Die Bestellung von Informations-Sicherheitsbeauftragten ist – im Gegensatz zu den Datenschutzbeauftragten – vom Gesetzgeber nicht grundsätzlich vorgegeben, sondern nur in spezifischen Anwendungsbereichen wie etwa einer Zertifizierung nach ISO 27001 oder BSI IT-Grundschutz erforderlich. Dennoch entscheiden sich immer mehr Unternehmen freiwillig dazu, auf die Expertise eines internen oder externen Informations-Sicherheitsbeauftragten zurückzugreifen.
Wann sollte ein Informations-Sicherheitsbeauftragter zum Einsatz kommen – vor dieser Frage stehen viele Unternehmen. Der Geschäftsführung obliegt die Gesamtverantwortung über die IT-Governance eines Unternehmens. Dieser Verantwortung inhaltlich und auch im Sinne eines betrieblichen Risikomanagements gerecht zu werden, fordert der Geschäftsführung nicht nur viel Zeit, sondern vor allem auch eine gewisse Expertise ab, um Risiken identifizieren, bewerten und adäquate Sicherheitsmaßnahmen ableiten zu können.
Viele Geschäftsführer sind damit jedoch überfordert. Die Aufgabe eines Informations-Sicherheitsbeauftragten ist es, die Geschäftsführung – zwar in engem Schulterschluss mit IT-Leitung, Datenschutzbeauftragten und Notfallmanager, aber doch unabhängig – im Hinblick auf die Planung, Steuerung und Kontrolle eines wirksamen Informationssicherheitsmanagements zu beraten.
„Vielfach ist die Position von Informations-Sicherheitsbeauftragten gar nicht besetzt oder diese herausfordernde Aufgabe wird kommissarisch von IT-Leitern übernommen. Die fehlende Unabhängigkeit von Fachbereichsleitern, Ressourcen-Engpässe und bisweilen auch fehlende Weiterbildungen bei Fragen rund um die Informationssicherheit, machen diese Konstellation jedoch nicht immer zur besten Wahl für ein so wichtiges Beratungs- und Kontrollorgan“, wissen die Mitglieder des Netzlink IT-Security Teams zu berichten. „Ein externer Informations-Sicherheitsbeauftragter schließt genau diese Lücke, die im Zuge der voranschreitenden Digitalisierung und den aktuellen Herausforderungen durch den Wandel der Arbeitswelten (Stichwort: Homeoffice) zunehmend größer wird.“
Für die meisten kleinen und mittelständischen Betriebe lohnt sich die Zertifizierung und regelmäßige Weiterbildung eines internen Informations-Sicherheitsbeauftragten (kurz: ISB) nicht. Einen ISB extern zu bestellen ist für viele Unternehmen aber nicht nur aus Kostengründen eine sinnvolle Entscheidung: Als projekterfahrene Berater können sie oftmals besser einschätzen, welches Konzept für den spezifischen Unternehmensgegenstand und die jeweilige Ablauforganisation das Beste ist.
Aufgaben eines Informations-Sicherheitsbeauftragten
Das Spektrum, welches ein Informations-Sicherheitsbeauftragter zu erfüllen hat, ist sehr breit gefächert und wird in dem jeweiligen Anwendungsfall individuell mit der Geschäftsführung festgelegt. So übernimmt ein ISB typischerweise folgende Aufgaben:
- Ist-Aufnahme – was sind sicherheitskritische Informationen, wie sind diese gesichert, wo bestehen Schwachstellen, Ergebnisse bisheriger Maßnahmen und welche künftigen Maßnahmen sollten mit welcher Priorität umgesetzt werden?
- Bericht direkt an die Geschäftsführung und Dokumentation Sicherheitsmängel-/-Risiken und sicherheitsrelevante Vorkommnisse bzw. Sicherheitsvorfälle.
- Ausarbeitung von Sicherheitskonzepten und Prüfung auf Umsetzbarkeit.
- Der ISB stimmt die Ziele der Informationssicherheit mit den Zielen des Unternehmens ab und erstellt – soweit noch nicht vorhanden – eine Leitlinie zur Informationssicherheit in Abstimmung mit den jeweiligen Abteilungsleitern.
- Der ISB sorgt auch bei den Mitarbeitern und Nutzern für die notwendige Aufklärung und Sensibilisierung, um die Sicherheitsrichtlinien im Tagesgeschäft umzusetzen und anzuwenden, z.B. in Form von Awareness Trainings.
Während sich Datenschutzbeauftragte im Unternehmen vornehmlich für die Einhaltung der Datenschutz-Grundverordnung (DSGVO), die Überwachung der Datenverarbeitung und die Dokumentation der Verarbeitungstätigkeiten verantwortlich zeichnen, setzt sich ein ISB vor allem mit den technisch organisatorischen Maßnahmen, den sogenannten „TOMs“, zum Schutz der Informationssicherheit auseinander.
Herausforderungen gehen über TOMs hinaus
Eine besondere Herausforderung stellen Unternehmen dar, die über veraltete technische Anlagen und gewachsene Systeme verfügen, die eng mit der gesamten Unternehmens-IT verflochten sind – auch aus dem IBM System i Umfeld. „Altsysteme, die als Datenlieferanten für nachgelagerte Systeme dienen, stellen oftmals potenzielle Sicherheitsrisiken für das gesamte Informationsnetzwerk dar. Diese lassen sich jedoch nicht ohne Weiteres austauschen oder stilllegen.
Hier müssen wir uns diese Systeme im Einzelnen genau anschauen und gemeinsam überlegen, wie sich die Systeme und Informationsflüsse absichern lassen, um die Ziele der Informationssicherheit und die individuellen Unternehmensziele bestmöglich miteinander zu vereinbaren“, so Netzlinks IT-Security Team.
Einen großen Anstieg verzeichnete Netzlink in 2020 vor allem bei Anfragen nach sogenannten Penetrationstests – eine Art kontrollierter Hackerangriff, um die bestehenden Schwachstellen in der Systemlandschaft zu identifizieren, zu dokumentieren und geeignete Gegenmaßnahmen einzuleiten.
Neben den Operativsystemen ist die E-Mail heute eines der Haupteinfallstore für Malware im Unternehmen. Zwar lassen sich die Risiken bis zu einem gewissen Grad über technisch organisatorische Maßnahmen eingrenzen, doch sind hier ebenfalls die Anwender in besonderem Maße gefordert, diese auch im Tagesgeschäft für einen reibungslosen IT-Betrieb umzusetzen.
Mit Hilfe von regelmäßigen Awareness Schulungen via Präsenz- oder Online-Trainings schulen Netzlinks IT-Security Experten Unternehmen für die Gefahren aus dem elektronischen Postkorb und prüfen das Erlernte bei den Anwendern etwa durch den Versand von Test-Phishing-Mails auch im betrieblichen Alltag ab.
Das Angebot an Security Services wie der Bereitstellung externer Datenschutz- und Informations-Sicherheitsbeauftragten und Security Assessments beflankt das Braunschweiger Systemhaus mit weiteren Services wie u.a. der Schwachstellen-Analyse „Detective Netleak“ und einem Website Security Check zur Absicherung von Kundendaten über das Web. (rhh)
