Um das breit gefächerte Spektrum der Informationssicherheit innerhalb eines Unternehmens einzuführen, zu verwalten und weiterzuentwickeln, empfiehlt sich die Beauftragung oder formale Ernennung eines Informationssicherheitsbeauftragten.
Der Gesetzgeber verpflichtet zwar bislang lediglich sogenannte KIRITS-Infrastrukturen zur Platzierung eines Informationssicherheitsbeauftragten, trotzdem kann eine solche Position in Betrieben dazu beitragen, dass größere Schäden vermieden oder vollständig verhindert werden können. In diesem Zusammenhang ist es wichtig zu wissen, welche Aufgaben ein Informationssicherheitsbeauftragter hat und in welchen Arbeitsfeldern er tätig ist.
Ein Beauftragter für Informationssicherheit soll entlasten und unterstützen
Allein durch die Einführung der Europäischen Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 gewinnt ein Informationssicherheitsbeauftragter an erheblicher Bedeutung. In Bezug auf unternehmenswichtige Informationen in sowohl analoger als auch digitaler Form kann er unterstützend sowie entlastend Einfluss nehmen.
In der Regel sind fehlende Kenntnisse und Zeit ausschlaggebend dafür, dass Informationen keine ausreichend hohe Bedeutung beigemessen wird. Ein Informationssicherheitsbeauftragter ist hierbei zentraler Ansprechpartner und der Unternehmensleitung unterstellt. Während diese weiterhin die Verantwortung für die Informationssicherheit trägt, handelt der Informationssicherheitsbeauftragte im Auftrag der Geschäftsführung.
Zertifizierung als grundlegende Voraussetzung
Aufgrund der hohen Komplexität der Informationssicherheit ist es notwendig, dass ein Zertifizierungs-Lehrgang absolviert wird. Bei diesem mehrtägigen Lehrgang erlangen die Teilnehmer alle Fachkenntnisse und somit die grundlegende Voraussetzung für das Ausüben der Tätigkeit.
Basis für den Lehrgang sind der internationale Standard für Informationssicherheit ISO 27001/27002 sowie der IT-Grundschutzkatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Beide Standards sind jeweils für sich oder gemeinsam in einem Unternehmen durch den Informationssicherheitsbeauftragten anwendbar. Jeder, der den Zertifikats-Lehrgang durch das Ablegen der Prüfung erfolgreich abgeschlossen hat, kann nachweisen, dass er die entsprechenden Kenntnisse auf dem Gebiet der Informationssicherheit erfolgreich erlangt hat.
Ein Informationssicherheitsbeauftragter kann verschiedene Aufgaben haben. Diese können sich von Betrieb zu Betrieb erheblich voneinander unterscheiden. Wichtig ist, dass das Aufgabenfeld möglichst präzise in Rücksprache mit der Unternehmensleitung auf deren Interessen und Ziele im Bereich der Informationssicherheit ausgerichtet ist.
Bevor ein Informationssicherbeauftragter jedoch mit der Wahrnehmung seiner eigentlichen Aufgaben beginnen kann, muss er eine Ist-Analyse (Bestands-/Schutzbedarfsanalyse) im Unternehmen durchführen. So kann er gewährleisten, dass die IT-Abteilung zielgerichtet und präzise die Interessen der Leitung umsetzen kann.
Darüber hinaus müssen alle bisher geltenden organisatorischen Regelungen durch den Informationssicherheitsbeauftragten dokumentiert und neu bewertet werden. Die Ergebnisse kann ein Informationssicherheitsbeauftragter der Unternehmensleitung als Ist-Zustand präsentieren.
Die aus diesem Gespräch resultierenden Aufgaben können mitunter die Schulung von Mitarbeitern, die fortwährende Beratung der Geschäftsführung sowie die Durchführung von internen Audits beinhalten.
Essenziell sind hierbei die Erstellung einer IT-Sicherheitsleitlinie sowie von Sicherheitsrichtlinien. Daraus resultieren Risikobewertungen sowie die Neufassung von Verfahrensanweisungen unter Einhaltung aktuell geltender (gesetzlicher) Vorschriften.
Ein Informationssicherheitsbeauftragter, der seine Arbeit auf Basis erkannter und bewerteter Risiken aufbaut, senkt durch die Ergreifung von technischen und organisatorischen Maßnahmen (sog. TOMs) die Eintrittswahrscheinlichkeit von Schäden jedweder Größenordnung. Im Rahmen dieser Tätigkeit überwacht ein Informationssicherheitsbeauftragter alle relevanten Prozesse.
Wichtige Überschneidungen mit dem Datenschutz
Während sich die Informationssicherheit ausschließlich auf den pauschalen Schutz von Daten und Informationen in digitaler sowie analoger Form bezieht, hat der Datenschutz den Schutz von personenbezogenen Daten im Fokus. Dennoch ergeben sich aus der EU-DSGVO gesetzliche Vorgaben, die sowohl die Informationssicherheit als auch den Datenschutz betreffen.
Vor diesem Hintergrund ist es also unabdingbar, dass der Informationssicherheitsbeauftragte und der Datenschutzbeauftragte TOMs besprechen und sie als Entscheidungsgrundlage gemeinsam der Unternehmensleitung präsentieren.
Die genauen Unterschiede der beiden Bereiche werden in unserem Beitrag Wo liegt der Unterschied zwischen Datenschutz und Informationssicherheit? behandelt.
Sehr wahrscheinliche Überschneidungen entstehen oftmals in den Bereichen der Zugangskontrolle, der Zutrittskontrolle oder auch bei der Schutzbedarfsanalyse von IT-Systemen. Die hierbei zum Tragen kommenden Schutzwerte der Vertraulichkeit, Integrität sowie Verfügbarkeit sind die gemeinsame Diskussionsgrundlage für den Informationssicherheitsbeauftragten und den Datenschutzbeauftragten.
Ein Beauftragter für Informationssicherheit bringt hohen Mehrwert
Allein durch die erlangten Fachkenntnisse aus dem Zertifizierungs-Lehrgang sind angehende oder bereits ernannte Informationssicherheitsbeauftrage in der Lage, ein Unternehmen und dessen Strukturen aus einem vollkommen anderen Blickwinkel zu betrachten und Empfehlungen zugunsten der Informationssicherheit auszusprechen. Die Unterstützung und Beratung von Geschäftsleitung und Mitarbeitern bringt einen hohen Mehrwert für das gesamte Unternehmen mit sich. Auch mindert sie das Risiko von Schadensereignissen und Störungen erheblich.
