IT-Governance Warum Organisationen einen IT-Sicherheitsbeauftragten haben sollten

Autor Melanie Staudacher

Ein Informationssicherheitsbeauftragter überwacht und setzt technische Maßnahmen um. Auch die Sensibilisierung der Mitarbeiter gehört zu seinen Aufgaben. Er entlastet die Führungsebene und trägt zur IT-Sicherheit und der Umsetzung der Unternehmensziele bei.

Firmen zum Thema

Ein Informationssicherheitsbeauftragter trägt durch regelmäßige Überprüfungen zur IT-Governance bei.
Ein Informationssicherheitsbeauftragter trägt durch regelmäßige Überprüfungen zur IT-Governance bei.
(Bild: Light Impression - stock.adobe.com)

Die Bestellung eines Informationssicherheitsbeauftragten (ISB) ist im Gegensatz zu einem Datenschutzbeauftragten vom Gesetzgeber nicht grundsätzlich vorgeschrieben. Allerdings können Interessierte Schulungen besuchen, die sich an Richtlinien zur IT-Sicherheit orientieren, wie dem Standard ISO 27001 oder dem BSI IT-Grundschutz. Solche Zertifizierungen sind die Voraussetzung, um als ISB zu gelten.

Weshalb braucht man einen Informationssicherheitsbeauftragten?

Laut dem Braunschweiger Systemhaus Netzlink entscheiden sich immer mehr Unternehmen dafür, die Hilfe eines internen oder externen Beauftragten in Anspruch zu nehmen. Denn vor allem in großen Organisationen ist die Menge an Informationen und Geschäftsprozessen meist unüberschaubar. Der Geschäftsführung obliegt die Gesamtverantwortung über die IT-Governance. Dieser Verantwortung inhaltlich und auch im Sinne eines betrieblichen Risikomanagements gerecht zu werden, fordert den Führungspersonen nicht nur viel Zeit, sondern vor allem auch eine gewisse Expertise ab. Sie müssen Risiken identifizieren, bewerten und adäquate Sicherheitsmaßnahmen ableiten. Viele Geschäftsführer sind damit jedoch überfordert. Die Aufgabe eines ISB ist es, die Geschäftsführung im Hinblick auf die Planung, Steuerung und Kontrolle eines wirksamen Informationssicherheitsmanagements zu beraten.

Sven-Ove Wähling, Geschäftsführer bei Netzlink
Sven-Ove Wähling, Geschäftsführer bei Netzlink
(Bild: Netzlink)

„Oft ist die Position der Informationssicherheitsbeauftragten gar nicht besetzt oder wird kommissarisch von IT-Leitern übernommen. Die fehlende Unabhängigkeit von Fachbereichsleitern, Ressourcenengpässe und bisweilen auch fehlende Weiterbildungen bei Fragen rund um die Informationssicherheit, machen diese Konstellation jedoch nicht immer zur besten Wahl für ein so wichtiges Beratungs- und Kontrollorgan“, weiß Sven-Ove Wähling, Geschäftsführer bei Netzlink. „Ein externer Informationssicherheitsbeauftragter schließt genau diese Lücke, die im Zuge der voranschreitenden Digitalisierung und den aktuellen Herausforderungen im Homeoffice zunehmend größer wird.“

Aufgaben eines Informationssicherheitsbeauftragten

Für die meisten kleinen und mittelständischen Betriebe lohnt sich die Zertifizierung und regelmäßige Weiterbildung eines internen ISB nicht. Einen ISB extern zu bestellen ist für viele Unternehmen aber nicht nur aus Kostengründen eine sinnvolle Entscheidung: Als projekterfahrene Berater können sie oftmals besser einschätzen, welches Konzept für den spezifischen Unternehmensgegenstand und die jeweilige Ablauforganisation am geeignetsten ist.

