IT-Sicherheitsbeauftragter

Es ist empfehlenswert, die Stelle des Informationssicherheitsbeauftragten (ISiB) zu schaffen. Der Beauftragte überwacht im Auftrag der Geschäftsleitung die Einhaltung der Informationssicherheitsvorgaben. Er ist bei der Anwendung seiner Fachkunde auf dem Gebiet der Informationssicherheit weisungsfrei und es ist sicherzustellen, dass er bei seiner Aufgabenerfüllung ausreichend unterstützt wird.

Der ISiB nimmt im Rahmen des Aufbaus des Informationssicherheits-Managementsystems eine zentrale Rolle ein und sollte nicht nur fachlich, sondern auch methodisch und hinsichtlich der sozialen Fähigkeiten ausreichend fähig sein. Dies führt dazu, dass viele Unternehmen die Funktion entweder komplett auslagern (Outsourcing des Informationssicherheitsbeauftragten) oder ihn durch einen externen Berater unterstützen; sei es in Form von Kapazitätsunterstützung (temporär in Projekten oder dauerhaft im laufenden Betrieb), Einbringen von umfassender Expertise oder als „Counterpart“, um möglichst zielführende Lösungen zu finden.

„Der Prophet im eigenen Land“ wird oftmals nicht erhört.

Deshalb kann ein Externer in der Regel unvoreingenommener an Fragestellungen herangehen und notwendige Maßnahmen vorantreiben. Dies kann er sowohl als externer Informationssicherheitsbeauftragter als auch als Berater in Form eines Coachings. Auch kann ein Externer proaktiv Themen einbringen, die beispielsweise bei anderen Unternehmen schon aufgekommen und idealerweise schon gelöst wurden.

Brauche ich für mein Unternehmen einen IT-Sicherheitsbeauftragten?

Mit zunehmender Abhängigkeit von der Informationsverarbeitung ist es notwendig, die Informationssicherheit umfassend in alle unternehmerischen Entscheidungen zu integrieren. Je nach Größe und Umfang der Ausstattung der jeweiligen Institution mit Informationsverarbeitungstechnik ist der Aufwand hierfür deutlich unterschiedlich, es besteht aber generell die Gefahr, dass viele Aspekte der Informationssicherheit im Tagesgeschäft „untergehen“.

Nur wenn eine Person explizit die Verantwortung zugewiesen bekommt sich um alle Facetten der Informationssicherheit zu kümmern, kann gewährleistet werden, dass die IT tatsächlich ausreichend sicher betrieben wird. Nicht zuletzt wird diese Funktion in allen gängigen Informationssicherheits-Managementnormen postuliert und kann somit als State of the Art angesehen werden.

Wer kann die Aufgabe des IT-Sicherheitsbeauftragten übernehmen?

Grundsätzlich sollte der IT-Sicherheitsbeauftragte/Informationssicherheits-Beauftragte eine Person sein, die einerseits ausreichend technisches Verständnis hat, um die Informationsverarbeitungsprozesse im Unternehmen zu verstehen und die sich hieraus ergebenden Risiken einschätzen und beurteilen kann, und andererseits ein gewisses Maß an organisatorischen Fähigkeiten besitzt, um für die Institution passende Konzepte und Richtlinien erarbeiten zu können. Insbesondere für die letztgenannten Aufgaben, muss ausreichend Zeit gegeben sein, in der keine ständige Auseinandersetzung mit dem Tagesgeschäft erfolgen muss.

Welche Möglichkeit gibt es, wenn ich keine Person mit dem notwendigen Know-how oder ausreichend Zeit habe?

Grundsätzlich gibt es 2 Möglichkeiten, bei Mangel an Fachpersonen oder fehlenden zeitlichen Budgets sich unterstützen zu lassen:

  1. Wenn prinzipiell eine Person im Unternehmen vorhanden ist, die diese Aufgabe wahrnehmen kann, diese aber nicht ausreichend für die Wahrnehmung komplexer Tätigkeiten freigestellt werden kann, so können einzelne Aufgaben/Projekte an einen fachkundigen Berater outgesourced werden. Insbesondere größere Projekte zum Beispiel im Rahmen der Erarbeitung eines Informationssicherheits-Managementsystems können so beherrscht werden, ohne interne Kapazitäten aufstocken zu müssen.

  2. Gerade in kleinen und mittelständischen Unternehmen wird es häufig problematisch sein, eine Person zu finden, die das notwendige Know-how-Profil besitzt. Insbesondere um die notwendige Unabhängigkeit zu gewährleisten, sollte der IT-Sicherheitsbeauftragte nicht gleichzeitig eine verantwortliche Funktion im Bereich der Informationsverarbeitung wahrnehmen. Für diesen Fall bietet es sich an, diese Funktion in Gesamtheit durch eine externe Fachkraft durchführen zu lassen.

Mit beiden Formen der Unterstützung hat die UIMC langjährige und bewährte Erfahrung, sodass sie Ihnen die maßgeschneiderte Hilfe anbieten kann, die ihre Institution benötigt. Gerne stehen wir für weitergehende Fragen zur Verfügung. Sprechen Sie uns an!