Bestellung eines Informationssicherheitsbeauftragten

Bestellung eines Informationssicherheitsbeauftragten
Die zunehmende Anzahl von Cyberangriffen macht Unternehmen mehr und mehr zu schaffen. Neue Technologien wie künstliche Intelligenz und Chatbots verunsichern alle Beteiligten im Hinblick auf den Datenschutz und die IT-Sicherheit. Digitalisierung schafft auf diese Weise auch viel Raum für neue Probleme. Die Rolle des Informationssicherheitsbeauftragten gewinnt in diesem Kontext zudem mehr und mehr an Bedeutung und selbst kleine Unternehmen, die bislang vieles intern lösten, kommen nicht mehr ohne einen externen Informationssicherheitsbeauftragten aus.

Wann auch Sie auf einen Informationssicherheitsbeauftragten setzen sollten, wie Sie diesen bestellen und worauf es bei all dem wirklich ankommt, verrät Ihnen der nun folgende Abschnitt unseres Ratgebers zum ISB. Hier geben wir Ihnen alle Informationen an die Hand, die Sie benötigen, wenn Sie einen ISB für Ihr Unternehmen verpflichten möchten.

Wann muss ein Informationssicherheitsbeauftragter bestellt werden?

Eine generelle Pflicht gibt es in diesem Sinne gar nicht. Zumindest nicht in Deutschland. Es sind eher andere Bereiche, die den Einsatz eines Informationssicherheitsbeauftragten zur Pflicht werden lassen. Arbeit im Bereich der kritischen Infrastruktur zum Beispiel oder auch die Datenschutz-Grundverordnung (DSGVO), bei dem der Datenschutzbeauftragte (DSB) fast identische Aufgaben wie der ISB übernimmt.

 

Oft werden DSB und ISB daher auch zusammengelegt und gelten als ein Aufgabenbereich. Grundsätzlich gibt es zudem einige Vorgaben, die Maßnahmen zur Gewährleistung der IT-Sicherheit vorschreiben, wozu dann unter anderem auch der ISB gehören kann. Der Datenschutzbeauftragte, Informationssicherheitsbeauftragte und IT-Sicherheitsbeauftragte bilden also ein Team oder bestehen, speziell bei kleinen Unternehmen, auch gerne mal aus einer und derselben Person.

 

Am Ende geht es oft darum, wie groß das jeweilige Unternehmen und wie sensibel die Natur der dort verarbeiteten Daten ist. Auch die Branche spielt hier natürlich eine entscheidende Rolle. Wer also systematisch mit heiklen Daten arbeitet, tut gut daran, einen entsprechenden ISB zu beauftragen oder die Stelle sogar inhouse zu besetzen. Wobei letzteres nicht immer Sinn ergibt. Oft ist ein externer ISB die deutlich bessere Wahl für ein Unternehmen.

 

Die grundsätzliche Pflicht, einen ISB zu bestellen, gibt es in Deutschland aber gar nicht. Wohl aber ist es ratsam, sich hier proaktiv zu zeigen. Unter anderem, weil Maßnahmen zur Gewährleistung der IT-Sicherheit eben vorgeschrieben werden können. Außerdem sollte jedes Unternehmen immer daran bestrebt sein, die Informationssicherheit aufrechtzuerhalten und Risiken bestmöglich zu minimieren. Gerade dann, wenn es viele geschäftskritische oder vertrauliche Informationen behandelt.

Wie wählt man den richtigen Informationssicherheitsbeauftragten aus?

Einen geeigneten Informationssicherheitsbeauftragten für das Unternehmen zu ernennen, beeinflusst sicherheitsrelevante Bereiche und sollte daher nicht blauäugig oder vorschnell entschieden werden. Schauen wir uns daher im Folgenden ein paar der Punkte an, die bei der Auswahl des richtigen Informationssicherheitsbeauftragten eine tragende Rolle spielen und demnach besonders viel Relevanz besitzen.

