Die Bedrohungslage im Cyberraum nimmt stetig zu. Gleichzeitig verschärfen sich die regulatorischen Anforderungen an die Informationssicherheit (Infosec), die immer mehr Unternehmen betreffen. Entscheidungsträger stehen daher vor der Herausforderung, IT-Systeme wirksam abzusichern und gleichzeitig die gesetzlichen Anforderungen zu erfüllen.

Zahlreiche Aufgaben und Maßnahmen sind zu berücksichtigen, um ein angemessenes Schutzniveau der Informationssicherheit zu erreichen und zu erhalten. Der Informationssicherheitsbeauftragte (ISB) leistet dabei wertvolle Unterstützung. Was es mit dieser Rolle auf sich hat, erläutern wir im Folgenden.

Exkurs: Informationssicherheit

Informationssicherheit ist der Schutzschild für das digitale Herz eines Unternehmens. Durch die Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen wird das Risiko von Datenverlusten, Reputationsschäden und finanziellen Verlusten minimiert.

Aus mehreren Gründen ist es für Unternehmen wichtig, sich mit Informationssicherheit auseinanderzusetzen und am besten ein Informationssicherheits-Managementsystem (ISMS) zu implementieren.

  • Bedrohungslage
    Die Zahl der Cyber-Angriffe nimmt exponentiell zu und ihre Komplexität steigt kontinuierlich.
  • Gesetzliche Anforderungen
    Aufgrund von Vorschriften wie DORA oder NIS2 können Unternehmen bestimmter Branchen zur Umsetzung verpflichtet sein.
  • Reputations- und Wettbewerbsvorteile
    Zertifizierte Informationssicherheit kann Voraussetzung für die Erschließung ausgewählter Märkte sein.

Die Lösung: ISMS und Informationssicherheitsbeauftragter

Obwohl Entscheidungsträger die Gefahren kennen, sind Schäden durch Cyberangriffe und Datenpannen keine Seltenheit. Ursache ist meist eine Absicherung, die nicht auf einem ganzheitlichen Konzept wie einem Information Security Management System (ISMS) basiert. Ohne ein solches Konzept drohen Lücken, die letztlich den IT-Systemen und Daten zum Verhängnis werden können.

Die Lösung liegt in der Einführung eines ISMS und der Benennung eines Informationssicherheitsbeauftragten (ISB).

Welche Rolle übernimmt der Informationssicherheitsbeauftragte und was sind seine Aufgaben?

Der ISB kümmert sich um das Informationssicherheitsmanagement der Organisation und nimmt dabei eine Rolle mit einem vielfältigen Aufgabenspektrum ein. Er stellt sicher, dass die Informationen der Organisation jederzeit angemessen geschützt sind und somit das angestrebte Niveau der Daten- und Informationssicherheit erreicht und aufrechterhalten wird.

Informationssicherheitsbeauftragter

Informationssicherheitsbeauftragter

Was sind die Aufgaben des Informationssicherheitsbeauftragten?

Der Informationssicherheitsbeauftragte gewährleistet, dass die IT-Systeme der Organisation jederzeit angemessen geschützt sind und somit das angestrebte Niveau in der Datensicherheit sowie Informationssicherheit erreicht und aufrechterhalten wird.

Die konkreten Aufgaben des ISB gliedern sich wie folgt:

  • Bindeglied zwischen Geschäftsleitung, IT und Nutzern
  • Analyse vorhandener Informations-Sicherheitsmaßnahmen und ggf. Optimierung
  • Ermittlung und Definition der sicherheitsrelevanten Objekte, sowie der Bedrohung und Risiken
  • Entwicklung von Sicherheitszielen
  • Implementierung eines Informationsmanagement-Systems
  • Dokumentation der Informations-Sicherheitsmaßnahmen
  • Erarbeitung von Verfahrensbeschreibungen und Richtlinien für den Umgang mit Informationssicherheit-relevanten Themen
  • Sensibilisierung von Mitarbeitern hinsichtlich Datensicherheit und Informationssicherheit

Besteht eine Pflicht zur Bestellung eines ISB?

