Der Informationssicherheitsbeauftragte sorgt, der Name verrät es natürlich bereits, in erster Linie dafür, dass die Informationssicherheit in einem Unternehmen dauerhaft aufrechterhalten werden kann. Er ist somit die Schlüsselfigur, die jederzeit gewährleistet, dass die Informationssicherheit innerhalb einer Organisation bestehen bleibt.
In einem Unternehmen nimmt der Informationssicherheitsbeauftragte deshalb auch eine zentrale Rolle ein. Er kümmert sich um den Schutz von Informationen vor unberechtigtem Zugriff, Manipulation oder auch ganz konkret dem möglichen Verlust. Dafür entwickelt der ISB verschiedene IT-Sicherheitsstrategien, führt unternehmensweite Richtlinien ein und überwacht zudem den aktuellen Status; schaut also auch, ob neue Sicherheitsmaßnahmen entwickelt werden müssen oder bestehende bereits ausreichen oder erweitert werden können.
Außerdem ist er sehr häufig eine Art Schnittstelle zwischen der IT-Abteilung und der oberen Führungsebene sowie weiteren Abteilungen. Gerade in Bezug auf die Informationssicherheit ist es nämlich wichtig, dass das Thema von allen Abteilungen entsprechend verstanden und umgesetzt wird. Auch das ist Teil der Aufgabe, die ein Informationssicherheitsbeauftragter innehat. Er muss die Maßnahmen kommunizieren, überall verständlich erläutern und deren Bedeutung klar vermitteln, damit diese unternehmensweit umgesetzt und eingehalten werden können.
Die Rolle des Informationssicherheitsbeauftragten wird dabei häufig als ISB abgekürzt, was ein allseits bekannter Begriff innerhalb der Branche ist, der zudem fast ausschließlich verwendet wird. Meist ist daher, genau wie hier in unserem Ratgeber, nur von dem ISB die Rede, nicht aber vom Informationssicherheitsbeauftragten. Je nach Größe des Unternehmens kann es mitunter auch mehrere ISB geben, die dann jeweils für verschiedene Teilbereiche der Informationssicherheit verantwortlich sind.
Vor allem in den vergangenen Jahren haben Cyberangriffe eher zugenommen als abgenommen. Die hohe Anzahl der Attacken, gepaart mit immer trickreicheren Methoden der Angreifer, wie etwa Ransomware (gezielte Erpressung durch Verschlüsselung der IT-Systeme) und akuter Datendiebstahl, haben einen entsprechenden ISB für Unternehmen (auch für sehr kleine) inzwischen nahezu unverzichtbar werden lassen. Unter anderem deshalb, weil potenzielle Schutzmaßnahmen, ebenso wie aber auch gesetzliche Richtlinien, im Zuge der Digitalisierung oft noch bedeutend komplizierter und umfangreicher geworden sind. Bei all diesen Dingen den Überblick zu bewahren und sie gesetzeskonform umzusetzen, ist gar nicht so einfach.
Der Informationssicherheitsbeauftragte ist in modernen Unternehmen also unter anderem deshalb so wichtig, weil er den Überblick in all dem Wirrwarr behält. Er klärt die Stakeholder über potenzielle Risiken und aktuelle Bedrohungslagen auf, setzt Gegenmaßnahmen zielgerichtet um und stellt damit sicher, dass das Risiko, selbst Opfer solcher Cyberangriffe zu werden, möglichst gering ausfällt. Aber auch, dass im Falle eines Angriffs schon die notwendigen Gegenmaßnahmen geplant wurden und schnell eingeleitet werden können. Im Grunde kümmert sich der ISB um nahezu alle Sicherheitsprozesse im Unternehmen und kommuniziert diese zwischen den verschiedenen Verantwortlichen. Häufig ist er daher auch eher als ein Stratege und Vermittler zu betrachten, der die notwendigen Gespräche führt und dafür sorgt, dass Maßnahmen zeitnah wie vorgesehen umgesetzt werden.
