unternehmen eingesetzten Systeme und Verfahren unabdingbar. Umfassendes Wissen zu Netzwerken, Routing und Firewalls ist für die wirksame Implementierung von Schutzmaßnahmen für das Unternehmensnetzwerk ebenfalls erforderlich.

Der Umfang der Tätigkeiten des externen Informationssicherheitsbeauftragten ist vertraglich geregelt, der Inhalt des Vertrages wird individuell festgelegt.

Üblicherweise umfasst die Tätigkeit des externen Informationssicherheitsbeauftragten die Abstimmung der Informationssicherheitsziele mit den Zielen des Unternehmens, die Erstellung der Sicherheits-Policy sowie der Sicherheitsleitlinie einschließlich der regelmäßigen Überprüfung ihrer Aktualität sowie die Unterweisung der betroffenen Mitarbeiter. Weiterhin obliegt ihm der Aufbau, der Betrieb und die Weiterentwicklung der Informationssicherheitsorganisation, einschließlich der Konzeption zur Realisierung und Durchsetzung der getroffenen Regelungen. Der Informationssicherheitsbeauftragte unterstützt bei der Erstellung und der Verwaltung der für das Informationssicherheitsmanagement erforderlichen Dokumentation. Dies umfasst auch die Koordination der Erstellung von Dienstanweisungen und Verfahrensbeschreibungen.

Die Abrechnung der Tätigkeiten des externen Informationssicherheitsbeauftragten erfolgt stundenweise, wobei im Vertrag üblicherweise ein Stundenkontingent vereinbart wird.

Spezialisierte Berater für Ihre IT‑Sicherheit

Erfahrene Berater liefern passende Lösungen für Ihr Unternehmen. Lernen Sie hier eine Auswahl kennen.

Aufgelistet finden Sie Zertifikate und Mitgliedschaften der Unternehmensgruppe, die unseren hohen Anspruch belegen.

IS-Revisor (BSI)

IS-Revisor (BSI)

Die intersoft consulting services AG verfügt über einen eigenen vom BSI zertifizierten IS-Revisor. Dieser hat die Kompetenz Bundesbehörden bei der Erstellung und Umsetzung von Sicherheitskonzepten sowie bei der Durchführung von IS-Revisionen gemäß „Leitfaden für die Informationssicherheitsrevision auf Basis von IT-Grundschutz“ zu unterstützen.

Auditteamleiter für ISO 27001 auf der Basis von IT-Grundschutz

Auditteamleiter für ISO 27001 auf der Basis von IT-Grundschutz

Unser Mitarbeiter Ralf Lüneburg ist durch das BSI personenzertifizierter Auditteamleiter für ISO 27001-Audits auf der Basis von IT-Grundschutz sowie von der ccSec berufener Lead-Auditor für ISO 27001. Er stützt sich bei seiner Arbeit auf eine über zehnjährige Berufserfahrung im Bereich der Informationssicherheit bei der WWK Versicherungsgruppe. Darüber hinaus ist er Sachverständiger für Telematikinfrastruktur (gematik) und Auditor für ISO 22031.

ISO 27001 zertifiziert

ISO 27001 zertifiziert

Mit der Zertifizierung ihres Informationssicherheits-managementsystems (ISMS) nach ISO 27001 dokumentiert die intersoft consulting services AG ihre Fähigkeit, Vertraulichkeit, Integrität und Verfügbarkeit der ihr anvertrauten Informationen zu wahren. Die Kunden können damit auf eine angemessene Steuerung von Risiken vertrauen.
Zertifikat öffnen

Competence Center for Applied Security Technology e.V. (CAST)

Competence Center for Applied Security Technology e.V. (CAST)

Als CAST-Mitglied genießen wir den Zugang zu einem etablierten Kompetenznetzwerk. Der Verein ist Ansprechpartner für IT-Sicherheit und modernster Informationstechnologie und bieten vielfältige Dienstleitungen sowie Wissens- und Erfahrungsaustausch auf hohem Niveau.

