Aufgaben und Verantwortlichkeiten eines Informationssicherheitsbeauftragten
Aufgaben und Verantwortlichkeiten eines Informationssicherheitsbeauftragten
Die Hauptaufgabe des ISB ist ganz sicher das ISMS, deshalb ist es auch der erste Punkt, auf den wir gleich genauer eingehen werden. Doch es ist ein Irrglaube, dass sich der Informationssicherheitsbeauftragte ausschließlich um das ISMS kümmert. Vielmehr erwarten ihn eine Vielzahl an Aufgaben und Verantwortlichkeiten, denen er gewachsen sein muss, um die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Daten innerhalb des Unternehmens gewährleisten zu können. Schauen wir uns daher noch einmal an, welche Aufgaben in den Bereich des ISB fallen und was es damit genau auf sich hat.
ISMS aufbauen und verwalten
Zu den Aufgaben eines Informationssicherheitsbeauftragten gehört es unter anderem ein sogenanntes Informationssicherheitsmanagementsystem (ISMS) aufzubauen und zu verwalten. Das muss nach gängigen Standards wie ISO/IEC 27001 geschehen. Mit einem Informationssicherheitsmanagementsystem (ISMS) ist ein systematischer Ansatz gemeint, der dazu dient, sensible Informationen zu verwahren und zu verwalten. Zum ISMS selbst gehören Richtlinien, Verfahren, technische Sicherheitsmaßnahmen sowie Sicherheitskonzepte. Das ISMS wird dabei kontinuierlich überwacht, ausgebaut und erweitert, nachdem es erst einmal realisiert wurde. Alles jeweils angepasst an die Bedürfnisse des entsprechenden Unternehmens. Der ISB ist in der Regel für das ISMS verantwortlich und prüft regelmäßig, ob es den aktuellen Sicherheitsanforderungen weiterhin gerecht werden kann.
Entwicklung und Umsetzung einer Informationssicherheitsstrategie
Die verantwortungsvolle Entwicklung und Umsetzung einer Informationssicherheitsstrategie gehört ganz sicher mit den zu essenziellen Aufgaben eines Informationssicherheitsbeauftragten. Die Strategie sollte dabei maßgeblich und so umfangreich wie nur irgendwie möglich auf das jeweilige Unternehmen angepasst werden.
Mit einer ausgearbeiteten Sicherheitsstrategie schützt der ISB die Informationen im Unternehmen vor möglichen Bedrohungen, wie Cyberattacken. Außerdem stellt eine solche Strategie sicher, dass entsprechende Maßnahmen ergriffen werden, um die Sicherheitsrisiken zu minimieren. Dazu gehören sowohl technische als auch organisatorische Maßnahmen.
Die Entwicklung und Umsetzung der Informationssicherheitsstrategie ist dabei keine einmalige Aufgabe, sondern eine beständige. So muss und sollte eine derartige Strategie immer wieder den aktuellen Bedingungen angepasst werden, um der sich ständig verändernden Bedrohungslage gerecht werden zu können. Den Überblick zu bewahren und diese Themen im Blick zu behalten, ist die Aufgabe des Informationssicherheitsbeauftragten.
Durchführung von Risikoanalysen und Bedrohungsbewertungen
Um die eben erwähnte Strategie zu optimieren und beständig zu verbessern, führt der Informationssicherheitsbeauftragte regelmäßige Analysen durch. Dabei geht es zum einen um konkrete Risikoanalysen, die aufzeigen sollen, wo aktuell noch potenzielle Gefahren schlummern. Zum anderen aber auch um die Bewertung akuter und somit bereits vorhandener Bedrohungen. Dabei bewertet er sowohl die Wahrscheinlichkeit als auch das Schadenspotenzial, welches von ihnen ausgeht.
Durch diese Analysen findet der ISB Schwachstellen in den IT-Systemen und der IT-Infrastruktur und kann daran arbeiten, diese Prozesse zu verbessern oder Sicherheitsrisiken zu eliminieren. Durch Maßnahmen der Risikominimierung arbeitet der ISB zudem unaufhörlich daran, die Sicherheit im Unternehmen aufrechtzuerhalten, zu verbessern sowie potenzielle Sicherheitsvorfälle zu vereiteln.
Dokumentation und Berichterstattung
Die eben erwähnten Analysen und Bewertungen führen uns zu einem weiteren Punkt. Nämlich der ordnungsgemäßen Dokumentierung aller Sicherheitsmaßnahmen und eingeleiteten Strategien. Das ist mitunter besonders wichtig, weil der ISB das Bindeglied zwischen IT und Führungsebene darstellt. Der ISB berichtet direkt an die Geschäftsführung, die dadurch genaue Einblicke in Vorfälle, Abläufe und Maßnahmen erhalten kann.
Zu diesem Zweck dokumentiert der Informationssicherheitsbeauftragte nicht nur trocken die Vorkommnisse, sondern schreibt Berichte, die dann wiederum der Geschäftsführung übergeben werden können. Die Kommunikation der Sicherheitsvorfälle, Sicherheitsprobleme und Sicherheitsmaßnahmen sowie Strategien, ist ein wesentlicher Bestandteil der Arbeit des Informationssicherheitsbeauftragten.
