Empfehlung von IT-Sicherheitsexperten:„Bestellen Sie einen Informations-Sicherheitsbeauftragten“
14. April 2022Jedes Unternehmen besitzt wertvolle Informationen, die es zu schützen gilt – und je größer die Organisation, umso größer sind für gewöhnlich auch die Angriffsflächen. Nicht erst seit gestern sind IT-Systeme ernsthaften Bedrohungen ausgesetzt – die Cyber-Kriminalität steigt, Angriffe werden immer komplexer.
Spätestens seit Beginn der DSGVO (Datenschutz-Grundverordnung) müssen sich Unternehmen deshalb auch mit IT-Sicherheit und Informationssicherheit auseinandersetzen, denn Datenschutz funktioniert nicht ohne diese beiden Themen. „Mit der Benennung eines Informations-Sicherheitsbeauftragten – ISB – sowie der Einführung eines Informationssicherheits-Managementsystems erhöhen Unternehmen die Sicherheit von IT-Systemen und Daten deutlich“, meint IT-Sicherheitsexpertin Patrycja Schrenk. Die Geschäftsführerin der PSW GROUP ergänzt: „Eine gesetzliche Pflicht zur Beauftragung eines ISB gibt es zwar nicht – es sei denn, die jeweilige Organisation zählt zu den Betreibenden kritischer Infrastrukturen. Dennoch empfehle ich die Bestellung eines ISB insbesondere in großen Organisationen. Denn hier wird in aller Regel mit großen Mengen an Daten und schützenswerten Informationen umgegangen.“
Der oder die ISB ist im Unternehmen verantwortlich für Planung, Umsetzung, Prüfung und Optimierung der Informationssicherheit, hat aber auch beratende Funktion: „Der Informationssicherheitsbeauftragte berät die Geschäftsleitung rund um das Thema Informationssicherheit. Zu den Aufgaben gehört aber auch die Implementierung, Umsetzung, Betrieb und Weiterentwicklung eines Informationssicherheits-Managementsystems. Hierfür müssen Richtlinien zur Informationssicherheit ausgearbeitet und konkrete Handlungsempfehlungen entwickelt werden“, benennt Schrenk einige wichtige Aufgaben eines ISB. Daneben plane der ISB unter anderem Awareness-Maßnahmen, stellt deren Durchführung sicher und ist Ansprechpartner, wenn es zu Sicherheitsvorfällen kommen sollte.
Um diesem umfangreichen und verantwortungsvollen Aufgabengebiet gerecht zu werden, muss der oder die ISB verschiedene persönliche sowie fachliche Voraussetzungen erfüllen. So müssen Kenntnisse und Erfahrungen in der IT und der Informationssicherheit vorhanden sein, aber auch ein grundlegendes Wissen über die Aufgaben und Abläufe der jeweiligen Organisation.
„Zuweilen streben Unternehmen interne Lösungen für die Besetzung der Position als ISB an. Das ist durchaus möglich, es sollte aber darauf geachtet werden, dass keine Interessenkonflikte bestehen. Mitglieder der Geschäftsleitung wären deshalb genauso ungeeignet wie die IT-Leitung. Vielfach kann aber auch nicht jeder intern bestellte ISB die fachlichen Anforderungen vollständig erfüllen. Hier kann und sollte mit entsprechenden Fortbildungen der Wissensstand erhöht werden.“ rät die IT-Sicherheitsexpertin. Ob die Position des ISB nun intern oder extern besetzt wird: In beiden Fällen ist es wichtig, allen Mitarbeitenden die Benennung des ISB bekannt zu machen. (rhh)