IT-Systeme und Daten sind permanent in Gefahr
Ob eigene Server oder in der Cloud: IT-Systeme sind ernsthaften Bedrohungen ausgesetzt. Insbesondere die steigende Cyberkriminalität ist kritisch zu betrachten. Ebenso technische Schwierigkeiten, die beispielsweise zu Datenpannen führen und schützenswerte Daten an die Öffentlichkeit dringen lassen.
Risiken im Detail
Tritt der Ernstfall ein, kann er gravierende Folgen haben:
- Verstöße gegen datenschutzrechtliche Bestimmungen
Es drohen Sanktionen und Bußgelder, verhängt durch Aufsichtsbehörden gemäß Art. 83 DSGVO. Ebenso Haftungs- und Schadensersatzansprüche aus Art. 82 DSGVO. - Verlust nicht personenbezogener Daten
Informationen für den internen Gebrauch (z.B. aus Forschung und Entwicklung) können durch Industriespionage in die Hände von Mitbewerbern gelangen. - Ausfälle und Schäden der IT
Angreifer führen gezielt Schäden herbei. Ein Stillstand der Systeme ist teuer, sobald er die alltäglichen Geschäftsabläufe verzögert oder zum Erliegen bringt. Zudem drohen erhebliche Reparaturkosten. - Gefährdung der Reputation
Bei Bekanntwerden solcher Vorfälle ist ein nachhaltiger Imageschaden möglich, der das Volumen künftiger Aufträge mindert.
Die Lösung: ISMS und Informationssicherheitsbeauftragter
Gezielte Maßnahmen reduzieren diese Risiken auf ein Minimum. Aber deren Ergreifung ist leichter gesagt als getan. Denn obwohl Entscheider die Gefahren kennen, sind Schäden durch Cyberangriffe und Datenpannen keine Seltenheit.
Die Ursache ist zumeist eine Absicherung, die nicht auf Basis eines ganzheitlichen Konzepts, wie z.B. einem Information Security Management System (ISMS), erfolgt. Ohne solch ein Konzept können Lücken bestehen, die den IT-Systemen und Daten letztlich zum Verhängnis werden.
Die Lösung besteht darin, ein ISMS einzuführen und einen Informationssicherheitsbeauftragten (ISB) zu bestellen.
Was sind die Aufgaben des Informationssicherheitsbeauftragten?
- Bindeglied zwischen Geschäftsleitung, IT und Nutzern
- Analyse vorhandener Informations-Sicherheitsmaßnahmen und ggf. Optimierung
- Ermittlung und Definition der sicherheitsrelevanten Objekte, sowie der Bedrohung und Risiken
- Entwicklung von Sicherheitszielen
- Implementierung eines Informationsmanagement-Systems
- Dokumentation der Informations-Sicherheitsmaßnahmen
- Erarbeitung von Verfahrensbeschreibungen und Richtlinien für den Umgang mit Informationssicherheit-relevanten Themen
- Sensibilisierung von Mitarbeitern hinsichtlich Datensicherheit und Informationssicherheit
Besteht eine Pflicht zur Bestellung?
§ 8a BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik): Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Abs. 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.
Gründe für die freiwillige Bestellung
Selbst wenn keine gesetzliche Verpflichtung zur Bestellung eines Informationssicherheitsbeauftragten besteht, führt für einige Unternehmen kein Weg an diesem Schritt vorbei. In bestimmten Branchen bildet er die Grundlage für die geschäftliche Zusammenarbeit. Dies betrifft vor allem Zulieferer und ähnliche Partner großer Unternehmen aus technisch hochentwickelten Branchen.
Solche Partner müssen nachweisen, dass sie ein ISMS eingeführt haben und ein Informationssicherheitsbeauftragter bestellt wurde. Es können sogar regelmäßige Nachweise zu erbringen sein, meist in Form bestandener Audits. Mit diesem Konzept möchten die Auftraggeber gewährleisten, dass ihre Partner angemessene Maßnahmen zum Schutz der Daten ergriffen haben.
Wer darf zum ISB benannt werden?
Ganz wichtig bei diesem Vorhaben: Es darf kein Interessenkonflikt bestehen, weshalb weder ein Mitglied der Geschäftsführung noch die Leitung der IT-Abteilung die Rolle des Informationssicherheitsbeauftragten übernehmen kann.
Wie läuft die Ausbildung zum Informationssicherheitsbeauftragten ab?
Meistens die bessere Wahl: Externer Informationssicherheitsbeauftragter
An Kandidaten, die sich zum ISB ausbilden lassen möchten, werden hohe Anforderungen gestellt. Umfassendes Fachwissen und mehrere Jahre Berufserfahrung werden als Kompetenzen vorausgesetzt, weshalb es für Unternehmen oft schwierig ist, geeignete Mitarbeiter auszuwählen. Die Rekrutierung bereits ausgebildeter Spezialisten gestaltet sich ebenfalls schwierig.
In Anbetracht dieser schwierigen Voraussetzungen sowie dem Risiko, dass ein Mitarbeiter jederzeit den Arbeitgeber wechseln kann, ist der externe Informationssicherheitsbeauftragte eine reizvolle Alternative bzw. in zahlreichen Fällen sogar die vernünftigere Lösung.
Es gelten dieselben Prinzipien und Vorteile wie beim externen Datenschutzbeauftragten. Der externe Spezialist für Informationssicherheit steht dem Unternehmen von Beginn an mit seinem umfassenden Know-how zur Verfügung. So lassen sich Problemstellungen unmittelbar angehen. Seine Berufserfahrung gewährleistet ein hohes Maß an Qualität und Sicherheit in der Ausführung.
Zudem lassen sich die Leistungen des externen Partners nach Bedarf abrufen, was oftmals einen erheblichen Kostenvorteil bedeutet. Darüber kann das Unternehmen seine Haftungsrisiken minimieren.
Wie wir Unterstützung bei der Informationssicherheit leisten
Profitieren Sie von unserer langjährigen Erfahrung in den Bereichen Datenschutz und Informationssicherheit. Unsere Berater betreuen Unternehmen in verschiedenen Branchen und bringen umfassende Kenntnisse sowie Erfahrungswerte mit.
Wir entwickeln maßgeschneiderte Informationssicherheitssysteme und begleiten deren Implementierung. So können unsere Kunden ihr angestrebtes Sicherheitsniveau erreichen und halten. Gleichzeitig versetzen wir das Unternehmen in einen zertifizierungsfähigen Zustand. Darüber hinaus können wir Synergieeffekte schaffen, indem ISMS und DSMS perfekt aufeinander abgestimmt werden.
Fazit
Durch Einführung eines ISMS und der Benennung eines ISB wird die Sicherheit Ihrer IT-Systeme und Daten erhöht, was sich im Bedarfsfall per Zertifizierung belegen lässt. Auf diesem Weg sind wir Ihr zuverlässiger Begleiter. Sofern Sie mehr über konkrete Möglichkeiten und Kosten erfahren möchten, nutzen Sie unsere kostenlose Erstberatung.

Nehmen Sie Kontakt auf
Für Ihre Fragen rund um Datenschutz und Informationssicherheit stehen wir Ihnen gern zur Verfügung. Sie erreichen uns unter 0800-5600831 (gebührenfrei) oder über unser Kontaktformular.
– André Beaujean, Vertrieb Mein-Datenschutzbeauftragter.de