BRANDMAUER IT Security Blog

Haben Sie auch manchmal das Gefühl, dass Sie mehr Dinge erledigen müssen als Sie können? Personalmanagement, Marketing, Finanzielle Führung und Mitarbeiterbindung sind nur Beispiele aus dem gesamten Aufgabenbereich eines Geschäftsführers. Und dazu kommt noch das Thema IT-Security, das ganz ohne Zweifel Chefsache ist. Sie fragen sich vielleicht: Wie soll ich mich auch noch um IT-Security kümmern? Ich als Geschäftsführer von BRANDMAUER IT kenne das Gefühl aus Gesprächen mit Geschäftsführerkollegen und auch aus eigener Erfahrung. Kein Geschäftsführer will sich mit IT Sicherheit beschäftigen, weil dann andere vermeintlich wichtigere Dinge liegen bleiben. Dies ist natürlich verständlich und nachvollziehbar, birgt aber ein hohes Risiko für das Unternehmen. Genau deshalb beginnt an diesem Punkt unsere Arbeit als BRANDMAUER IT Security. Wir wollen diesen Engpass beseitigen!

Das Angebot an IT-Sicherheitsbeauftragten wird immer größer. Und damit wird es auch immer schwerer, kompetente und seriöse IT-Sicherheitsbeauftragte von unseriösen zu unterscheiden. Um Ihnen als Geschäftsführer die Auswahl und Entscheidung zu erleichtern, können Sie im folgenden Artikel einige Dinge erfahren, auf die Sie bei der Wahl des richtigen IT-Sicherheitsbeauftragten achten sollten.

Bei den unzähligen Bezeichnungen und ähnlichen Begriffen in der IT ist es verständlich, dass es auch zu Begriffsverwechslungen oder -unstimmigkeiten kommen kann. So geschieht es oft bei den Begriffen Datensicherheitsbeauftragter und IT-Sicherheitsbeauftragter bzw. Datenschutzbeauftragter. Um es gleich zu Beginn zu sagen: Es existiert kein Datensicherheitsbeauftragter! Und der Datenschutzbeauftragte unterscheidet sich doch erheblich vom IT-Sicherheitsbeauftragten.

Der IT-Sicherheitsbeauftragte und der Datenschutzbeauftragte unterscheiden sich im Wesentlichen darin, dass sie für verschiedene Arten von Daten zuständig und verantwortlich sind. Genaueres können Sie hier nachlesen. Dabei kann es durchaus Überschneidungsbereiche geben, was die Frage aufwirft: Kann es Interessenkonflikte zwischen diesen beiden Positionen geben? Lassen Sie mich gleich zu Beginn klarstellen: Bei professionellen IT-Sicherheitsbeauftragten und Datenschutzbeauftragten darf es keine Interessenkonflikte geben!

Aus meinem letzten Beitrag zum IT-Sicherheitsbeauftragten (Teil 1) wissen Sie bereits, worauf wir von BRANDMAUER IT besonderen Wert  legen. Um Ihnen ein noch besseres Bild von unserem IT-Sicherheitsbeauftragten zu vermitteln, will ich Ihnen nun berichten, wie unser IT-Sicherheitsbeauftragter in einem Kundenprojekt agiert hat. Die Anforderung des Kunden war eigentlich eine relativ einfache Aufgabenstellung: „Wir müssen für den Wirtschaftsprüfer eine IT-Dokumentation als Anlage zum Jahresabschluss bereitstellen!“ Die Sichtung des Anforderungskatalogs seitens des Wirtschaftsprüfers machte aber schnell deutlich, dass hier mehr verlangt wird als nur eine IT-Dokumentation. Schon die ersten Fragen konnte der Kunde nicht mit gutem Gewissen beantworten.

