IT-Systeme und Daten sind permanent in Gefahr

Ob eigene Server oder in der Cloud: IT-Systeme sind ernsthaften Bedrohungen ausgesetzt. Insbesondere die steigende Cyberkriminalität ist kritisch zu betrachten. Ebenso technische Schwierigkeiten, die beispielsweise zu Datenpannen führen und schützenswerte Daten an die Öffentlichkeit dringen lassen.

Risiken im Detail

Tritt der Ernstfall ein, kann er gravierende Folgen haben:

  • Verstöße gegen datenschutzrechtliche Bestimmungen
    Es drohen Sanktionen und Bußgelder, verhängt durch Aufsichtsbehörden gemäß Art. 83 DSGVO. Ebenso Haftungs- und Schadensersatzansprüche aus Art. 82 DSGVO.
  • Verlust nicht personenbezogener Daten
    Informationen für den internen Gebrauch (z.B. aus Forschung und Entwicklung) können durch Industriespionage in die Hände von Mitbewerbern gelangen.
  • Ausfälle und Schäden der IT
    Angreifer führen gezielt Schäden herbei. Ein Stillstand der Systeme ist teuer, sobald er die alltäglichen Geschäftsabläufe verzögert oder zum Erliegen bringt. Zudem drohen erhebliche Reparaturkosten.
  • Gefährdung der Reputation
    Bei Bekanntwerden solcher Vorfälle ist ein nachhaltiger Imageschaden möglich, der das Volumen künftiger Aufträge mindert.

Die Lösung: ISMS und Informationssicherheitsbeauftragter

Gezielte Maßnahmen reduzieren diese Risiken auf ein Minimum. Aber deren Ergreifung ist leichter gesagt als getan. Denn obwohl Entscheider die Gefahren kennen, sind Schäden durch Cyberangriffe und Datenpannen keine Seltenheit.

Die Ursache ist zumeist eine Absicherung, die nicht auf Basis eines ganzheitlichen Konzepts, wie z.B. einem Information Security Management System (ISMS), erfolgt. Ohne solch ein Konzept können Lücken bestehen, die den IT-Systemen und Daten letztlich zum Verhängnis werden.

Die Lösung besteht darin, ein ISMS einzuführen und einen Informationssicherheitsbeauftragten (ISB) zu bestellen.

Was sind die Aufgaben des Informationssicherheitsbeauftragten?

Der Informationssicherheitsbeauftragte gewährleistet, dass die IT-Systeme der Organisation jederzeit angemessen geschützt sind und somit das angestrebte Niveau in der Datensicherheit sowie Informationssicherheit erreicht und aufrechterhalten wird.

Die konkreten Aufgaben des ISB gliedern sich wie folgt:

  • Bindeglied zwischen Geschäftsleitung, IT und Nutzern
  • Analyse vorhandener Informations-Sicherheitsmaßnahmen und ggf. Optimierung
  • Ermittlung und Definition der sicherheitsrelevanten Objekte, sowie der Bedrohung und Risiken
  • Entwicklung von Sicherheitszielen
  • Implementierung eines Informationsmanagement-Systems
  • Dokumentation der Informations-Sicherheitsmaßnahmen
  • Erarbeitung von Verfahrensbeschreibungen und Richtlinien für den Umgang mit Informationssicherheit-relevanten Themen
  • Sensibilisierung von Mitarbeitern hinsichtlich Datensicherheit und Informationssicherheit

Besteht eine Pflicht zur Bestellung?

Grundsätzlich besteht keine gesetzliche Pflicht zur Bestellung eines Informationssicherheitsbeauftragten. Die Ausnahme bilden sogenannte KRITIS-Unternehmen (Unternehmen aus Branchen, die zur kritischen Infrastruktur zählen, wie z.B. Energieversorger oder Telekommunikationsanbieter).

§ 8a BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik): Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Abs. 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.

Gründe für die freiwillige Bestellung

Selbst wenn keine gesetzliche Verpflichtung zur Bestellung eines Informationssicherheitsbeauftragten besteht, führt für einige Unternehmen kein Weg an diesem Schritt vorbei. In bestimmten Branchen bildet er die Grundlage für die geschäftliche Zusammenarbeit. Dies betrifft vor allem Zulieferer und ähnliche Partner großer Unternehmen aus technisch hochentwickelten Branchen.