 

Erfahrung: Ein ISB sollte über jede Menge theoretisches Fachwissen verfügen, denn die Praxis tritt nur sehr selten ein. Theoretisches Wissen ist also wichtig, aber Erfahrung ist von noch größerem Vorteil. Einer der Gründe dafür, warum ein externer ISB so wertvoll zu sein scheint, ist der, dass er Einblick in viele unterschiedliche Branchen besitzt, die in ganz unterschiedlichen Kategorien liegen. Alle mit verschiedenen Mentalitäten und Strategien in Bezug auf die Informationssicherheit. Der Erfahrungsschatz eines externen ISB ist also wesentlich größer als der eines internen, der vorwiegend die eigene Firma kennt, mit neuartigen Problemen dann aber gerne mal überfordert zu sein scheint. Die Erfahrung ist es, die beim ISB den Unterschied macht.

 

Fachliche Qualifikationen: Der ISB muss ein IT-Sicherheitsexperte sein, der sich im objektiven Risikomanagement und dem Ausarbeiten passender Sicherheitsstrategien auskennt. Die oben bereits erwähnten Zertifizierungen (ISO 27001, CISSP oder CISM) zeigen dem Unternehmen zudem von Anfang an klar und deutlich an, über welche Qualifikationen der ISB genau verfügt. Das ist einer Gründe für die Wichtigkeit dieser Zertifikate. Ohne viel Recherche ist somit sofort klar, dass ein ISB allen eventuell eintretenden Herausforderungen gewachsen ist, wenn er das entsprechende Zertifikat für diesen Bereich besitzt.

 

Kommunikationsfähigkeit: Ein ISB muss immer wieder hochkomplexe und sicherheitsrelevante Themen möglichst einfach kommunizieren und entsprechend vermitteln. Mitarbeiter sollte dabei verstehen, worum es geht. IT-Abteilungen müssen nach Anweisung vom ISB entsprechende Maßnahmen umsetzen und die Führungsebene erwartet einen umfangreichen und zugleich verständlichen Bericht und hat eventuelle Nachfragen, die der ISB beantworten muss. Bei all dem spielt die Kommunikationsfähigkeit somit eine entscheidende Rolle und ist nicht zu unterschätzen. Ein wenig kommunikativer ISB kann unternehmensweit große Probleme und viel Frust verursachen.

 

Unternehmenskultur: Der ISB kann eine beratende oder auch direkt operativ involvierte Position sein. Das hängt vom jeweiligen Unternehmen ab. Achten Sie darauf, dass der ISB zu Ihrer Unternehmenskultur passt. Er muss sich in bereits Bestehendes einfügen und die Strukturen entsprechend gut verstehen können. Das gelingt allerdings nur dann, wenn er ebenso zu Ihnen passt, wie Sie als Unternehmen zu ihm und seinen Vorstellungen.

 

Verfügbarkeit: Handelt es sich um einen externen ISB müssen Sie vorab sicherstellen, dass die notwendigen Kapazitäten vorhanden sind. Es bringt Ihnen nicht viel, einen ISB zu beauftragen, der dann nicht verfügbar ist oder im Ernstfall keine Kapazitäten mehr besitzt, um Ihnen zur Seite zu stehen. Klären Sie also vorab, zumindest wenn es sich um einen externen ISB handelt, wie umfangreich die Zusammenarbeit ausfällt und wie es bei einem IT-Notfall oder einem anderen Sicherheitsvorfall ablaufen soll. Nur wenn dieser Ihre eigenen Anforderungen an den zeitlichen Einsatz erfüllen kann, kommt er überhaupt als ISB für Ihr Unternehmen infrage.

 

Budget: Zu guter Letzt geht es natürlich auch noch um das liebe Geld. Einen internen ISB müssen Sie regelmäßig weiterbilden, zu Schulungen schicken und eventuell auch in die entsprechenden Zertifizierungen investieren. Neben seinem Grundgehalt und allen weiteren Ausgaben, versteht sich. Der externe ISB verfügt meist bereits über all das, bildet sich selbstständig fort und hat Einblick in viele Unternehmen und infolgedessen eine Menge Erfahrung. Das kostet auf lange Sicht mehr, ist bei geringem Bedarf jedoch deutlich kostengünstiger und vor allem flexibler.

Beauftragung und Vertragsgestaltung eines ISB

Ob ein Unternehmen tatsächlich einen Informationssicherheitsbeauftragten benötigt oder nicht, hängt von vielen unterschiedlichen Faktoren ab. Auch der Prozess einer konkreten Beauftragung und der jeweiligen Vertragsgestaltung hat eine Menge Individualität inne. Dennoch möchten wir versuchen, die typischen Prozesse der Benennung eines ISB durch ein Unternehmen entsprechend aufzuzeigen und zu erläutern. Ein paar Punkte fallen uns da nämlich durchaus ein, die von besonderer Bedeutung sind.