Die Aufgaben eines IT-Sicherheitsbeauftragten sind eindeutig vom BSI definiert und weisen diesem damit einen grundlegenden Tätigkeitsbereich zu. Wenn nun alle IT-Sicherheitsbeauftragten dazu verpflichtet sind, diese bestimmten Aufgaben zu übernehmen, welcher Unterschied besteht dann noch zwischen ihnen? Woher soll ich als Geschäftsführer denn wissen, für welchen IT-Sicherheitsbeauftragten ich mich am besten entscheide? Zum einen verfügt jeder über ein unterschiedliches Know-How, unterschiedliche Stärken und Erfahrungswerte sowie unterschiedliche Ansprüche an seine Arbeit. Zum anderen gibt es unzählige Möglichkeiten, über die vorgeschriebenen Aufgaben hinaus zu agieren. BRANDMAUER IT stellt sicher, dass sich nur fähige und kompetente Mitarbeiter, die sich eben nicht nur auf das Nötigste beschränken, um Ihre IT kümmern.

Die gesetzlichen Anforderungen an die IT Sicherheit seitens des Gesetzgebers sind hoch. Dabei existieren nicht nur zahlreiche Gesetzestexte, die sich mit dem Thema befassen. Ebenso die Maßnahmen, die viele Unternehmen im Rahmen der IT Sicherheit umsetzen sollen, sind alles andere als überschaubar. Deswegen ist es ratsam, sich im Rahmen eines Beratungstermins externe Unterstützung zu suchen. Ganz einfach deswegen, weil es zu viele mögliche Fallstricke gibt, über die Sie sonst stolpern könnten. Schlimmstenfalls ziehen diese – gravierende Versäumnisse Ihrerseits vorausgesetzt – eine persönliche Haftung nach sich. Um eine solche zu verhindern, wird das thematisch oftmals Undurchschaubare für Sie sichtbar gemacht. Denn heute verrate ich Ihnen, was der Unterschied zwischen einem IT-Sicherheitsbeauftragten und einem Datenschutzbeauftragten ist und warum beide Stellen geeignet sind, Schaden von Ihrem Unternehmen abzuwenden.

Wenn Sie regelmäßiger Leser unseres Blogs sind, dann wissen Sie bereits, warum das Thema der IT Sicherheit für Ihr Unternehmen ein besonders wichtiges ist. Ferner dürfte Ihnen hinlänglich bekannt sein, welche Aufgaben ein IT-Sicherheitsbeauftragter für Organisationen übernehmen kann. Um Ihren diesbezüglichen Wissensstand zu komplettieren, werfen wir heute einen Blick auf die gesetzlichen Grundlagen, aus denen die Notwendigkeit der Position eines IT-Sicherheitsbeauftragten im Unternehmen hervorgeht. „Warum sollten diese Gesetzestexte für mich als Geschäftsführer wichtig sein?“ – werden Sie sich jetzt vielleicht zunächst fragen. Die Antwort darauf ist relativ simpel: weil Sie sich sonst schnell in der persönlichen Haftung befinden. Dies gilt besonders dann, wenn Sie sich nicht auf ein etwaiges Schadensrisiko vorbereitet haben, also zum Beispiel die IT Sicherheit in Ihrem Unternehmen nicht ausreichend implementiert worden ist. Doch schauen wir uns die entsprechenden gesetzlichen Regelungen im Detail an.

Haben Sie in Ihrem Unternehmen einen IT-Sicherheitsbeauftragten (ISB)? Nein? Wieso eigentlich nicht? Zugegebenermaßen gibt es – zum Beispiel im Unterschied zum Datenschutzbeauftragten (DSB) – keinen rechtlichen Zwang, eine solche Position in jedem Unternehmen zu kreieren. Dazu verpflichtet sind zum jetzigen Zeitpunkt lediglich Betreiber einer sogenannten kritischen Infrastruktur, wie zum Beispiel Energieversorger. Aber wir wissen alle, wie schnell sich so etwas vonseiten des Gesetzgebers ändern kann. Und dann ist man besser dafür gerüstet. Schließlich entlastet ein IT-Sicherheitsbeauftragter die Geschäftsleitung in Sachen IT Sicherheit und senkt dabei Ihr ganz persönliches Schadensrisiko. Welche Aufgaben ein IT-Sicherheitsbeauftragter im Konkreten übernimmt, teile ich Ihnen in den folgenden Abschnitten mit.