Das Spektrum, welches ein ISB zu erfüllen hat, ist sehr breit gefächert und wird in dem jeweiligen Anwendungsfall individuell mit der Geschäftsführung festgelegt. So übernimmt ein ISB typischerweise folgende Aufgaben:

  • Ist-Aufnahme: Was sind sicherheitskritische Informationen? Wie sind diese gesichert? Wo bestehen Schwachstellen? Waren die bisherigen Maßnahmen erfolgreich? Und welche künftigen Maßnahmen sollten mit welcher Priorität umgesetzt werden?
  • Der ISB berichtet direkt an die Geschäftsführung und dokumentiert Sicherheitsmängel, Risiken und sicherheitsrelevante Vorkommnisse.
  • Ausarbeitung von Sicherheitskonzepten und Prüfung auf Umsetzbarkeit
  • Der ISB stimmt die Ziele der Informationssicherheit mit den Zielen des Unternehmens ab und erstellt eine Leitlinie zur Informationssicherheit in Abstimmung mit den jeweiligen Abteilungsleitern.
  • Er sorgt auch bei den Mitarbeitern und Nutzern für die notwendige Aufklärung und Sensibilisierung, um die Sicherheitsrichtlinien im Tagesgeschäft umzusetzen und anzuwenden, zum Beispiel in Form von Awareness Trainings.

Hohe Anforderungen im Gesundheitssektor und in Behörden

Das Security-Team von Netzlink verfügt zudem über Erfahrungen und geschulte Berater ffür kritische Infrastrukturen wie das Healthcare- und Klinik-Umfeld. In diesem Sektor unterliegen die medizinischen und klinischen Einrichtungen oftmals der BSI KRITIS-Verordnung, die Teil des IT-Sicherheitsgesetzes ist. Hier sind besondere Richtlinien zu befolge, zum Beispiel im Hinblick auf die Sicherheit der IT-Systeme und die Einhaltung von Informations- und Meldepflichten, zu befolgen. Krankenhäuser müssen regelmäßige Auditierungen nachweisen. Die besondere Herausforderung als ISB liegt hier in der Einhaltung der KRITIS-Verordnungen auf der einen und dem Schutz sensibler Gesundheitsdaten, nach Artikel 9 DSGVO, auf der anderen Seite.

Mehr als technische Maßnahmen

Eine besondere Herausforderung für den ISB stellen Unternehmen dar, die über veraltete technische Anlagen und gewachsene Systeme verfügen, die eng mit der gesamten Unternehmens-IT verflochten sind. „Altsysteme, die als Datenlieferanten für nachgelagerte Systeme dienen, stellen oftmals potenzielle Sicherheitsrisiken für das gesamte Informationsnetzwerk dar. Diese lassen sich jedoch nicht ohne Weiteres austauschen oder stilllegen“, erklärt Wähling. „Hier müssen die Informationssicherheitsbeauftragten sich diese Systeme im Einzelnen genau anschauen und gemeinsam mit der IT-Abteilung und der Geschäftsführung überlegen, wie sich die Systeme und Informationsflüsse absichern lassen, um die Ziele der Informationssicherheit und die individuellen Unternehmensziele bestmöglich miteinander zu vereinbaren.“

Ein weiteres Risiko, das Netzlink 2020 bei Penetrationstest verzeichnete, ist das E-Mail-Postfach als Einfallstor für Malware. Zwar lassen sich die Risiken bis zu einem gewissen Grad über technisch organisatorische Maßnahmen eingrenzen, doch auch die Anwender sind in besonderem Maße gefordert, diese im Tagesgeschäft umzusetzen. Netzlink bietet dafür regelmäßige Schulungen via Präsenz- oder Online-Training an. Dazu gehören wiederholte Phishing-Test-Mails, die an die Teilnehmer versendet werden.

„Der ISB ist damit nicht nur eine unabhängige Beratungsinstanz für die Geschäftsleitung, die Schwachstellen in der IT und Lösungsansätze zur nachhaltigen Minimierung von Geschäftsrisiken aufzeigt. Sondern auch eine wichtige Schnittstelle zur IT und den IT-Anwendern“, resümiert Wähling. „Diese oftmals große Lücke zwischen beiden mithilfe eines ISB zu schließen, ist insbesondere im Hinblick auf die wachsenden Anforderungen der Digitalisierung eine wichtige Aufgabe einer vorausschauenden Geschäftsführung.“

Dieser Beitrag erschien zuerst auf unserem Schwesterportal IT-Business.

(ID:47159458)