Informationssicherheitsbeauftragter - das macht ein ISB!

Was ist ein Informationssicherheitsbeauftragter?

‍

Ein Informationssicherheitsbeauftragter (ISB) ist zuständig für die allgemeine Informationssicherheit in einem Unternehmen oder einer Institution.

Dabei ist zu beachten, dass es beim Informationssicherheitsbeauftragten keine fest geschriebene gesetzliche Definition gibt, wie es z. B. bei einem Datenschutzbeauftragten der Fall ist. Vielmehr werden je nach Branche verschiedene Definitionen genutzt, beispielsweise im Finanzdienstleistungssektor.

Woher weiß ein Unternehmen nun, ob es einen Informationssicherheitsbeauftragten braucht?

Hierzu kann man sich einfach merken: Wer ein Informationssicherheitsmanagementsystem (ISMS) betreibt oder betreiben muss, der muss auch einen Verantwortlichen für das ISMS und die Informationssicherheit bestimmen.

‍

Ein Auftrag, viele Namen: Der Informationssicherheitsbeauftragte

‍

Und dieser kann Information Security Manager, CISO, Information Security Officer, Informationssicherheitsbeauftragter oder ähnlich heißen. Hierbei kann es je nach Unternehmen aber auch Unterschiede in der Weite der Verantwortung geben. So ist der CISO (Chief Information Security Officer) meist der oberste Verantwortliche für Informationssicherheit im Unternehmen und berichtet direkt an die Geschäftsleitung. Diese Rolle kann aber auch deckungsgleich mit der des Informationssicherheitsbeauftragten sein, vor allem in kleineren Unternehmen.

Zur Vereinfachung werden wir in diesem Text weiter mit dem Begriff des Informationssicherheitsbeauftragten arbeiten.

‍

Warum ist der Informationssicherheitsbeauftragte wichtig?

‍

Ein Informationssicherheitsbeauftragter ist für eine Organisation sinnvoll, weil er den Schutz und die Instandhaltung der Sicherheit in einer Institution sicherstellt – und zwar von der Papierablage bis hin zu den IT-Systemen! Also überall, wo Informationen einer Organisation gespeichert werden. Das Ziel ist die sichere Verarbeitung von Informationen innerhalb einer Organisation im Sinne der Vertraulichkeit, Integrität und Verfügbarkeit.

Dafür sollen Risiken und Bedrohungen für die Sicherheit, beispielsweise Cyberangriffe und sonstige Vorfälle minimiert werden.

Die Strukturen und das Management der Informationssicherheit in jeder Institution individuell und angepasst an die lokalen Gegebenheiten. Aus diesem Grund ist eine rein technische Lösung nicht ausreichend, denn schließlich erfordert die Aufrechterhaltung der Sicherheit jede Menge Organisation, Planung und eine zielgerichtete Umsetzung.

‍

Typische Aufgaben des Informationssicherheitsbeauftragten:

‍

Ein Informationssicherheitsbeauftragter ist meist:

‍

• AnsprechpartnerIn für Mitarbeiter und Geschäftsführung

• ErstellerIn eines Sicherheitskonzeptes

• Ausführende/r des Sicherheitsmanagements

‍

Das Aufgabenfeld ist dabei groß und vielschichtig. Informationssicherheitsbeauftragte müssen oft viele Bälle gleichzeitig jonglieren.

‍

Zu den typischen Aufgaben des Informationssicherheitsbeauftragten gehört:

‍

• Erstellung von Realisierungsplänen für Sicherheitsmaßnahmen und Initiierung sowie Überprüfung ihrer Umsetzung
• Unterstützung der Leitung bei der Erstellung der Sicherheitsleitlinie
• Koordination der Erstellung des Sicherheitskonzepts und zugehöriger Teilkonzepte und Richtlinien
• Aufbau eines Informationssicherheitsmanagementsystems (ISMS)
• Steuerung und Koordination des Sicherheitsprozesses
• Berichterstattung an die Leitungsebene und andere Sicherheitsverantwortliche über den Status der Informationssicherheit
• Koordination von sicherheitsrelevanten Projekten
• Untersuchung von sicherheitsrelevanten Vorfällen
• Initiierung und Koordination von Sensibilisierungen und Schulungen zur Informationssicherheit

Informationssicherheit überwachen und steuern – wie geht das?

‍

Damit erfüllt der Informationssicherheitsbeauftragte eine ganze Menge Aufgaben . Denn den Überblick über die Informationssicherheit zu behalten und gleichzeitig laufend Risiken zu überwachen, ist eine hochkomplexe und anspruchsvolle Aufgabe.

‍

Viele Informationssicherheitsbeauftragte arbeiten daher am mit einem automatisierten Informationssicherheitsmanagementsystem (ISMS).

Dieses automatisiert viele Prozesse, hilft dabei, die gesamte Informationssicherheit lückenlos zu überwachen, und spart dem Unternehmen und dem Informationssicherheitsbeauftragten somit Zeit und Geld.

Wann braucht mein Unternehmen einen Informationssicherheitsbeauftragten?

‍

Die Bestellung eines Informationssicherheitsbeauftragten ist nicht wie die Bestellung eines Datenschutzbeauftragten ab einem bestimmten Schwellwert gesetzlich vorgeschrieben - ausgenommen die sind die Institutionen der Kritischen Infrastrukturen (KRITIS). Welche Unternehmen zu KRITIS zählen, wird bald durch die NIS2-Verordnung neu geregelt – dabei werden die Schwellenwerte gesenkt und es gehören viel mehr Unternehmen zum KRITIS-Kreis dazu. Das heißt, diese müssen dann oft einen Informationssicherheitsbeauftragten bestellen, um die Anforderungen erfüllen zu können.

‍

In kleineren Institutionen übernimmt häufig ein Mitglied der Leitungsebene persönlich diese Position und deren Aufgaben. In mittleren und großen Unternehmen und Institutionen wird die Aufgabe an einen gesonderten Informationssicherheitsbeauftragten delegiert. Wichtig dabei: Die Gesamtverantwortung verbleibt immer bei der Leitungsebene.

‍

Andere Unternehmen bestellen häufig freiwillig einen Informationssicherheitsbeauftragten, weil sie ein ISMS aufbauen und jemanden betrauen möchten, der für die Umsetzung und Einhaltung der Maßnahmen sorgt und sie überwacht.

‍

Welche Soft-Skills benötigt ein Informationssicherheitsbeauftragter?

‍

Neben den fachlichen Qualifikationen muss ein Informationssicherheitsbeauftragter auch einige zwischenmenschliche Fähigkeiten mitbringen, um verschiedene Teilnehmende im Aufbau eines funktionierenden Informationssicherheitsmanagements einzubeziehen und anweisen zu können.

‍

Zu diesen Soft-Skills gehören:

‍

• Identifikation mit den Zielsetzungen der Informationssicherheit

• Kooperations- und Teamfähigkeit

• Fähigkeit zum selbstständigen Arbeiten

• Durchsetzungsvermögen und Kommunikationsfähigkeit

• Erfahrungen im Projektmanagement, idealerweise im Bereich der Systemanalyse und Kenntnisse über Methoden zur Risikoanalyse

• Zudem die Bereitschaft, sich in neue Gebiete einzuarbeiten und Entwicklungen in der IT zu verfolgen.

• Erfahrung im Bereich der IT-Sicherheit

‍

Die Kernaufgaben des Informationssicherheitsbeauftragten im Detail

‍

1. Risikomanagement und -bewertung

‍

Risikomanagement und -bewertung gehören zu den Kernaufgaben eines Informationssicherheitsbeauftragten. Dazu zählt beispielsweise die Analyse vorhandener Informationssicherheitsmaßnahmen und deren kontinuierliche Optimierung. Dabei werden auch die sicherheitsrelevanten Objekte sowie die Bedrohungen und Risiken in einer Organisation ermittelt und definiert.

‍

2. Erstellung und Umsetzung von Sicherheitsrichtlinien

‍

Der Informationssicherheitsbeauftragte erstellt maßgeschneiderte Sicherheitsrichtlinien und -ziele, erstellt Anleitungen und Pläne zur Realisierung und setzt diese um, oder unterstützt die Leitung der Informationssicherheit darin, dies zu tun.

Ein Beispiel ist eine Anleitung zum Wiederanlauf nach einem Sicherheitsvorfall, eine Richtlinie zur Internetnutzung oder ein Notfallkonzept im Sinne des Business Continuity Managements. Die Erstellung des Sicherheitskonzepts und zugehöriger Teilkonzepte und Richtlinien muss man koordinieren, zudem Maßnahmen dokumentieren. Um hier große Aufwände zu minimieren, vor allem in der Dokumentation und Überwachung, lohnt es sich, ein automatisiertes ISMS einzusetzen.

‍

3. Schulung und Sensibilisierung der Mitarbeiter

‍

Richtlinien und Anweisungen für den Umgang mit Informationssicherheits-relevanten Themen werden an die Mitarbeiter weitergegeben. Auch werden diese in punkto Datensicherheit und Informationssicherheit sensibilisiert. Eine zielgruppengerechte Aufbereitung und Vermittlung ist für eine starke Informationssicherheit wichtig.

‍

4. Überwachung und Bewertung der Sicherheitsmaßnahmen

‍

Sicherheitsrelevante Projekte werden durch den Informationssicherheitsbeauftragten überwacht und durch ihn oder die Leitung geleitet. Einzelne sicherheitsrelevante Vorfälle analysiert und bewertet er, sodass er im Anschluss qualifizierte Maßnahmen einleiten kann. Bei den häufig rasanten Entwicklungen sowohl im Bereich der IT als auch im Bereich der Sicherheit empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Sicherheitsleitlinie alle zwei Jahre zu überarbeiten und allen Mitarbeitern erneut bekannt zu machen. Die vorhandenen Sicherheitsmaßnahmen sollten regelmäßig, mindestens einmal im Jahr überprüft werden.

‍

Darüber muss man Sicherheitsmaßnahmen immer dann prüfen, wenn

‍

• neue Geschäftsprozesse, Anwendungen oder IT-Komponenten aufgebaut werden,

• größere Änderungen der Infrastruktur vorgenommen werden (z. B. nach einem Umzug),

• größere organisatorischen Änderungen anstehen (z. B. Outsourcing),

• die Gefährdungslage sich wesentlich ändert,

• wenn gravierende Schwachstellen oder Schadensfälle bekannt werden.

‍

Berichterstattung an die Geschäftsführung

‍

Gibt es keine gesonderte Leitung der Abteilung, so berichtet der Informationssicherheitsbeauftragte direkt an die Geschäftsführung. Die Geschäftsführung muss über mögliche Risiken und Konsequenzen aufgrund fehlender Informationssicherheit aufgeklärt werden.

Wichtig dabei ist die Darstellung der Risiken für die Informationssicherheit und der damit verbundenen Auswirkungen und Kosten, die Auswirkungen von Sicherheitsvorfällen auf die kritischen Geschäftsprozesse sowie die Institution als Ganzes, gesetzliche und vertragliche Anforderungen an die Informationssicherheit sowie eine Übersicht über Standard-Vorgehensweisen zur informationssicherheit für die Branche.

Bei anhaltend komplexen Informationssicherheitsstrukturen in der Welt hat der Informationssicherheitsbeauftragte eine anspruchsvolle und wichtige Aufgabe in Organisationen, bei der er sich stetig fortbilden muss.

‍

Expertentipp: Von Anfang an besser managen – mit automatisiertem ISMS

‍

Doch auch ein Informationssicherheitsbeauftragter ist nur ein Mensch und Menschen machen Fehler, was ein Sicherheitsrisiko darstellt. Deshalb ist ein automatisiertes ISMS sinnvoll und wertvoll. Ein Informationssicherheitsmanagementsystem (ISMS) ist ein System zur Verwaltung von Informationssicherheit, mit dem sich Risiken minimieren lassen und sich der Schutz von Informationen verbessern lässt.

Es unterstützt den ISB in der kompetenten Ausführung seiner Arbeit.

‍

Es lohnt sich besonders, wenn ein Unternehmen noch kein ISMS aufgebaut hat - dann kann das ISMS von Anfang an nach aktuellem Stand der Technik und der Gesetzgebung aufgebaut, und in diesem Zuge auch ein Informationssicherheitsbeauftragter benannt werden.

‍