Informationssicherheitsbeauftragter, ein Muss für den Mittelstand?
Im Zuge der Digitalisierung und der globalen Vernetzung vieler Unternehmen gilt es, die eigenen IT-Systeme und Daten angemessen zu schützen. Anders als der Datenschutzbeauftragte, der für den Schutz personenbezogener Daten verantwortlich ist, stehen beim Informationssicherheitsbeauftragten (ISBe) all betriebseigenen Daten, die betreffende Sicherheits-Organisation, deren Daten-Infrastruktur und -systeme im Mittelpunkt
Inhaltsverzeichnis
Die Informationssicherheit erlangt größere Bedeutung
Mit der Datenschutz-Grundverordnung (DSGVO) nimmt neben dem Datenschutz auch die Informationssicherheit und die Datensicherheit eine immer wichtigere Rolle ein. Um diese stärker zu gewährleisten, greifen größere Unternehmen bereits seit Längerem auf Informationssicherheitsmanagementsysteme (ISMS) und den dafür verantwortlichen Informationssicherheitsbeauftragten zurück.
Je weiter die Digitalisierung fortschreitet und das Internet der Dinge durch „schlaue Geräte“ wächst, desto mehr Datenmaterial gelangt in die firmeneigene digitale Infrastruktur und im Stör- oder Schadensfall auch darüber hinaus.
Gleichzeitig wird Informationsmanagement und vor allem Datensicherheit (z. B. durch die TTDSG-festgelegten Regeln für Tracking-Cookies) immer mehr zu einem entscheidenden Wettbewerbsfaktor.
Dies basiert nicht zuletzt auf der Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) und dessen Definition gefährdeter Unternehmenssparten oder -teile. Um die dabei erhobenen und verwendeten Daten dauerhaft zu schützen, sollten Unternehmen einen Informationssicherheitsbeauftragten (ISbe) beschäftigten – so die Handlungsempfehlung des BSI. Eine gesetzlich bindende Vorgabe existiert hierzu jedoch nicht.
Warum braucht es Informationssicherheit?
Zwei-Drittel aller Befragten des Deloitte-Cyber-Security-Reports-2021 aus der Wirtschaft sehen Handlungsbedarf bei Cyber-Sicherheit und Informationssicherheit – dabei kommt die Politik den Sicherheitsbedürfnissen der Wirtschaft nur bedingt nach.
Auch seit der Fokussierung der Unternehmenskommunikation über soziale Netzwerke besteht in puncto Informationssicherheit Nachholbedarf. Das gilt insbesondere auch aufgrund der IoT-Technologien, die das Internet nutzen, um Daten zu übermitteln oder zu empfangen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat aufgrund der Cyber-Gefahren in sozialen Netzwerken einen Leitfaden für Unternehmen veröffentlicht, der vor allem Informationssicherheitsbeauftragten Hilfestellung bei der Etablierung einer Schutzorganisation leisten soll.
Gibt es einen Unterschied zwischen IT-Sicherheit und Informationssicherheit?
Informationssicherheit beinhaltet IT-Sicherheit, aber geht gleichzeitig darüber hinaus: denn unter die Informationssicherheit fallen nicht nur die betriebseigene IT-Infrastruktur und deren Systeme, sondern auch die nicht digital verarbeiteten Daten.
Aufgaben des Informationssicherheitsbeauftragen
Einem Informationssicherheitsbeauftragten fällt primär die Aufgabe zu, eine sichere Organisationseinheit, bzw. Datensicherheitsstruktur zu etablieren und zu unterhalten. Darin werden unter Berücksichtigung der Sicherheitsrichtlinien eine Gefährdungsbeurteilung und Sicherheitsziele erarbeitet. Diese Sicherheitsstruktur ist aber auch ein wichtiges Mittel, um bereits etablierte Funktionseinheiten der IT-Sicherheit zu prüfen, instand zu halten oder zu optimieren.
