Informationssicherheitsbeauftragte reduzieren Sicherheitsrisiken

Im Gegensatz zu Datenschutzbeauftragten sind Unternehmen nicht verpflichtet, Informationssicherheitsbeauftragte einzustellen. Warum es dennoch sinnvoll ist, erläutert Sven-Ove Wähling, Geschäftsführer des Braunschweiger IT-Systemhauses Netzlink Informationstechnik GmbH, in einem Gastbeitrag.

Die Bedrohungslage verschärft sich. Die Informations- und Datensicherheit in unseren wachsenden Unternehmens- und Kollaborationsnetzwerken hat deshalb in Unternehmen bei der Ausgestaltung der IT-Infrastrukturen oberste Priorität. Die Bestellung eines Informationssicherheitsbeauftragten (ISB) ist – im Gegensatz zu einem Datenschutzbeauftragten – vom Gesetzgeber nicht grundsätzlich vorgegeben, sondern nur in spezifischen Anwendungsfällen wie etwa einer Zertifizierung nach ISO 27001 oder BSI IT-Grundschutz erforderlich. Dennoch entscheiden sich immer mehr Unternehmen freiwillig dazu, auf die Expertise eines internen oder externen Informationssicherheitsbeauftragten zurückzugreifen.

Wann sollte ein Informationssicherheits-Beauftragter zum Einsatz kommen?

Der Geschäftsführung obliegt die Gesamtverantwortung über die IT-Governance eines Unternehmens. Dieser Verantwortung inhaltlich und auch im Sinne eines betrieblichen Risikomanagements gerecht zu werden, fordert der Geschäftsführung nicht nur viel Zeit, sondern vor allem auch eine gewisse Expertise ab, um Risiken identifizieren, bewerten und adäquate Sicherheitsmaßnahmen ableiten zu können. Viele Geschäftsführer sind damit jedoch überfordert. Die Aufgabe eines Informationssicherheitsbeauftragten ist es, die Geschäftsführung – zwar in engem Schulterschluss mit IT-Leitung, Datenschutzbeauftragten und Notfallmanager, aber doch unabhängig – im Hinblick auf die Planung, Steuerung und Kontrolle eines wirksamen Informationssicherheitsmanagements zu beraten.

„Vielfach ist die Position von Informationssicherheitsbeauftragten gar nicht besetzt oder diese herausfordernde Aufgabe wird kommissarisch von IT-Leitern übernommen. Die fehlende Unabhängigkeit von Fachbereichsleitern, Ressourcenengpässe und bisweilen auch fehlende Weiterbildungen bei Fragen rund um die Informationssicherheit, machen diese Konstellation jedoch nicht immer zur besten Wahl für ein so wichtiges Beratungs- und Kontrollorgan“, weiß Netzlink Geschäftsführer Sven-Ove Wähling zu berichten. „Ein externer Informationssicherheitsbeauftragter schließt genau diese Lücke, die im Zuge der voranschreitenden Digitalisierung und den aktuellen Herausforderungen durch den Wandel der Arbeitswelten (Stichwort: Homeoffice) zunehmend größer wird.“

Für die meisten kleinen und mittelständischen Betriebe lohnt sich die Zertifizierung und regelmäßige Weiterbildung eines internen Informationssicherheitsbeauftragten nicht. Einen ISB extern zu bestellen ist für viele Unternehmen aber nicht nur aus Kostengründen eine sinnvolle Entscheidung: Als projekterfahrene Berater können sie oftmals besser einschätzen, welches Konzept für den spezifischen Unternehmensgegenstand und die jeweilige Ablauforganisation das Beste ist.

Aufgaben eines Informationssicherheitsbeauftragten

Das Spektrum, welches ein Informationssicherheitsbeauftragter zu erfüllen hat, ist sehr breit gefächert und wird in dem jeweiligen Anwendungsfall individuell mit der Geschäftsführung festgelegt. So übernimmt ein ISB typischerweise folgende Aufgaben:

Ist-Aufnahme – was sind sicherheitskritische Informationen, wie sind diese gesichert, wo bestehen Schwachstellen, Ergebnisse bisheriger Maßnahmen und welche künftigen Maßnahmen sollten mit welcher Priorität umgesetzt werden?

Bericht direkt an die Geschäftsführung und Dokumentation Sicherheitsmängel-/-Risiken und sicherheitsrelevante Vorkommnisse bzw. Sicherheitsvorfälle.

Ausarbeitung von Sicherheitskonzepten und Prüfung auf Umsetzbarkeit.