Solche Partner müssen nachweisen, dass sie ein ISMS eingeführt haben und ein Informationssicherheitsbeauftragter bestellt wurde. Es können sogar regelmäßige Nachweise zu erbringen sein, meist in Form bestandener Audits. Mit diesem Konzept möchten die Auftraggeber gewährleisten, dass ihre Partner angemessene Maßnahmen zum Schutz der Daten ergriffen haben.

Wer darf zum ISB benannt werden?

Wenn die Benennung eines Informationssicherheitsbeauftragten geplant ist, streben einige Unternehmen eine interne Lösung an. Sie möchten entweder Spezialisten einstellen oder bestehende Mitarbeiter ausbilden.

Ganz wichtig bei diesem Vorhaben: Es darf kein Interessenkonflikt bestehen, weshalb weder ein Mitglied der Geschäftsführung noch die Leitung der IT-Abteilung die Rolle des Informationssicherheitsbeauftragten übernehmen kann.

Wie läuft die Ausbildung zum Informationssicherheitsbeauftragten ab?

Für die Weiterbildung von Mitarbeitern zum Informationssicherheitsbeauftragten / Informationssicherheitsauditor werden Schulungen angeboten, wie z.B. von den Industrie- und Handelskammern, Dekra und TÜV. Je nach Anbieter und Abschluss / Zertifikat belaufen sich die hiermit verbundenen Kosten auf ca. 2.500 bis 3.500 Euro (Nettobeträge) je Schulungsteilnehmer.

Meistens die bessere Wahl: Externer Informationssicherheitsbeauftragter

An Kandidaten, die sich zum ISB ausbilden lassen möchten, werden hohe Anforderungen gestellt. Umfassendes Fachwissen und mehrere Jahre Berufserfahrung werden als Kompetenzen vorausgesetzt, weshalb es für Unternehmen oft schwierig ist, geeignete Mitarbeiter auszuwählen. Die Rekrutierung bereits ausgebildeter Spezialisten gestaltet sich ebenfalls schwierig.

In Anbetracht dieser schwierigen Voraussetzungen sowie dem Risiko, dass ein Mitarbeiter jederzeit den Arbeitgeber wechseln kann, ist der externe Informationssicherheitsbeauftragte eine reizvolle Alternative bzw. in zahlreichen Fällen sogar die vernünftigere Lösung.

Es gelten dieselben Prinzipien und Vorteile wie beim externen Datenschutzbeauftragten. Der externe Spezialist für Informationssicherheit steht dem Unternehmen von Beginn an mit seinem umfassenden Know-how zur Verfügung. So lassen sich Problemstellungen unmittelbar angehen. Seine Berufserfahrung gewährleistet ein hohes Maß an Qualität und Sicherheit in der Ausführung.

Zudem lassen sich die Leistungen des externen Partners nach Bedarf abrufen, was oftmals einen erheblichen Kostenvorteil bedeutet. Darüber kann das Unternehmen seine Haftungsrisiken minimieren.

Wie wir Unterstützung bei der Informationssicherheit leisten

Profitieren Sie von unserer langjährigen Erfahrung in den Bereichen Datenschutz und Informationssicherheit. Unsere Berater betreuen Unternehmen in verschiedenen Branchen und bringen umfassende Kenntnisse sowie Erfahrungswerte mit.

Wir entwickeln maßgeschneiderte Informationssicherheitssysteme und begleiten deren Implementierung. So können unsere Kunden ihr angestrebtes Sicherheitsniveau erreichen und halten. Gleichzeitig versetzen wir das Unternehmen in einen zertifizierungsfähigen Zustand. Darüber hinaus können wir Synergieeffekte schaffen, indem ISMS und DSMS perfekt aufeinander abgestimmt werden.

Fazit

Durch Einführung eines ISMS und der Benennung eines ISB wird die Sicherheit Ihrer IT-Systeme und Daten erhöht, was sich im Bedarfsfall per Zertifizierung belegen lässt. Auf diesem Weg sind wir Ihr zuverlässiger Begleiter. Sofern Sie mehr über konkrete Möglichkeiten und Kosten erfahren möchten, nutzen Sie unsere kostenlose Erstberatung.