Folglich sind die Aufgaben eines Informationssicherheitsbeauftragen:
- Identifikation aller zu schützenden Informationen und Daten
- Aufbau und Betrieb der Sicherheitsorganisation
- Ausarbeitung und Umsetzung von Sicherheitszielen
- Steuerung des betrieblichen Sicherheitsprozesses
- Einhaltung der Sicherheitsrichtlinien
- Erstellung einer Sicherheitsleitlinie
- Koordination einzelner Teilbereiche des Sicherheitskonzepts
- Realisierungspläne für Sicherheitsmaßnahmen
- Auswahl eines passenden ISMS-Tools und dessen Implementierung
- Schulungen der Belegschaft zur Informationssicherheit und Security Awareness
- Sicherheitsrelevante Vorfälle prüfen
Aber: Aufgrund von Interessenskonflikten sollten IT-Leiter nicht gleichzeitig zu Informationssicherheitsbeauftragten bestellt werden.
Wie funktioniert die Qualifikation zum Informationssicherheitsbeauftragten?
Die Weiterbildung zum Informationssicherheitsbeauftragten erfolgt über den Besuch einer Schulung, deren Inhalt nach ISO/IEC 27001 und dem IT-Grundschutzstandard des BSI gestaltet wird. Wurde der Kurs erfolgreich absolviert, kann eine entsprechende Zertifizierung als Informationssicherheitsbeauftragte/r ausgestellt werden.
Mit dem Zertifikats-Lehrgang Informationssicherheitsbeauftragte/r gemäß ISO/IEC 27001 vermittelt die AKADEMIE HERKERT durch Spezialisten vom Fach alle notwendigen rechtlichen und fachlichen Grundlagen, um das eigene Unternehmen bestmöglich zu schützen. Neben dem Grundlagenwissen werden gezielt praxisnahe Maßnahmen zur IT- und Informationssicherheit und alles Wissenswerte rund um Informationssicherheitsmanagementsysteme vermittelt. Informieren Sie sich jetzt über den 3-tägigen Zertifikats-Lehrgang.
Ziele der Informationssicherheit
Vertraulichkeit, Integrität und Verfügbarkeit sind vorrangig die angestrebten Ansprüche an den betriebseigenen Datenverkehr.
Im Kontext der Informationssicherheit steht Vertraulichkeit für die ausschließlich autorisierte Nutzung von Daten. Erfolgt in diesem Zuge eine Veränderung des Datensatzes, muss diese eindeutig nachvollziehbar und lückenlos dokumentiert sein (Integrität). Dabei sollten die angeforderten Daten zum gewünschten Zeitpunkt verfügbar sein – im Falle einer technischen Störung, innerhalb eines zeitlich festgelegten Rahmens (Verfügbarkeit).
Haftung des Informationssicherheitsbeauftragten
Da es sich beim ISbe fast ausschließlich um interne Mitarbeiter handelt, greifen die Grundsätze der beschränkten Arbeitnehmerhaftung.
Grundsätzlich wird von einer Informationssicherheitsverletzung gesprochen, wenn folgende Begebenheiten vorliegen:
- Beeinträchtigung der Datenverfügbarkeit
- Verletzung der Integrität (z.B. durch Datenleaks)
- Vertraulichkeitsverlust durch Selbstverschuldung oder Fremdverschuldung (Cyberangriff)
- Fehler im informationsverarbeitenden System
Wann lohnt sich eine Cyberversicherung?
Laut einer Bitkom-Studie aus dem Jahr 2021 wurden bereits 86 Prozent aller deutschen Unternehmen durch Cyberangriffe geschädigt. Die entstandenen Schäden sind seit 2019 um über 300 Prozent gestiegen.
Vor allem im Mittelstand kam es laut der Studie zu einem starken Anstieg an Datendiebstahl, Datenspionage und Sabotage der IT- und Informationssysteme.