Grundsätzlich besteht keine gesetzliche Verpflichtung zur Bestellung eines Informationssicherheitsbeauftragten. Eine Ausnahme bilden sogenannte KRITIS-Unternehmen (Unternehmen aus Branchen, die zu den kritischen Infrastrukturen zählen, wie z.B. Energieversorger oder Telekommunikationsanbieter). Für diese Unternehmen ist der ISB Pflicht.

§ 8a BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) sagt hierzu:

Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Abs. 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.

Gründe für die freiwillige Bestellung

Auch wenn keine gesetzliche Verpflichtung zur Bestellung eines Informationssicherheitsbeauftragten besteht, führt für einige Unternehmen kein Weg an diesem Schritt vorbei. In bestimmten Branchen bildet er die Grundlage für die geschäftliche Zusammenarbeit. Dies betrifft vor allem Zulieferer und ähnliche Partner von Großunternehmen in technologisch anspruchsvollen Branchen.

Diese Partner müssen nachweisen, dass sie ein ISMS eingeführt haben und ein Informationssicherheitsbeauftragter benannt wurde. Auch regelmäßige Nachweise, meist in Form von bestandenen Audits, können verlangt werden. Damit wollen die Auftraggeber sicherstellen, dass ihre Partner angemessene Maßnahmen zum Schutz der Daten getroffen haben.

Welche Mitarbeiter können zum ISB ernannt werden?

Einige Unternehmen streben bei der Benennung eines Informationssicherheitsbeauftragten eine interne Lösung an. Sie wollen entweder Spezialisten fest anstellen oder bestehende Mitarbeiter schulen.

Sehr wichtig bei einem solchen Vorhaben: Es darf kein Interessenskonflikt bestehen, weshalb weder ein Mitglied der Geschäftsleitung noch die Leitung der IT-Abteilung die Rolle des Informationssicherheitsbeauftragten übernehmen kann.

Das Rüstzeug des Informationssicherheitsbeauftragten: Notwendige Kenntnisse und Fähigkeiten

Um die komplexen Aufgaben in der täglichen Arbeit bewältigen zu können, ist neben strategischem Denken und ausgeprägten kommunikativen Fähigkeiten ein breites Spektrum an Kenntnissen und Fähigkeiten erforderlich.

  • Vorschriften und Standards
    Ein ISB muss die Richtlinien (z.B. NIS2), Verordnungen (z.B. DORA) und Standards (z.B. ISO 27001), die seine Arbeit betreffen, kennen. Nur so kann er sicherstellen, dass die Maßnahmen zur Informationssicherheit stets rechtskonform sind.
  • Methoden und Verfahren
    Praktische Kenntnisse in der Umsetzung von Informationssicherheitsmaßnahmen sind von zentraler Bedeutung. Der ISB sollte mit verschiedenen Methoden und Verfahren vertraut sein, wie z.B. Risikoanalyse, Incident-Response-Planung und Durchführung von Sicherheitsaudits.
  • Technologische Trends
    Die IT-Landschaft entwickelt sich sehr schnell. Ein ISB muss sich daher laufend über neue Technologien, Bedrohungen und Lösungsansätze informieren. Dazu gehören beispielsweise Cloud-Sicherheit, künstliche Intelligenz und IoT-Sicherheit.
  • Angrenzende Themen
    Ein umfassendes Verständnis angrenzender Themen wie Datenschutz, Compliance und Geschäftsprozesse ist unerlässlich. Der ISB muss in der Lage sein, die Zusammenhänge zwischen diesen Bereichen zu erkennen und die Informationssicherheit in die gesamte Unternehmensstrategie zu integrieren.

Wie erfolgt die Ausbildung zum Informationssicherheitsbeauftragten?