Der ISB stimmt die Ziele der Informationssicherheit mit den Zielen des Unternehmens ab und erstellt – soweit noch nicht vorhanden – eine Leitlinie zur Informationssicherheit in Abstimmung mit den jeweiligen Abteilungsleitern.

Der ISB sorgt auch bei den Mitarbeitern und Nutzern für die notwendige Aufklärung und Sensibilisierung, um die Sicherheitsrichtlinien im Tagesgeschäft umzusetzen und anzuwenden, z.B. in Form von Awareness Trainings.

Während sich Datenschutzbeauftragte im Unternehmen vornehmlich für die Einhaltung der Datenschutz-Grundverordnung (DSGVO), die Überwachung der Datenverarbeitung und die Dokumentation der Verarbeitungstätigkeiten verantwortlich zeichnen, setzt sich ein ISB vor allem mit den technisch organisatorischen Maßnahmen, den sogenannten „TOMs“, zum Schutz der Informationssicherheit auseinander.

Herausforderungen gehen über technisch organisatorische Maßnahmen hinaus

Eine besondere Herausforderung für den ISB stellen Unternehmen dar, die über veraltete technische Anlagen und gewachsene Systeme verfügen, die eng mit der gesamten Unternehmens-IT verflochten sind. „Altsysteme, die als Datenlieferanten für nachgelagerte Systeme dienen, stellen oftmals potenzielle Sicherheitsrisiken für das gesamte Informationsnetzwerk dar. Diese lassen sich jedoch nicht ohne Weiteres austauschen oder stilllegen“, erklärt Sven-Ove Wähling. „Hier müssen die Informationssicherheitsbeauftragten sich diese Systeme im Einzelnen genau anschauen und gemeinsam mit der IT-Abteilung und der Geschäftsführung überlegen, wie sich die Systeme und Informationsflüsse absichern lassen, um die Ziele der Informationssicherheit und die individuellen Unternehmensziele bestmöglich miteinander zu vereinbaren.“

Einen großen Anstieg verzeichnete Netzlink vor allem bei Anfragen nach sogenannten Penetrationstests – eine Art kontrollierter Hackerangriff, um die bestehenden Schwachstellen in der Systemlandschaft zu identifizieren, zu dokumentieren und geeignete Gegenmaßnahmen einzuleiten. Neben den Operativsystemen ist die E-Mail heute eines der Haupteinfallstore für Malware im Unternehmen. Zwar lassen sich die Risiken bis zu einem gewissen Grad über technisch organisatorische Maßnahmen eingrenzen, doch sind hier ebenfalls die Anwender in besonderem Maße gefordert, diese auch im Tagesgeschäft für einen reibungslosen IT-Betrieb umzusetzen. Mit Hilfe von regelmäßigen Awareness Schulungen via Präsenz- oder Online-Trainings schulen Netzlinks IT-Security Experten Unternehmen für die Gefahren aus dem elektronischen Postkorb und prüfen das Erlernte bei den Anwendern etwa durch den Versand von Test-Phishing-Mails auch im betrieblichen Alltag ab. Das Angebot an Security Services wie der Bereitstellung externer Datenschutz- und Informationssicherheitsbeauftragten und Security Assessments flankiert das Braunschweiger Systemhaus mit weiteren Services wie u.a. der Schwachstellen-Analyse „Detective Netleak“ und einem Website Security Check zur Absicherung von Kundendaten über das Web.

Vorausschauende Geschäftsführung

„Der ISB ist nicht nur eine unabhängige Beratungsinstanz für die Geschäftsleitung, der Schwachstellen in der IT und Lösungsansätze zur nachhaltigen Minimierung von Geschäftsrisiken aufzeigt, sondern auch eine wichtige Schnittstelle zur IT und den IT-Anwendern. In den meisten Fällen weiß zwar die Geschäftsführung um deren Gesamtverantwortung für die IT- und Informationssicherheit im gesamten Kollaborationsnetzwerk, dies an die häufig mit dem Operativgeschäft ausgelastete IT zu delegieren, ist jedoch – im Hinblick auf die langfristigen Unternehmensziele – nicht immer der beste Weg“, resümiert Netzlink Geschäftsführer Sven-Ove Wähling. „Diese Lücke zu schließen – etwa durch die Bestellung eines internen oder externen ISB – ist insbesondere im Hinblick auf die wachsenden Anforderungen der Digitalisierung eine kardinale Aufgabe einer vorausschauenden Geschäftsführung.“

Themenseiten: Informationsmanagement, Netzlink

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Informationssicherheitsbeauftragte reduzieren Sicherheitsrisiken

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *