+4 Daumen
65 Aufrufe

image.png

1. Einführung

In den Leitlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) taucht häufig der Begriff „Informationssicherheitsbeauftragter (ISB)“ auf. Doch weshalb brauchen Unternehmen einen ISB? Was sind seine Aufgaben und wer füllt diese Rolle am besten aus?

2. Warum braucht es einen ISB?

Obwohl es sich ein Unternehmen in der heutigen Zeit nicht mehr leisten kann, Informationssicherheit (IS) nur als ein „nettes Gimmick“ anzusehen, nimmt sie in der Praxis häufig einen viel zu geringen Stellenwert ein. Man hört zwar von den zahlreichen und immer häufiger auftretenden Sicherheitsvorfällen im IT-Bereich, doch nimmt zeitgleich eine sehr distanzierte Haltung zu dieser Thematik ein, obwohl uns u.a. aufgrund unserer exzessiv gelebten Always-On Praxis kaum eine Gefahr näher ist als Angriffe auf IT-Systeme und die darin erfassten Informationen. Umso dramatischer ist das Mindset einiger Unternehmen, nach dem die Informationssicherheit häufig hinter dem Tagesgeschäft zurücksteht. Mit der Frage „Was soll schon passieren, wenn unser Unternehmen keine Informationssicherheit hat?“ beruhigen sich die Verantwortlichen so lange, bis es zu einem Zwischenfall kommt, der z. B. aufgrund unserer rechtlichen Regularien nicht selten existenzbedrohend sein kann. Apropos Verantwortliche: sind die etablierten IS-Strukturen durch unklare Zu- und Aufteilungen der Verantwortlichkeiten geprägt, dann besteht die Gefahr, dass die Verantwortung gerne bei anderen gesehen wird. Wie beim Bystander-Effekt stellt sich irgendwann der Zustand ein, dass keiner mehr die Verantwortung zu haben glaubt und sich schon irgendjemand im Unternehmen darum kümmert.

Die Lösung für das strukturelle Zuständigkeitsproblem besteht in der Benennung eines ISB, der als Koordinator und Hauptansprechpartner für alle die IS betreffenden Aspekte fungiert. Dieser sollte organisatorisch weit oben in der Unternehmenshierarchie positioniert werden und im Idealfall direkt der obersten Leitungsebene zugeordnet sein. In der Praxis hat es sich als sehr hilfreich erwiesen, ein Mitglied der Leitungsebene zu benennen, an den der ISB direkt berichtet. Neben dem ISB kann die bedarfsgerechte Benennung weiterer Personen sinnvoll sein, die mit verschiedenen Teilaufgaben der IS betraut werden und dem ISB zuarbeiten. Im Vergleich zu einem Sicherheitsbeauftragten, der sich mit Themen wie Betriebssicherheit und Arbeitsschutz auseinandersetzt, beschäftigt sich ein Informationssicherheitsbeauftragter mit Sicherheitsthemen im IT- und im Non-IT-Bereich. Das nächste Kapitel widmen wir dem Aufgabenprofil des ISB.

3. Was fällt in den Aufgabenbereich eines ISB?

Der ISB ist der zentrale Ansprechpartner und Koordinator für IS und übernimmt als solcher folgende Aufgaben:

- Beratung und Unterstützung der obersten Leitungsebene in IS-Fragen und bei der Erarbeitung einer Sicherheitsleitlinie. Die damit verbundenen Entscheidungen der Leitungsebene werden anschließend vom ISB in die Tat umgesetzt.

- Mitwirkung beim und Steuerung des IS-Prozesses und der Erstellung, sowie Umsetzung von Konzepten, Regelungen und Richtlinien zur IS.

- Untersuchung von Sicherheitsvorfällen.

- Einführung und Koordination von IS-Schulungsmaßnahmen.

- Sensibilisierung in IS-Fragen und die damit verbundene Etablierung von „Security-Awareness“ im Unternehmen.