 

Bedarfsanalyse: Zunächst gilt es, die tatsächlichen Risiken im eigenen Unternehmen zu erforschen. Wie hoch ist das Risiko, wirklich angegriffen zu werden? Wie wird die Informationssicherheit zurzeit gehandhabt? Vor allem geht es aber auch darum, herauszufinden, wie geheim oder sensibel die gespeicherten Informationen überhaupt sind. Wie viele davon gibt es im Unternehmen? Daraus ergibt sich dann die Bedarfsanalyse, die aufzeigt, ob ein interner ISB notwendig ist oder ob ein externer ISB eine sinnvollere und flexiblere Wahl sein könnte.

 

Anforderungsprofil: Nun, da der eigene Bedarf auf Basis der Bedarfsanalyse hinreichend bekannt ist, kann ein Anforderungsprofil erstellt werden. Welche Qualifikationen sollte der ISB bereits besitzen, welche Berufserfahrung benötigt er und soll er im eigenen Unternehmen eher beratend zur Seite stehen oder ganz aktiv dafür sorgen, dass die Informationssicherheit aufrechterhalten werden kann? Auch hier zeigt sich wieder schnell, ob der eigene Anspruch eher in Richtung interner oder externer ISB geht.

 

Auswahlverfahren: Wie umfangreich das Auswahlverfahren wird, bleibt Ihnen überlassen. Sie können Ausschreibungen veröffentlichen, Bewerber einladen oder aber verschiedene externe Informationssicherheitsbeauftragte kontaktieren und nach einem Angebot fragen. Auf diese Weise wird der Kreis der infrage kommenden Personen zunehmend kleiner und damit auch das Auswahlverfahren. Schlussendlich möchten Sie den für Ihr Unternehmen am besten geeignetsten ISB finden und verpflichten.

 

Vertragsgestaltung: Speziell bei einem externen ISB sollte der Vertrag detailliert ausgearbeitet werden. Unter anderem muss dort sehr genau festgelegt werden, was die anfallenden Aufgaben sind, welche Verantwortlichkeiten bestehen, welche Berichtspflichten auferlegt sind und wie die Vergütung im Einzelfall geregelt wird. Klare Formulierungen verhindern dabei von vornherein Missverständnisse und Probleme bei Sicherheitsvorfällen oder aber auch Vertragsstrafen bei Verletzungen der im Vertrag beschriebenen Pflichten. Ein externer ISB macht nur das, was vertraglich festgelegt worden ist. Entsprechend wichtig ist es, möglichst genau auf die einzelnen Aufgaben einzugehen und diese möglichst detailliert zu erläutern.

 

Einarbeitung: Ganz gleich ob interner oder externer ISB, die Einarbeitung sollte mit viel Sorgfalt erfolgen. Um die anstehenden Aufgaben wirklich effektiv ausführen zu können, benötigt der ISB ein gutes Verständnis für die jeweiligen Prozesse und die verschiedenen Abläufe Ihres Unternehmens. All diese Dinge zu vermitteln und die Strukturen aufzuzeigen, ist ein wichtiger Teil der Einarbeitung eines ISB. Nur wenn er das Unternehmen und seine Arbeitsweise auch versteht, kann er für die entsprechende Informationssicherheit sorgen.

Fachliche Anforderungen an den ISB

Genug also der Theorie. Widmen wir uns ein paar Fakten zum Informationssicherheitsbeauftragten. Welche Anforderungen sollte dieser erfüllen und benötigt er vielleicht sogar bestimmte Qualifikationen und spezielle Ausbildungen, um als ISB erfolgreich arbeiten zu können?

 

Was die fachlichen Anforderungen betrifft, ist es vorwiegend das Wissen, das entscheidend für die Arbeit eines ISB ist. Er muss über einen topaktuellen Kenntnisstand im Bereich der IT-Sicherheit verfügen und IT-Infrastrukturen, wie Server und Netzwerke, bestmöglich und vor allem auch bis in das kleinste Detail verstehen können.

