Wie unterscheiden sich die Aufgaben eines Informationssicherheitsbeauftragten (ISB) von denen eines IT-Sicherheitsbeauftragten (ITSB)?
Was ist ein Informationssicherheitsbeauftragter (ISB)?
Ein Informationssicherheitsbeauftragter (ISB) ist eine Person, die für die Planung, Umsetzung und Überwachung von Maßnahmen zur Gewährleistung der Informationssicherheit in einer Organisation verantwortlich ist. Der ISB berät die Geschäftsleitung und die Mitarbeiter in Fragen der Informationssicherheit, erstellt Richtlinien und Konzepte, führt Schulungen und Sensibilisierungen durch, koordiniert Sicherheitsprojekte und ‑audits, meldet Sicherheitsvorfälle und ‑risiken und unterstützt bei der Einhaltung von gesetzlichen und regulatorischen Anforderungen. Der ISB ist ein wichtiger Ansprechpartner für interne und externe Stakeholder in Bezug auf die Informationssicherheit der Organisation.
Was ist ein IT-Sicherheitsbeauftragter (ITSB)?
Ein IT-Sicherheitsbeauftragter (ITSB) ist eine Person, die für die Planung, Umsetzung und Überwachung von IT-Sicherheitsmaßnahmen in einer Organisation verantwortlich ist. Ein ITSB hat die Aufgabe, die IT-Systeme und Daten vor internen und externen Bedrohungen zu schützen, die gesetzlichen und regulatorischen Anforderungen an den Datenschutz zu erfüllen und das Bewusstsein für IT-Sicherheit bei den Mitarbeitern zu fördern. Ein ITSB muss über fundierte Kenntnisse und Erfahrungen in den Bereichen IT-Sicherheit, Datenschutz, Risikomanagement, IT-Audit und IT-Governance verfügen. Ein ITSB arbeitet eng mit der Geschäftsleitung, den Fachabteilungen, den IT-Abteilungen und externen Partnern zusammen, um eine angemessene IT-Sicherheitsstrategie zu entwickeln und umzusetzen.
Die cloudTEC e.K. hat für die Aufgaben des Informationssicherheitsbeauftragten und IT-Sicherheitsbeauftragten zertifizierte bzw. qualifizierte Mitarbeiter. Somit ist es möglich beide Bereiche miteinander zu verknüpfen und auf die Anforderung des Kunden abzustimmen.
Ihre Daten und IT-Systeme sind permanenten Gefahren ausgesetzt
Die Sicherheit Ihrer Daten und IT-Systeme ist ein wichtiges wirtschaftliches Anliegen. Jeden Tag hören wir von neuen Angriffen, Schwachstellen und Risiken, die Ihre Informationen und Geschäftsprozesse gefährden können. Besonders die wachsende Cyberkriminalität stellt eine große Herausforderung dar. Außerdem können technische Fehler zu Datenverlusten oder ‑lecks führen, die im schlimmsten Fall dazu führen können, dass sensible Daten und Geschäftsgeheimnisse in falsche Hände geraten. Leider sind die üblichen Schutzmaßnahmen wie regelmäßige Datensicherung, Software- und Betriebssystem-Updates sowie Mitarbeitertraining im Umgang mit verdächtigen E‑Mails und Anhängen oft nicht mehr ausreichend.
Welche Risiken gibt es und welche Konsequenzen können sie haben? Einige Beispiele sind:
- Hackerangriffe, die Ihre Systeme lahmlegen, Ihre Daten verschlüsseln oder stehlen oder Ihre Kundenkonten kompromittieren können
- Phishing-E-Mails, die Sie oder Ihre Mitarbeiter dazu verleiten können, vertrauliche Informationen preiszugeben oder schädliche Links oder Anhänge zu öffnen
- Malware, die sich unbemerkt auf Ihren Geräten einschleichen und Ihre Daten beschädigen, ausspionieren oder löschen kann
- Hardware-Ausfälle, die zu Datenverlusten oder ‑beschädigungen führen können, wenn Sie keine ausreichenden Backup-Lösungen haben
- Menschliche Fehler, die zu unbeabsichtigten Datenlöschungen oder ‑freigaben führen können, wenn Sie keine klaren Richtlinien und Kontrollen haben
Welche Folgen können diese Risiken haben?
- Reputationsverlust und Vertrauensverlust bei Ihren Kunden und Partnern
- Finanzielle Verluste durch Erpressung, Betrug oder Schadensersatzforderungen
- Rechtliche Konsequenzen durch Verstöße gegen Datenschutzgesetze oder Verträge
- Wettbewerbsnachteile durch Verlust von Geschäftsgeheimnissen oder Know-how
Informationssicherheit im Unternehmen: Warum Sie einen Informationssicherheitsbeauftragten bestellen und ein ISMS einführen sollten
Die Informationssicherheit ist für jedes Unternehmen von großer Bedeutung. Es geht darum, die Vertraulichkeit, Verfügbarkeit und Integrität der IT-Systeme und der gesamten Organisation zu schützen. Um dies zu erreichen, braucht es gezielte und angemessene Maßnahmen, die die Risiken auf ein Minimum reduzieren. Eine wichtige Rolle spielt dabei der Informationssicherheitsbeauftragte (ISB), der vom Unternehmen ernannt werden sollte.