Eine Cyberschutzversicherung hat zum Ziel, Unternehmen vor finanziellen Schäden zu schützen, die durch Cyberattacken und digitale Bedrohungen entstehen. Schäden, die durch Cyberangriffe entstehen können, sind u. a.:
- Geschädigte Reputation
- Wiederherstellung von Daten und Betriebssystemen
- Bußgelder gemäß DSGVO oder IT-Sicherheitsgesetz 2.0
- Umsatzeinbußen
Fazit: Das Potenzial eines ISbe
In der Praxis zeigt sich oft, dass selbst Verantwortliche zentrale Begriffe wie Informationssicherheit und Datensicherheit, IT-Sicherheit und Cyber-Security nicht deutlich voneinander trennen. Das liegt nicht zuletzt daran, dass all diese Teilbereiche Schnittmengen untereinander aufweisen.
Die IT-Risiken und -gefahren nehmen aufgrund der Digitalisierung stetig zu. In diesem Rahmen kommt dem allgemeinen Informationsschutz eine oft kleinere Rolle in Unternehmen zu – ein Umstand der sich in den letzten Jahren stark gewandelt hat.
Um sich jedoch bestmöglich vor Cyberangriffen, Datenverlust etc. zu schützen, ist es spätestens ab einer bestimmten Unternehmensgründung ratsam, einen Informationssicherheitsbeauftragten zu bestimmen.
Gerade Erfahrungen aus dem Mittelstand haben gezeigt, dass sich aus der Bestellung eines Informationssicherheitsbeauftragten viele Synergien in Sachen Datensicherheit, des Datenschutzes und der Informationssicherheit ergeben, die die jeweiligen Unternehmen zukunfts-, informationssicherer und nicht zuletzt wettbewerbsfähig machen.
Unternehmen haben die Möglichkeit, durch Schulungen ihre IT-Projektleiter, IT-Administratoren oder der IT-Sicherheitsbeauftragten zum Informationssicherheitsbeauftragten weiterbilden zu lassen. Das lässt sich mit dem richtigen Angebot bereits in wenigen Tagen bewerkstelligen und bereitet Ihr Unternehmen auf mögliche datenrelevante Gefährdungen bestmöglich vor.
Quellen: AKADEMIE HERKERT, BSI, Bsi-KritisV, tagessschau, bitkom, Deloitte
Weitere Antworten auf offene Fragen zum Thema erhalten Sie im:
Zertifikats-Lehrgang: Informationssicherheitsbeauftragte/r
In diesem Bestseller-Lehrgang vermittelt die AKADEMIE HERKERT zusammen mit ihren Spezialisten rund um die Themen Datenschutz, IT-Sicherheit und Informationsmanagement das nötige Grundwissen, mit dem Sie ein sicheres Informationsmanagement etablieren und unterhalten können.
Neben den vermittelten datensicherheitsrelevanten Grundlagen wird Ihnen auch anhand von praktischen Beispielen veranschaulicht, wie Sie in Ihrem Unternehmen dauerhaft Informationssicherheit gewährleisten.
Die nächsten Termine finden ab dem 31.05.2022 sowohl online als auch in unterschiedlichen Städten vor Ort statt. Nutzen Sie den Rabatt von 10 % mit dem Gutschein-Code OPO3 auf die Produkte des Themenbereichs Energie und Umwelt, bei Buchung eines Seminars oder Lehrgangs bis zum 15.07.2022. Weitere Informationen und Anmeldemöglichkeiten finden Sie hier.
Jetzt informieren und zum Online-Seminar anmelden
Über den Anbieter:
AKADEMIE HERKERT
Das Bildungshaus der FORUM VERLAG HERKERT GMBH
Mandichostraße 18
86504 Merching
Internet: www.akademie-herkert.de
Telefon: +49 (0)8233 381-123
Telefax: +49 (0)8233 381-222
E-Mail
Bildnachweis: ©istockpoto/Sergey Shulgin
Kommentare