ISO 9001 zertifiziert

ISO 9001 zertifiziert

Mit der Zertifizierung seines Qualitätsmanagements nach ISO 9001 dokumentiert die intersoft consulting services AG ihr Streben nach stetiger Verbesserung der Dienstleistungen, Prozesse und Kosteneffizienz, um die Zufriedenheit von Kunden und Mitarbeitern weiter zu erhöhen.
Zertifikat öffnen

Cyber-Security Practitioner

Cyber-Security Practitioner

Mehrere Mitarbeiter der intersoft consulting services AG sind durch die Information Systems Audit and Control Association (ISACA) zum Cyber Security Practitioner (CSP) zertifiziert. Dies ist ein Zertifikatskurs in Kooperation mit der Allianz für Cybersicherheit vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Damit ist man als Experte auf diesem Gebiet qualifiziert und in der Lage, einen Cyber-Sicherheits-Check durchzuführen, um die Cyber-Sicherheit in Unternehmen und Behörden zu beurteilen.

Top-Berater

Top-Berater

intersoft consulting services hat die Auszeichnung „Top-Berater“ erhalten und ist somit ins Qualitätsregister für Berater von ServiceValue aufgenommen. Im Rahmen eines Prüfverfahrens von ServiceValue und dem Hamburger Consulting Club (HCC) wurden die Gebiete Company, Collaboration und Competence bewertet sowie das Testat mit herausragendem Prüfergebnis erstellt.

De-Mail-Auditor für ISO 27001-Audits / IT-Grundschutz

De-Mail-Auditor für ISO 27001-Audits / IT-Grundschutz

Für den Dienst „De-Mail“ vom Bundesministerium des Innern (BMI) verfügen wir über akkreditierte De-Mail-Auditoren. Die intersoft consulting services Unternehmensgruppe hat die ersten De-Mail-Diensteanbieter erfolgreich durch den Zertifizierungsprozess begleitet.

  • BSI-zertifizierte Auditteamleiter für ISO 27001 auf der Basis von IT‑Grundschutz, De‑Mail‑Auditor und IS‑Revisor
  • ISO/IEC 27001 Lead Auditor, ISO/IEC 27001 Implementer, ISO/IEC 27001 Practitioner
  • IT-Sicherheitsbeauftragte (TÜV)
  • Informatiker und Wirtschaftsinformatiker
  • Master of Engineering IT‑Sicherheit und Forensik
  • Bachelor of Science Allgemeine und Digitale Forensik
  • Cyber Security Practitioner (ISACA), IT Information Security Practitioner (ISACA)
  • GIAC Certified Forensic Examiner, GIAC Advanced Smartphone Forensics, GIAC Cyber Threat Intelligence
  • Volljuristen (2 Staatsexamina), darunter promovierte Rechtsanwälte
  • Fachanwälte für IT‑Recht, gewerblichen Rechtsschutz, Urheber- und Medienrecht, Versicherungsrecht und Sozialrecht
  • Master of Laws in IT‑Recht, Medienrecht, Immaterialgüterrecht, Gewerblichen Rechtsschutz und Recht des geistigen Eigentums
  • Bachelor of Laws für Informationsrecht und Wirtschaftsrecht
  • TÜV‑zertifizierte Datenschutzbeauftragte und Datenschutzauditoren
  • IT‑Compliance-Manager (ISACA) und Compliance-Officer (TÜV)
  • Datenschutzbeauftragte nach Verbandkriterien verpflichtet (BvD)

Referenzen

Wir beraten deutschlandweit hunderte Unternehmen und sind daher in allen Branchen vertreten. Dies ist nur ein Auszug unserer Referenzen.

Deutsche Pensions Group
INTER Krankenversicherung
Hilite Germany
cellent
DRK-Landesverband Schleswig-Holstein
Uelzener Allgemeine Versicherungs-Gesellschaft
Celonis
BVV Versicherungsverein des Bankgewerbes

Standorte

Standorte
Mit bundesweiten Niederlassungen sind wir auch in Ihrer Nähe vertreten.

Kontaktieren Sie uns

Hintergrundgrafik intersoft consulting services AG
Julia Reiter
Vertriebsleiterin
Gern beantworten wir Ihre Fragen oder erstellen Ihnen ein individuelles Angebot. Hier unverbindlich anfragen

PDF-Download