Was bringt ein IT-Sicherheitsbeauftragter?
Ein Informationssicherheitsbeauftragter (ISB) überwacht die Umsetzung technischer Maßnahmen der IT-Sicherheit. Zudem sensibilisiert der ISB die Mitarbeiter des Unternehmens. Er entlastet die Führungsebene und trägt zur IT-Sicherheit und der Umsetzung der Unternehmensziele bei.
Der Geschäftsführung obliegt die Gesamtverantwortung über die IT. Diese Verantwortung fordert viel Zeit ein und bedarf auch einer gewissen Expertise, damit die Umsetzung auch im Sinne eines betrieblichen Risikomanagements erfolgt. Risiken sind zu identifizieren und zu bewerten, erst dann können adäquate Sicherheitsmaßnahmen ermittelt und umgesetzt werden. Daher gehört es zu den Aufgaben eines ISB, die Geschäftsführung im Hinblick auf die Planung, Steuerung und Kontrolle eines wirksamen Informationssicherheitsmanagements zu beraten.
Aufgaben eines Informationssicherheitsbeauftragten
Wirtschaftlich betrachtet kommt es für die meisten kleinen und mittelständischen Unternehmen nicht in Betracht einen internen ISB einzustellen. Meist lohnt sich der Aufwand für die regelmäßige Weiterbildung nicht. Aus diesem Grund ist die Beauftragung eines externen ISBs eine sinnvolle Entscheidung.
Die Weiterbildung und der Nachweis der vorgehaltenen Expertise im Rahmen von anerkannten Zertifizierungen ist für erfahrene Berater jedoch in der Regel selbstverständlich. Durch dieses vorhandene und vertiefte Wissen können sie oftmals besser einschätzen, welches Konzept zur Erreichung eines angemessenen Sicherheitslevels zum Unternehmen passt und damit zielführend erscheint.
Dabei sind aber auch die Aufgaben des ISB von Unternehmen zu Unternehmen unterschiedlich. Welche Aufgaben der ISB erfüllt, wird individuell mit der Geschäftsführung vereinbart. Typischerweise sind dies zumindest folgende Aufgaben:
- Ist-Aufnahme: Was sind kritische Informationen und IT-Systeme? Wo und wie sind die kritischen Informationen gesichert? Bestehen aktuell Schwachstellen? Welche künftigen Maßnahmen können die Schwachstellen reduzieren und sollten umgesetzt werden?
- Der ISB berichtet an die Geschäftsführung und dokumentiert Sicherheitsbedenken, Risiken und für die IT-Sicherheit relevante Vorkommnisse.
- Ausarbeitung von Sicherheitskonzepten und Prüfung auf Umsetzbarkeit, wobei zuvor ermittelte tolerierbare Ausfallzeiten in das Konzept einfließen und berücksichtigt werden müssen.
- Der ISB stimmt die Ziele der Informationssicherheit mit den Zielen des Unternehmens ab und unterstützt bei der Erstellung einer Leitlinie zur Informationssicherheit.
- Er sorgt auch bei den Mitarbeitern und Nutzern für die notwendige Aufklärung und Sensibilisierung, da die festgelegten Sicherheitsrichtlinien im Arbeitsalltag integriert sein müssen. Diese Sensibilisierungen können zum Beispiel in Form von Awareness Trainings erfolgen.
Warum fehlt der Geschäftsführung häufig die notwendige Expertise?
Netzwerke und IT-Systeme sollte immer dem aktuellsten Stand der Technik entsprechen. Diesem Anspruch wird man in der Regel jedoch nicht gerecht. Die Umgebung wächst zusammen mit dem Unternehmen und oftmals gibt es beispielsweise Altsystem, die auf Grund von Abhängigkeiten seitens der Hard- oder Software nicht modernisiert werden können. Gleichzeitig stellen solche Altsystem jedoch ein Risiko für das Unternehmen dar, denn notwendige Sicherheitsupdates gibt es häufig nicht mehr.
Der ISB kann diese System in die Betrachtung einfließen lassen und gemeinsam mit der Unternehmensleitung, oder aber auch mit der IT-Abteilung oder dem IT-Dienstleister, eine Absicherung dieser Systeme planen, damit der Weiterbetrieb möglich ist, jedoch die (Rest-)Risiken für das Unternehmen auf ein akzeptables Niveau gesenkt werden.
Eine solche Betrachtung ist für die Unternehmensleitung häufig nicht möglich, dies gehört aber auch nicht zu den Themen, um denen sich die Unternehmensleitung kümmern müssen sollte.
Unser Selbstverständnis als ISB:
Natürlich ist es unsere primäre Aufgabe die Geschäftsleitung unabhängig zu beraten, damit Schwachstellen erkannt und Risiken für das Unternehmen reduziert werden können. Dabei liefern wir Lösungsansätze, die mit Blick auf die individuelle Situation für einen sicheren IT-Betrieb sorgen sollen. Natürlich liegt es im Aufgabenbereich der Unternehmensleitung die Maßnahmen freizugeben, damit die Umsetzung erfolgen kann. Wir sorgen jedoch dafür, dass sich die Unternehmensleitung nach der Freigabe wieder ihren Kernaufgaben zuwenden kann.
Dabei ist es unser Ziel eine Schnittstelle zwischen Unternehmensleitung, IT-Administration und IT-Anwender darzustellen. Nur wenn die Unternehmensleitung die Risiken kennt und passende Maßnahmen freigibt, die IT-Administration diese umsetzt und die IT-Anwender die Notwendigkeit und Einhaltung entsprechender Richtlinien versteht und beherrscht, kann ein sicherer IT-Betrieb gewährleistet werden.