Informationssicherheitsbeauftragte: Wie relevant sind ISBs für Ihre Organisation?

Spätestens seit Beginn der DSGVO müssen sich Unternehmen auch mit IT-Sicherheit und Informationssicherheit auseinandersetzen, denn Datenschutz funktioniert nicht ohne IT-Security und Information Security. Immer mehr Unternehmen ist bewusst, dass ihre IT-Systeme ernsthaften Bedrohungen ausgesetzt sind – die Cyberkriminalität steigt, Angriffe werden immer komplexer. Um die Informationssicherheit sicherstellen zu können, bietet sich die Beauftragung von Informationssicherheitsbeauftragten (ISB) an. Im heutigen Beitrag zeigen wir Ihnen, welche Aufgaben ein ISB zu erfüllen hat, welche persönlichen und fachlichen Eigenschaften ISBs mitbringen sollten und für welche Unternehmen Informationssicherheitsbeauftragte verpflichtend sind.

Welche Aufgaben erfüllt ein ISB?

Der oder die ISB zeigt sich im Unternehmen verantwortlich für das Planen, Umsetzen, Prüfen und Optimieren der Informationssicherheit. Weiter hat der ISB beratende Funktion: Die gesamtverantwortliche Geschäftsleitung wird rund um das Thema Informationssicherheit beraten. Hinzu kommt das Umsetzen, Betreiben und Weiterentwickeln von Informationssicherheits-Managementsystemen (ISMS). Dabei arbeitet der ISB Richtlinien zur Informationssicherheit aus und entwickelt konkrete Handlungsempfehlungen. Weiter ist der ISB Ansprechpartner, wenn es zu Sicherheitsvorfällen kommen sollte.

Somit sind die Aufgaben vom ISB beratend und koordinierend. Fachabteilungen unterstützen den ISB idealerweise bei der operativen Umsetzung. Seine qualitätssichernde Funktion erfüllt der ISB durch das Prüfen der Wirksamkeit von technischen und organisatorischen Maßnahmen. Der ISB koordiniert das Erstellen von Notfallkonzepten und berichtet zum Stand der Informationssicherheit im Unternehmen an die Leitung. Hinzu kommen das Planen von Awareness-Maßnahmen und das Sicherstellen von deren Durchführung. Weiter leitet der ISB beim Einführen von Informationssicherheitskonzepten an und begleitet neue Prozesse.

Welche Anforderungen muss ein ISB erfüllen?

Um diesem umfangreichen und verantwortungsvollen Aufgabengebiet gerecht zu werden, muss der ISB verschiedene persönliche sowie fachliche Voraussetzungen erfüllen. So müssen Kenntnisse und Erfahrungen in der IT und der Informationssicherheit vorhanden sein, aber auch ein grundlegendes Wissen über die Aufgaben und Abläufe der jeweiligen Organisation. Außerdem:

• Projektmanagement-Erfahrungen – idealerweise auch Kenntnisse in der Risikoanalyse
• Ein hohes Maß an Fortbildungsbereitschaft, um rechtlich und technisch auf dem aktuellen Stand zu sein
• Selbstständiges Arbeiten ist für den ISB genauso selbstverständlich wie analytische Fähigkeiten
• Durchsetzungsvermögen, aber auch Kommunikationsgeschick
• Kooperations- sowie Teamfähigkeit

Das Durchsetzungsvermögen und das Kommunikationsgeschick sind unbedingt vonnöten, da der ISB in der Lage sein muss, mit verschiedenen Abteilungen und Mitarbeitenden, aber auch der Organisationsleitung zu kommunizieren. Deshalb spielen all die genannten Anforderungen eine zentrale Rolle beim Auswählen des Informationssicherheitsbeauftragten.

Zuweilen streben Unternehmen interne Lösungen für die Besetzung der Position als ISB an. Hierbei ist jedoch darauf zu achten, dass keine Interessenkonflikte bestehen. Mitglieder der Geschäftsleitung wären genauso ungeeignet wie die IT-Leitung. Als Spezialist für Informationssicherheit sollte der ISB das Unternehmen von Beginn an mit seinem Know-how begleiten und sein immenses Fachwissen an der richtigen Stelle einbringen können. Um die Informationssicherheit im Unternehmen beurteilen, planen und umsetzen zu können, benötigt der ISB Fachkompetenz in allen Disziplinen der Informationssicherheit sowie grundlegende Kenntnisse über die informationstechnischen Systeme der Organisation.

Für welche Unternehmen ist ein ISB verpflichtend?

Grundsätzlich gibt es keine gesetzliche Pflicht zum Beauftragen eines ISB – es sei denn, Ihre Organisation zählt zu den Betreibenden kritischer Infrastrukturen (KRITIS), also beispielsweise Unternehmen aus dem Gesundheits- oder Versorgungssektor. Dennoch ist die Bestellung eines ISB insbesondere in großen Organisationen empfehlenswert: Hier wird in aller Regel mit großen Mengen an Daten und schützenswerten Informationen umgegangen.

Die Unternehmensführung verfügt häufig nicht über die fachlichen Kenntnisse im IT-Bereich – und diese Lücke kann der ISB professionell füllen. Hinzu kommt die Tatsache, dass der Geschäftsleitung oft die notwendige Zeit fehlt: Das Ausarbeiten eines Sicherheitskonzepts sowie das sichere Verwalten von Informationen nehmen sehr viel Zeit in Anspruch.

Ein ISB lohnt sich – besonders in Großunternehmen

Jedes Unternehmen besitzt wertvolle Informationen, die es zu schützen gilt – und je größer die Organisation, umso größer sind für gewöhnlich auch die Angriffsflächen. Durch das Benennen eines ISB und durch das Einführen eines ISMS wird die Sicherheit Ihrer IT-Systeme und Daten erhöht. Dies lässt sich – wenn der Bedarf vorhanden ist – auch mit einer Zertifizierung belegen. Eine solche Zertifizierung eines Informationssicherheits-Managementsystems (ISMS) stellt z. B. die Norm ISO/IEC 27001 dar.

Die Position des ISB lässt sich intern oder extern besetzen. Fraglich ist, ob der interne ISB die Anforderungen vollständig erfüllen kann – jedoch sind nicht vollständig erfüllte Anforderungen beim ISB immer noch besser, als keinen zu benennen. Mit entsprechenden Fortbildungen lässt sich der Wissensstand erhöhen. Der externe ISB ist für seine Fortbildungen und Fachkenntnisse selbst verantwortlich, was allein schon aus Kostengründen ein Vorteil für Unternehmen sein kann. Ob Sie die Position des ISB intern oder extern besetzen – in beiden Fällen ist es wichtig, allen Mitarbeitenden die Benennung des ISB bekannt zu machen. Haben Sie Fragen zum Thema ISB oder Interesse an einer externen Besetzung, freuen wir uns auf den Kontakt mit Ihnen!