Die Aufgaben eines Informationssicherheitsbeauftragten:
- die Ermittlung und Definition der sicherheitsrelevanten Objekte, Gefahren und Risiken
- die Analyse und Optimierung der vorhandenen und notwendigen Informationssicherheitsmaßnahmen
- die Entwicklung von Sicherheitszielen und Richtlinien für den Umgang mit informationssicherheitsrelevanten Themen
- die Implementierung eines Managementsystems für Informationssicherheit (ISMS)
- die laufende Dokumentation und Überprüfung der Informationssicherheitsmaßnahmen
- die Berichterstattung über den Status der Informationssicherheit an die Leitungsebene und andere Sicherheitsverantwortliche
- die Untersuchung von sicherheitsrelevanten Vorfällen
- die Sensibilisierung und Schulung von Mitarbeitern hinsichtlich Datensicherheit und Informationssicherheit
Zusätzlich können je nach Unternehmensstruktur und ‑größe weitere Aufgaben hinzukommen, wie z.B.:
- die Durchführung von Sicherheitsaudits und Planung von Penetrationstests
- die Überwachung und Bewertung von Sicherheitsrisiken und Bedrohungen
- die Festlegung von Sicherheitsstandards und Sicherheitsrichtlinien
- die Überprüfung von Sicherheitsrichtlinien und Sicherheitsprozessen auf ihre Einhaltung
- die Zusammenarbeit mit externen Sicherheitsbehörden oder Aufsichtsbehörden
- Identifizierung von Schwachstellen in der IT-Infrastruktur und Einleitung von Maßnahmen zu deren Beseitigung
Der ISB soll daher über umfassende Fachkenntnisse in den Bereichen Informationssicherheit und IT verfügen. Er sollte auch die Geschäftsprozesse des Unternehmens kennen und direkt der obersten Leitung zugeordnet sein. Um seine Unabhängigkeit zu wahren, sollte er nicht in die IT-Abteilung integriert sein. Eine Personalunion mit dem Datenschutzbeauftragten ist ebenfalls nicht empfehlenswert, aber bei externer Bestellung möglich.
Besteht eine Pflicht zur Bestellung eines Informationssicherheitsbeauftragten?
Aktuell besteht grundsätzlich keine gesetzliche Pflicht zur Bestellung eines Informationssicherheitsbeauftragten. Die Ausnahme bilden sogenannte “Kritis”-Unternehmen (Unternehmen aus Branchen, die zur kritischen Infrastruktur zählen). Hierunter fallen z.B. Energieversorger oder Telekommunikationsanbieter.
§8a BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik): Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Abs. 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.
Welche Unternehmen gehören zur kritischen Infrastruktur bzw. sind KRITIS-Unternehmen?
Sektoren, die aufgrund ihrer hohen Bedeutung für die öffentliche Gesellschaft zu den kritischen Infrastrukturen gerechnet werden, sind:
- Energie (Elektrizität, Gas, Mineralöl, Fernwärme)
- Wasser (öffentliche Wasserversorgung u. öffentliche Abwasserbeseitigung)
- Ernährung (Ernährungswirtschaft, Lebensmittelhandel)
- Informationstechnik und Telekommunikation (Telefon- und Internetanbieter, IT-Hosting, Datenübertragung)
- Gesundheit (medizinische Versorgung, Arzneimittel und Impfstoffe, Labore)
- Finanz- und Versicherungswesen (Banken, Börsen, Versicherungen, Finanzdienstleister)
- Transport und Verkehr (Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik)
- Abfallentsorgung (Müllsammlung, Deponien und Reststoffverwertung)
- Unternehmen im öffentlichen Interesse (Firmen mit hoher inländischer Wertschöpfung)
In 2023 sind folgende Bereiche neu hinzugekommen:
- Anlagen für Liquid Natural Gas (LNG) (Einfuhr, Entladung, vorrübergehende Speicherung, Einspeisung)
- Seekabellandestationen (Anbindungspunkt für Seekabel zur Sprach- und Datenübertragung)
Was ist ein Informationssicherheitsmanagementsystem (ISMS)?
Das ISMS ist ein ganzheitliches Konzept, das der ISB in Zusammenarbeit mit den Fachorganisationen erarbeitet. Es basiert auf international anerkannten Standards wie ISO 27001 oder dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Das ISMS stellt sicher, dass die Informationssicherheit systematisch geplant, umgesetzt, überwacht und verbessert wird.
Warum sollten Sie einen ISB bestellen und ein ISMS einführen?
Die Bestellung eines ISB und die Einführung eines ISMS sind keine gesetzliche Pflicht, aber eine sinnvolle Investition in die Zukunft des Unternehmens. Sie erhöhen das Vertrauen von Kunden, Partnern und Mitarbeitern in die Sicherheit der Informationen. Sie reduzieren auch das Haftungsrisiko bei möglichen Schäden durch Cyberangriffe oder Datenpannen.
Wenn Sie mehr über die Rolle des ISB und das ISMS erfahren möchten, kontaktieren Sie uns gerne. Wir beraten Sie individuell und kompetent zu allen Aspekten der Informationssicherheit.