Für die Weiterbildung von Mitarbeitern zum Informationssicherheitsbeauftragten / Informationssicherheitsauditor werden Schulungen z.B. von den Industrie- und Handelskammern, der Dekra und dem TÜV angeboten. Je nach Anbieter und Abschluss / Zertifikat belaufen sich die damit verbundenen Kosten auf ca. 2.500 bis 3.500 Euro (netto) pro Schulungsteilnehmer.

Meistens die bessere Wahl: Externer Informationssicherheitsbeauftragter

Die Anforderungen an Kandidaten, die sich zum ISB ausbilden lassen wollen, sind hoch. Umfassende Fachkenntnisse und mehrjährige Berufserfahrung werden als Kompetenzen vorausgesetzt, weshalb es für Unternehmen oft schwierig ist, geeignete Mitarbeiter auszuwählen. Auch die alternative Rekrutierung von bereits ausgebildeten Fachkräften gestaltet sich schwierig.

Angesichts dieser schwierigen Rahmenbedingungen und des Risikos, dass ein Mitarbeiter jederzeit den Arbeitgeber wechseln kann, ist der externe Informationssicherheitsbeauftragte eine attraktive Alternative, in vielen Fällen sogar die sinnvollere Lösung.

Es gelten die gleichen Grundsätze und Vorteile wie beim externen Datenschutzbeauftragten. Der externe Spezialist für Informationssicherheit steht dem Unternehmen von Anfang an mit seinem umfassenden Know-how zur Verfügung. Seine Berufserfahrung garantiert ein hohes Maß an Qualität und Sicherheit in der Umsetzung. So können Aufgabenstellungen sofort angegangen werden.

Zudem können die Leistungen des externen Partners bedarfsgerecht abgerufen werden, was oft einen erheblichen Kostenvorteil bedeutet. Darüber hinaus kann das Unternehmen Haftungsrisiken minimieren.

Kosten für einen Informationssicherheitsbeauftragten

Die Kosten für einen Informationssicherheitsbeauftragten hängen von vielen Faktoren ab und können von Unternehmen zu Unternehmen stark variieren.

Interner ISB

Eine pauschale Bezifferung der Kosten für einen intern angestellten ISB ist nicht möglich. Ein erfahrener und hoch qualifizierter Mitarbeiter kann durch gezielte Maßnahmen erhebliche Schäden verhindern und damit langfristig Kosten sparen. Die Kosten für einen ISB mit hoher Fachkompetenz sind in der Regel höher, bieten aber auch ein höheres Maß an Sicherheit.

Externer ISB

Die Kosten für einen externen ISB sind projektbezogen und individuell zu kalkulieren. Sie hängen davon ab, welche Leistungen der Anbieter erbringt. Diese können von der reinen Beratung bis zur vollständigen Übernahme der Aufgaben des ISB reichen.

So unterstützen wir Unternehmen bei der Informationssicherheit

Profitieren Sie von unserer langjährigen Erfahrung im Bereich Datenschutz und Informationssicherheit. Unsere Berater betreuen Unternehmen aus unterschiedlichen Branchen und verfügen über ein breites Wissens- und Erfahrungsspektrum.

Wir entwickeln massgeschneiderte Informationssicherheitssysteme und begleiten deren Implementierung. So können unsere Kunden ihr angestrebtes Sicherheitsniveau erreichen und halten. Gleichzeitig bringen wir das Unternehmen in einen zertifizierbaren Zustand. Darüber hinaus schaffen wir Synergieeffekte, indem wir die Managementsysteme rund um das Risikomanagement (Informationssicherheit, Compliance und Datenschutz) optimal aufeinander abstimmen.

Fazit

Durch die Einführung eines ISMS und die Benennung eines ISB wird die Sicherheit Ihrer IT-Systeme und Daten erhöht, was bei Bedarf durch eine Zertifizierung nachgewiesen werden kann. Wir sind Ihr zuverlässiger Begleiter auf diesem Weg. Wenn Sie mehr über die konkreten Möglichkeiten und Kosten erfahren möchten, nutzen Sie unsere kostenlose Erstberatung.