Weil ein Verlust sensibler Geschäftsdaten nicht nur dem einzelnen Unternehmen schadet, sondern oft auch rechtliche Konsequenzen nach sich zieht sowie das Vertrauen der eigenen Kundschaft nachhaltig schädigt, gibt es den ISB, der sich um all diese Aspekte bereits von vornherein kümmert. Er schützt moderne, digital stark aufgestellte Unternehmen davor, dass kritische Daten abhandenkommen. Außerdem kümmert er sich um verschiedene Richtlinien und Gesetze, die mitunter sehr komplex ausfallen können und daher einen dedizierten Mitarbeiter verlangen, der all diese Dinge kontrolliert und dabei den notwendigen Überblick bewahrt. Genau dafür gibt es den Informationssicherheitsbeauftragten und genau deshalb ist er so überaus wichtig für moderne Unternehmen.
Einfach gesagt und ohne zu sehr in Details abzudriften, gibt es in großen Unternehmen beide Positionen. Der CISO (also der Chief Information Security Officer) ist so etwas wie der strategische Leiter, der den Überblick über das Informationssicherheitsmanagement behält und die Personal- und Budget Budget-Verantwortung birgt, während der ISB die Pläne dann praktisch umsetzt und im Unternehmen entsprechend etabliert. Gibt es den CISO nicht, wird oft der ISB zum Strategen, der die Aufgaben an die IT-Abteilungen weitergibt und konkret umsetzen lässt.
In großen Unternehmen behält der CISO somit die Informationssicherheit im gesamten Konzern im Blick, wählt Strategien und baut Maßnahmen weiter aus, die vom ISB dann praktisch umgesetzt werden. Der ISB arbeitet also viel direkter mit der IT-, Compliance- und Legal-Abteilung zusammen als der CISO.
Allerdings sind ISB und CISO oft nicht ganz klar definiert und häufig gibt es auch gar keinen CISO, weshalb der ISB dann alle Aufgaben auf einmal übernimmt. In großen Unternehmen sind die Bereiche allerdings klar voneinander getrennt, sodass gesagt werden kann, dass der CISO die Strategien bezüglich der Informationssicherheit betreut und der ISB selbige dann innerhalb der Abteilungen umsetzt.
Der ISB ist in erster Linie operativ tätig, kümmert sich um das Informationssicherheitsmanagementsystem (ISMS) und die Umsetzung entsprechender Maßnahmen. Der CISO hingegen hat eine leitende Rolle, entwickelt also eher Gesamtstrategien und neue Konzepte, die vom ISB dann umgesetzt werden müssen.
Der Informationssicherheitsbeauftragte (ISB) kümmert sich um die Informationssicherheit, also den Schutz der IT-Infrastruktur und aller Daten im Unternehmen (auch die, die nicht digital sind). Der Datenschutzbeauftragte (DSB) hingegen konzentriert sich ganz und gar auf den Datenschutz und Richtlinien wie die DSGVO.
Allerdings überlappen beide Bereiche stark miteinander und so kommt es entweder zu einer regelmäßigen Zusammenarbeit oder dazu, dass es gar keinen Datenschutzbeauftragten gibt. Je nach Größe des Unternehmens kann es also sein, dass der Informationssicherheitsbeauftragte auch die Aufgaben des DSB übernimmt. Das geht aber nur bei kleineren Unternehmen, da diese ansonsten aus dem Ruder laufen und zu ausschweifend werden.
Prinzipiell kümmert sich der eine also um die Informationssicherheit und der andere um die Einhaltung des Datenschutzes und damit beispielsweise um personenbezogene Daten, die im Unternehmen verarbeitet werden. Je nach Umfang kann der Datenschutzbeauftragte viel zu tun haben, weil auch die Weiterverarbeitung der Daten mit Drittanbietern und Dienstleistern immer wieder geklärt sowie geprüft werden muss und Verstöße gegen die DSGVO mitunter unglaublich teuer sein können.
