IT-Sicherheitsbeauftragter

Ein IT-Sicherheitsbeauftragter oder auch Informationssicherheits-Beauftragter überwacht und kontrolliert die Trends der Informationssicherheit und ist dafür zuständig, Gefahren zu erkennen und hieraus entstehende negative Auswirkungen auf die eigene Institution bestmöglich zu verhindern.

Auch wenn diese Funktion – anders als der Datenschutzbeauftragte – nicht gesetzlich vorgeschrieben ist, so zeigt die Erfahrung, dass es kaum möglich ist, ein ausreichend sicheres Informationssystem zu betreiben, ohne dass eine Person dafür verantwortlich ist, dass die Sicherheitsthemen in allen Phasen der Informationsverarbeitung berücksichtigt werden.

Brauche ich für mein Unternehmen einen IT-Sicherheitsbeauftragten?

Mit zunehmender Abhängigkeit von der Informationsverarbeitung ist es notwendig, die Informationssicherheit umfassend in alle unternehmerischen Entscheidungen zu integrieren. Je nach Größe und Umfang der Ausstattung der jeweiligen Institution mit Informationsverarbeitungstechnik ist der Aufwand hierfür deutlich unterschiedlich, es besteht aber generell die Gefahr, dass viele Aspekte der Informationssicherheit im Tagesgeschäft „untergehen“.

Nur wenn eine Person explizit die Verantwortung zugewiesen bekommt sich um alle Facetten der Informationssicherheit zu kümmern, kann gewährleistet werden, dass die IT tatsächlich ausreichend sicher betrieben wird. Nicht zuletzt wird diese Funktion in allen gängigen Informationssicherheits-Managementnormen postuliert und kann somit als State of the Art angesehen werden.

Wer kann die Aufgabe des IT-Sicherheitsbeauftragten übernehmen?

Grundsätzlich sollte der IT-Sicherheitsbeauftragte/Informationssicherheits-Beauftragte eine Person sein, die einerseits ausreichend technisches Verständnis hat, um die Informationsverarbeitungsprozesse im Unternehmen zu verstehen und die sich hieraus ergebenden Risiken einschätzen und beurteilen kann, und andererseits ein gewisses Maß an organisatorischen Fähigkeiten zu besitzen, um für die Institution passende Konzepte und Richtlinien erarbeiten zu können. Insbesondere für die letztgenannten Aufgaben, muss ausreichend Zeit gegeben sein, in der keine ständige Auseinandersetzung mit dem Tagesgeschäft erfolgen muss.

Welche Möglichkeit gibt es, wenn ich keine Person mit dem notwendigen Know-how oder ausreichend Zeit habe?

Grundsätzlich gibt es 2 Möglichkeiten, bei Mangel an Fachpersonen oder fehlenden zeitlichen Budgets sich unterstützen zu lassen:

  1. Wenn prinzipiell eine Person im Unternehmen vorhanden ist, die diese Aufgabe wahrnehmen kann, diese aber nicht ausreichend für die Wahrnehmung komplexer Tätigkeiten freigestellt werden kann, so können einzelne Aufgaben/Projekte an einen fachkundigen Berater outgesourced werden. Insbesondere größere Projekte zum Beispiel im Rahmen der Erarbeitung eines Informationssicherheits-Managementsystems können so beherrscht werden, ohne interne Kapazitäten aufstocken zu müssen.

  2. Gerade in kleinen und mittelständischen Unternehmen wird es häufig problematisch sein, eine Person zu finden, die das notwendige Know-how-Profil besitzt. Insbesondere um die notwendige Unabhängigkeit zu gewährleisten, sollte der IT-Sicherheitsbeauftragte nicht gleichzeitig eine verantwortliche Funktion im Bereich der Informationsverarbeitung wahrnehmen. Für diesen Fall bietet es sich an, diese Funktion in Gesamtheit durch eine externe Fachkraft durchführen zu lassen.

Mit beiden Formen der Unterstützung hat die UIMC langjährige und bewährte Erfahrung, sodass sie Ihnen die maßgeschneiderte Hilfe anbieten kann, die ihre Institution benötigt. Gerne stehen wir für weitergehende Fragen zur Verfügung. Sprechen Sie uns an!