Schulung und Sensibilisierung der Mitarbeiter
Menschliches Versagen gilt als häufiger Grund für IT-Sicherheitsvorfälle. Oft ist es allein auf menschliches Versagen zurückzuführen, dass Cyberangriffe erfolgreich verlaufen oder zumindest weiter kommen, als es hätte sein müssen, wenn sofort kühl und geordnet reagiert worden wäre. Das betrifft auch die Informationssicherheit und deshalb schult der ISB die Mitarbeiter im Unternehmen, um mehr Sensibilität in Bezug auf die Informationssicherheit zu gewährleisten.
Gerade das Thema der Informationssicherheit ist eines, welches zu vielen Mitarbeitern bislang noch nicht vorgedrungen ist. Dabei ist ein Bewusstsein für selbige absolut notwendig, um sicherzustellen, dass Informationen korrekt gespeichert und weiterverbreitet werden. Aufklärung und sogenannte Security Awareness, also das Sicherheitsbewusstsein jedes einzelnen Mitarbeiters, spielen dabei eine entscheidende Rolle, um bösartige Angriffe zu vereiteln.
Der ISB schult die Mitarbeiter daher regelmäßig (oder beauftragt solche Schulungen) im Bereich der IT-Sicherheit und klärt somit auch über gängige Angriffsarten auf. Er erläutert und zeigt Phishing-Angriffe oder führt Phishing-Simulationen gemeinsam mit weiteren Experten durch, bespricht den sicheren Umgang mit Passwörtern und legt fest, wie IT-Systeme im Unternehmen sicher genutzt werden sollten. Kommunikation ist hier wieder das Schlüsselwort, um die Mitarbeiter entsprechend weiterzubilden und zu sensibilisieren.
Zusammenarbeit mit der IT-Abteilung
Wie nun bereits klar geworden sein sollte, steckt der Informationssicherheitsbeauftragte tief innerhalb der IT-Infrastrukturen fest und kennt sich bestmöglich mit ebendiesen aus. Zu diesem Zweck arbeitet der ISB besonders eng mit der IT-Abteilung zusammen. Gemeinsam werden Sicherheitsstrategien besprochen, ausgeweitet oder verfeinert.
Auch bei der Implementierung weiterer Maßnahmen, vor allem, was den technischen Ablauf betrifft, ist der ISB auf die IT-Abteilung angewiesen. Umgekehrt natürlich ebenfalls, denn ISB und IT entwickeln viele der Richtlinien und Sicherheitsvorkehrungen gemeinsam. Nur so kann sichergestellt werden, dass alles an die vorhandenen IT-Systeme angepasst ist.
Sicherheitsvorfälle und Notfallmanagement
Zu den Aufgaben des Informationssicherheitsbeauftragten gehört es auch, auf entsprechende Sicherheitsvorfälle schnell und zielgenau zu reagieren. Durch eine schnelle Identifizierung des Vorfalls, einer darauf folgenden Analyse und einer Betrachtung der Ursachen, lassen sich schnelle und durchdachte Gegenmaßnahmen einleiten, die weiteren Schaden stark eindämmen oder den Angriff sogar sabotieren können.
Damit es nicht erneut zu Angriffen kommt, kümmert sich der ISB jedoch nicht nur um das zügige Notfallmanagement, sondern auch um die Nachbearbeitung. In der Aufarbeitung des Sicherheitsvorfalls analysiert dieser daher noch einmal, *wie* und *warum* es dazu kam, um selbiges in Zukunft entsprechend verhindern zu können.
Externe Audits und Compliance-Prüfungen
Damit Unternehmen nachweisen können, dass sie entsprechende Sicherheitsbestrebungen haben und Sicherheitsanforderungen maßgeblich erfüllen, sind sogenannte Audits und Compliance-Prüfungen notwendig. Das sind im Grunde einfach externe Prüfungen von Testern, die dann offiziell verkünden, dass alle Sicherheitsstandards etc. korrekt erfüllt werden.
Der ISB hat hier ebenfalls eine tragende Rolle inne. Er ist nämlich dafür verantwortlich, das Unternehmen auf die entsprechenden Prüfungen vorzubereiten und Maßnahmen zu ergreifen, damit die Audits erfolgreich bestanden werden. Im Prozess des Audits ist er zudem Ansprechpartner für die Auditoren und stellt somit auch alle gewünschten und erforderlichen Informationen zur Verfügung.
Damit der erfolgreiche Audit gewährleistet werden kann, führt der ISB in der Regel bereits vorab interne Audits und Prüfungen durch. Somit stellt er sicher, dass beim Audit selbst dann alles ordnungsgemäß funktioniert und den entsprechenden Anforderungen entspricht. Er bereitet das Unternehmen somit auf den externen Audit vor und ist dafür verantwortlich, dass der Audit erfolgreich verläuft und wie vorab gewünscht bestmöglich bestanden wird.
die aufgetretenen Probleme zu vermeiden.
Marktplatz IT-Sicherheit: weitere Angebote
Beiträge IT-Sicherheit
Ratgeber IT-Sicherheit
IT-Sicherheitstools
Interaktive Listen
Zertifikate IT-Sicherheit