Die Unterschiede des ISB und des IT-Sicherheitsbeauftragten sind dann schon nicht mehr ganz so klar zu definieren. Das liegt auch daran, dass der Informationssicherheitsbeauftragte oft nahezu identische Aufgaben wie der IT-Sicherheitsbeauftragte besitzt. Häufig werden die Begriffe sogar synonym verwendet. Es handelt sich in vielen Unternehmen also um ein und dieselbe Stelle. Unterschiede aufzuzeigen, erscheint somit recht schwer.
Ein Unterschied wäre allerdings, dass der ISB viel breiter aufgestellt ist und sich im Kern nicht nur mit der IT-Sicherheit, sondern auch allen anderen Sicherheitsaspekten im Unternehmen befasst. Der IT-Sicherheitsbeauftragte hingegen kümmert sich ganz gezielt und durchgängig um die Sicherheit der IT-Infrastruktur, die Netzwerksicherheit etc. und somit um nichts, was darüber hinaus geht.
Während der ISB also auch alle nicht technischen Aufgaben übernimmt und unternehmensweit agiert, ist der IT-Sicherheitsbeauftragte ganz klar auf den Aufgabenbereich der IT-Systeme beschränkt. Doch wie eingangs schon erwähnt, stehen die Begriffe oft synonym füreinander, meinen also dasselbe, weil die Aufgaben, gerade bei kleineren Unternehmen, regelrecht verschwimmen und sich nur schwierig voneinander trennen lassen.
Der Informationssicherheitsbeauftragte berichtet direkt an die Geschäftsführung und andere wichtige Stakeholder im Unternehmen. Das ist ein bedeutender Aspekt der Aufgaben eines ISB, da er durch seine direkte Unterstellung der Führungsebene auch den notwendigen Einfluss besitzt, um etwaige Sicherheitsmaßnahmen zeitnah durchsetzen zu können. Außerdem bleibt er so unabhängig und untersteht nur der obersten Ebene, nicht aber einer Zwischenschicht, die potenziell gar kein Interesse daran hat, die Ideen und Vorkehrungen des Informationssicherheitsbeauftragten gewissenhaft umzusetzen.
Doch egal an wen der ISB schlussendlich berichtet, es ist und bleibt dabei von entscheidender Bedeutung, dass er währenddessen vollkommen unabhängig agieren kann. Die Stelle des ISB muss somit stets mit besonders viel Freiraum gestaltet werden, um etwaige Interessenkonflikte und Kämpfe innerhalb der Abteilungen von vornherein auszuschließen. Er sollte zudem, je nach Unternehmen, auch keine allzu großen operativen Verantwortlichkeiten zugeteilt bekommen und muss jederzeit uneingeschränkt im Interesse des Unternehmens handeln. Ohne Druck von außerhalb zu verspüren oder zu strikte Vorgaben zu erhalten.
Wie schon mehrfach zwischen den Zeilen erwähnt, arbeitet ein Informationssicherheitsbeauftragter immer auch mit weiteren Abteilungen im Unternehmen zusammen. Ganz offenkundig ist das die IT-Abteilung, die viele seiner Maßnahmen umsetzen muss. Doch auch die Rechtsabteilung spielt eine tragende Rolle in der Zusammenarbeit, um gesetzliche Vorgaben zu erfüllen, dem Datenschutz Genüge zu tun sowie sich rechtlich entsprechend abzusichern.
Informationssicherheit ist schließlich kein nice to have, sondern in vielen Bereichen schlichtweg eine absolute Notwendigkeit. Sie entscheidet am Ende auch darüber, wie hoch bestimmte Strafen ausfallen, wenn es dann doch mal zu einem Sicherheitsvorfall kommt. Denn dann ist es bedeutsam, wie viel Mühe sich Unternehmen im Bereich der Informationssicherheit gegeben haben und wie viel Mitschuld es durch seine Nachlässigkeit eventuell tragen muss. Der ISB steht hier in der Verantwortung, die notwendigen Protokolle und Logs bereitzustellen, die darüber aufklären, welche Schritte unternommen wurden, um