4. Wer eignet sich als ISB?

Die Wahrnehmung all dieser Aufgaben und die Übernahme der damit einhergehenden Verantwortung erfordert natürlich ein umfangreiches Wissensportfolio in Fragen der IS und IT. Zudem sollte sich ein angehender ISB mit den Zielen, die mit der IS erreicht werden sollen, identifizieren und diese „leben“, da eine halbherzige Beschäftigung mit dieser komplexen Thematik mit an Sicherheit grenzender Wahrscheinlichkeit zu vermeidbaren Incidents führen wird. Um erarbeitete Konzepte und damit verbundene Maßnahmen geeignet in die Unternehmensstruktur integrieren zu können, sollte sich der ISB auch mit den Aufgaben im und Zielen des Unternehmens auskennen und ein hohes Maß an Team- und Kooperationsfähigkeit mitbringen, da er mit vielen verschiedenen Fachbereichen zusammenarbeiten muss. Deshalb sind auch Erfahrungen im Projektmanagement von großem Vorteil. Durchsetzungsvermögen ist eine weitere essentielle Eigenschaft des ISB, da für ein nachhaltiges Sicherheitskonzept die Mitarbeit der Angestellten unbedingt erforderlich ist. Schließlich sind sie es, die das Konzept mit Leben füllen und erst einmal überzeugt werden müssen. Eine rein extrinsische Motivation würde langfristig sehr wahrscheinlich auf Widerstand stoßen, weshalb kommunikatives und argumentatives Geschick gefragt ist. Aufgrund rasanter Entwicklungen im IT-Bereich ist die fehlende Bereitschaft, sich in neue Themengebiete einzuarbeiten und am „Puls der Zeit“ zu bleiben ein K.o.-Kriterium. Abgerundet wird das Profil durch Kenntnisse in der Risikobewertungsmethodik.

Nicht jedes Unternehmen hat Mitarbeiter, auf welche dieses Profil zutrifft und wenn, dann sind diese meistens in vielen wichtigen Projekten eingebunden. Ist es nicht möglich, dem potentiellen Kandidaten ausreichende (Zeit-)Ressourcen zur Verfügung zu stellen, sollte man über die Bestellung eines externen ISB nachdenken.

5. Die Unabhängigkeit des ISB

Da die Rolle des ISB in einigen Positionen zu Interessenskonflikten führen kann und ungefilterte Kommunikationsmöglichkeiten gegeben sein müssen, bietet sich die Einrichtung einer direkt der obersten Leitungsebene zugeordneten Stabsstelle an, in die der ISB organisatorisch positioniert wird. Somit erhält der ISB von keiner anderen Stelle Weisungen und berichtet direkt (und ungefiltert) über Sicherheitsvorfälle, Eskalationen etc.. Einen Administrator als ISB einzusetzen würde sehr wahrscheinlich zu Interessenkonflikten führen, weshalb dem ISB unabhängige Steuerungs- und Koordinationsmöglichkeiten an die Hand gegeben werden sollten. Neben potentiellen Interessenskonflikten sollte auch darauf gedachtet werden, dass sich der ISB in seinem Wirken nicht nur auf einen Bereich beschränkt. Würde der ISB organisatorisch z.B. der IT-Abteilung zugeordnet sein, ist die Wahrscheinlichkeit hoch, dass eine Reduktion der Aufgabe IS auf die Sicherung der IT-Systeme erfolgt und dadurch der ganzheitliche Schutz von Informationen verloren geht. Denn auch ausgedruckte Informationen müssen geschützt werden. Nicht umsonst ist Dumpster-Diving unter Social Engineers so beliebt (zumindest was den Informationsgewinn angeht). Es stellt jedoch kein Problem dar, den ISB und Datenschutzbeauftragten (DSB) in Personalunion zu etablieren. Diese beiden Rollen schließen sich nicht unbedingt aus, doch es muss sichergestellt werden, dass dem entsprechenden Mitarbeiter die nötigen Ressourcen zur Verfügung stehen. Denn auch der DSB ist für größere Unternehmen überlebensnotwendig und ab mindestens 10 Mitarbeitern (nach EU DSGVO) sogar rechtlich vorgeschrieben.


Das Mitglied hat durch den Artikel 50 Bonuspunkte erhalten. Schreib auch du einen Artikel.
geschlossen: Stack-Artikel
Gefragt von 7,8 k

Ein anderes Problem?

Stell deine Frage

Willkommen bei der Stacklounge! Stell deine Frage sofort und kostenfrei

x
Made by a lovely community
...