Haben Sie in Ihrem Unternehmen einen IT-Sicherheitsbeauftragten (ISB)? Nein? Wieso eigentlich nicht? Zugegebenermaßen gibt es – zum Beispiel im Unterschied zum Datenschutzbeauftragten (DSB) – keinen rechtlichen Zwang, eine solche Position in jedem Unternehmen zu kreieren. Dazu verpflichtet sind zum jetzigen Zeitpunkt lediglich Betreiber einer sogenannten kritischen Infrastruktur, wie zum Beispiel Energieversorger. Aber wir wissen alle, wie schnell sich so etwas vonseiten des Gesetzgebers ändern kann. Und dann ist man besser dafür gerüstet. Schließlich entlastet ein IT-Sicherheitsbeauftragter die Geschäftsleitung in Sachen IT Sicherheit und senkt dabei Ihr ganz persönliches Schadensrisiko. Welche Aufgaben ein IT-Sicherheitsbeauftragter im Konkreten übernimmt, teile ich Ihnen in den folgenden Abschnitten mit.
Was ist die hauptsächliche Aufgabe eines IT-Sicherheitsbeauftragten?
Es gibt eine zentrale Aufgabe eines jeden IT-Sicherheitsbeauftragten. Diese lautet, die Unternehmensleitung bei der Wahrnehmung ihrer Aufgaben bezüglich der IT Sicherheit zu beraten und bei deren Umsetzung zu unterstützen. Zudem soll er das Schadensrisiko innerhalb der IT durch das Treffen entsprechender Vorkehrungen im Unternehmen senken. Dies trägt dazu bei, dass sich Ihre IT Sicherheit auf hohem Niveau bewegt. Somit nimmt ebenso die Wahrscheinlichkeit ab, dass Sie für potenzielle Versäumnisse in diesem Bereich persönlich haften müssen. Ganz einfach deswegen, weil ein IT-Sicherheitsbeauftragter ein Auge auf alle relevanten Prozesse hat.
Durch welche Maßnahmen erfüllt ein IT-Sicherheitsbeauftragter seine primären Aufgaben?
- Zunächst einmal führt der IT-Sicherheitsbeauftragte eine Analyse der bisherigen Aktivitäten durch. Dies ist eine Voraussetzung dafür, dass die Sicherheit innerhalb der IT zielgerichtet aufgebaut werden kann. Gegenstand einer solchen Bestandsaufnahme sind unter anderem die Netzinfrastruktur, die Server- und Client-Systeme oder die Serverräume. Ebenso die bisherigen organisatorischen Regelungen müssen vom IT-Sicherheitsbeauftragten dokumentiert werden. Anschließend werden die Ergebnisse aufbereitet und die Unternehmensleitung über den Status quo zur IT Sicherheit informiert. Denn: Nur wer wirklich weiß – und nicht nur glaubt – wo er steht, kann auch entscheiden, wohin er möchte.
- Der IT-Sicherheitsbeauftragte entwickelt und formuliert die IT-Sicherheitsleitlinie und holt danach die Zustimmung der Unternehmensleitung ein. Dabei stellt die Leitlinie eine Willenserklärung der Geschäftsführung dar. Sie regelt, wie die Ziele bezüglich der IT Sicherheit (Verfügbarkeit, Vertraulichkeit und Integrität) erreicht werden sollen. Sie legt somit Verantwortlichkeiten und Ressourcen fest und klärt beispielsweise das Vorgehen bei Verstößen.
- Im Weiteren erlässt der IT-Sicherheitsbeauftragte Richtlinien. Diese setzen sich damit auseinander, auf welche Weise IT Sicherheit im Unternehmen realisiert werden soll. Sie definieren, was im Unternehmen erlaubt ist und was nicht. Eine Richtlinie sollte neben dem eigentlichen Inhalt – welcher den Handlungsrahmen vorgibt – auch immer eine Zielgruppe und den jeweiligen Zweck definieren. Damit kann man nämlich Missverständnissen und Fehlverhalten vorbeugen. Ein Beispiel wäre hier zum Beispiel, eine Richtlinie zu erlassen, welche den korrekten Umgang mit Passwörtern oder mobilen Datenträgern regelt.
Existieren weitere Voraussetzungen, die ein IT-Sicherheitsbeauftragter erfüllen muss?
Wichtig ist, dass sich der IT-Sicherheitsbeauftragte als das Bindeglied zwischen der Unternehmensleitung, der IT-Abteilung und den Nutzern versteht. Er muss die Themen aus der IT fachlich verstehen und nachvollziehen können. Zudem muss er gleichzeitig in der Lage sein, der Geschäftsführung die Inhalte „übersetzen“ – das heißt verständlich machen – zu können.
Im Übrigen muss sich der IT-Sicherheitsbeauftragte als Kontrollinstanz wahrnehmen, der seine Aufgaben unabhängig von der IT-Organisation erfüllt. Deswegen ist bei der Besetzung der Stelle darauf zu achten, dass kein Interessenkonflikt vorliegt. Das bedeutet im Umkehrschluss, dass der IT-Sicherheitsbeauftragte nicht gleichzeitig Leiter der IT-Abteilung oder Systemadministrator sein darf. Andernfalls kommt er in die Situation, seine eigene Arbeit kontrollieren zu müssen. Und dies macht natürlich äußerst wenig Sinn.
Tipp für kleine und mittelständische Unternehmen
Für kleine und mittelständische Unternehmen ist es von Vorteil, einen externen IT-Sicherheitsbeauftragten zu beauftragen. Denn häufig sind die personellen Ressourcen im eigenen Unternehmen nicht ausreichend gegeben. Außerdem verfügt ein externer IT-Sicherheitsbeauftragter über das nötige Know-How, ist stets auf dem neuesten Stand und kann Sie damit optimal beraten.
Fazit
Zusammengefasst lohnt sich ein IT-Sicherheitsbeauftragter schon deswegen, weil er Sie als Geschäftsführung entlastet. Dies erreicht er, indem er Sie über alle grundsätzlichen und wichtigen Fragen der IT Sicherheit informiert und berät. Dazu erarbeitet er Konzepte und Entscheidungsvorschläge sowie Verfahrensbeschreibungen und Dienstanweisungen aus, die von Ihnen als Geschäftsleitung anschließend in Kraft gesetzt werden. Außerdem ist er federführend bei Störungen oder Schadensereignissen und berichtet direkt an die Unternehmensleitung über alle Vorkommnisse, welche die IT Sicherheit betreffen.
Alles in allem trägt ein IT-Sicherheitsbeauftragter damit nicht nur zu einem geringeren Arbeitsaufwand Ihrerseits in diesem Bereich bei. Zudem wird so sichergestellt, dass sich Ihre IT Sicherheit auf einem hohen Niveau befindet. Und daran dürften Sie – Stichwort: persönliche Haftung – das größte Interesse haben.