 

Neben den rein technischen Anforderungen ist die Position des ISB auch mit viel organisatorischen Fähigkeiten verbunden. Risikomanagement gehört ebenso dazu, wie das Austüfteln passender Sicherheitsstrategien. Auch die rechtlichen Anforderungen an die IT-Sicherheit muss der ISB jederzeit im Blick behalten und wissen, welche Vorschriften für sein Unternehmen bestehen und welche neuerlichen Regelungen in Zukunft eingeführt werden könnten. Er muss, was das angeht, immer auf dem Laufenden sein und das auch aus eigenem Antrieb.

 

Fachwissen und der notwendige Überblick gehen hier also Hand in Hand. Ein guter Informationssicherheitsbeauftragter kennt sich nicht nur mit IT-Sicherheit, IT-Systemen und IT-Infrastrukturen bestmöglich aus, sondern weiß auch über alle bürokratischen Abläufe Bescheid. Außerdem bewahrt er selbst in Stresssituationen einen kühlen Kopf und arbeitet an strategisch sinnvollen Lösungen, statt halsbrecherische Aktionen durchzuführen.

 

Analytisches Denken ist ebenso von Vorteil, wie auch ein hoher Grad an Verantwortungsbewusstsein und ein starkes Durchsetzungsvermögen. Informationssicherheit ist oft mühsam und die Maßnahmen anstrengend, weshalb es am ISB liegt, diese entsprechend überzeugend im jeweiligen Unternehmen einzuführen. Dabei hilft auch eine gute Kommunikationsfähigkeit, um die unterschiedlichen Aspekte der Informationssicherheit an Mitarbeiter weiterzugeben und an die Chefs weiterleiten und berichten zu können.

Zertifizierungen

Zertifikate bescheinigen dem ISB Kenntnisse in verschiedenen Bereichen der Informationstechnik. Dadurch können Unternehmen sichergehen, dass dieser über aktuelles Wissen in diesem Bereich verfügt. Je nach Aufgabenbereich des ISB und Branchen-Anforderungen des Unternehmens können unterschiedliche Zertifikate eine Rolle spielen. Dabei lassen sich die Zertifikate grob in drei Arten unterteilen:

 

  1. Cybersecurity Governance, Risk und Compliance (GRC) Zertifikate wie TISP (TeleTrust Information Security Professional), CISSP (Certified Information Systems Security Professional) oder CISM (Certified Information Security Manager) bescheinigen dem ISB ein Breites Wissensspektrum der Cybersicherheit und betonen gleichzeitig den Management-Aspekt, den sie bei der Übernahme der CISO Rolle im Unternehmen benötigen.
  2. Audit oder Beraterzertifikate im Bereich Informationssicherheits-Managementsysteme (ISMS) bescheinigen dem ISB speziell die Kompetenz über Aufbau und Aufrechterhaltung des ISMS. Dabei spielt die fortwährende Überprüfung des IST-Zustands der Informationssicherheit eine zentrale Rolle. Durch Zertifikate wie CISA (Certified Information Systems Auditor), IT-Grundschutz-Berater oder ISO/IEC 27001 Auditor wird sichergestellt, dass die ISB über die notwendigen Methoden zum Auditieren von ISMS verfügt.
  3. Branchenspezifische Zertifikate bescheinigen ISB darüber hinaus die Vertrautheit mit branchenspezifischen Anforderungen und Regularien. Sie adressieren spezifische Risiken wie die Integrität von Finanzdaten in Banken oder bei Zahlungsvorgängen, den sicheren Betrieb von medizinischen Geräten im Gesundheitssektor oder konzentrieren sich auf die Verlässlichkeit von Lieferketten (Supply-Chain) im Transport und der Logistik. Zertifikate wie PCI-DSS Auditor (Payment Card Industry Data Security Standard), HCISPP (HealthCare Information Security and Privacy Practitioner) oder ISO 28000 Lead Implementer (für Supply-Chain Security) zeigen an, dass der ISB auch auf dem aktuellen Stand der Spezifischen Compliance-Vorgaben ist.

 

Dabei sollte beachtet werden, dass nicht die Menge der Zertifikate, sondern ein stimmiges Kompetenzprofil des ISB für die Erfüllung seiner Aufgaben und Pflichten entscheidend ist.

Marktplatz IT-Sicherheit: weitere Angebote

Marktplatz IT-Sicherheit Skip to content