Häufige Fragen

Welche Aufgaben hat ein Informationssicherheitsbeauftragter?

Der Informationssicherheitsbeauftragte berät und unterstützt die Unternehmensleitung in allen Fragen der Informationssicherheit. Dabei beschränkt sich seine Tätigkeit nicht nur auf die klassische IT, sondern auf den Schutz aller Informationen, die in einem Unternehmen empfangen, gespeichert, verarbeitet und weitergegeben werden.

Wesentliche Steuerungsinstrumente sind die Sicherheits-Policy und die Sicherheitsleitlinie, die vom Informationssicherheitsbeauftragten in Abstimmung mit der Unternehmensleitung entwickelt werden. Auf Basis dieser Dokumente definiert der Informationssicherheitsbeauftragte Prozesse und Richtlinien zum Umgang mit jeder Art von Informationen im Innen- und Außenverhältnis, hält sie aktuell und überwacht deren Effektivität. Über die Definition von Kennzahlen und Grenzwerten macht er den Nutzen der getroffenen Regelungen messbar und steuert darüber die Anpassung der Prozesse an neue oder geänderte Gegebenheiten.

Der Informationssicherheitsbeauftragte identifiziert und definiert die sicherheitsrelevanten Objekte (Systeme und Informationen) eines Unternehmens. Er legt die Sicherheitsanforderungen fest und entwickelt ein Sicherheitskonzept auf Basis eines abgestimmten Dokumentensatzes sowie die zu erreichenden Sicherheitsziele.

Die Mitarbeiter sind in vielen Fällen der zentrale Angriffspunkt für Viren, Trojaner und andere Gefährdungen der Unternehmens-IT. Deshalb führt der Informationssicherheitsbeauftragte Schulungen zur Sensibilisierung und Awareness für die Informationssicherheit durch.

Regelmäßige Berichte an die Geschäftsleitung sorgen für eine belastbare und transparente Darstellung des tatsächlich erreichten Sicherheitsniveaus.

Wieso sollte ich einen externen Informationssicherheitsbeauftragten beauftragen?

Der Umfang der Tätigkeiten eines Informationssicherheitsbeauftragten ist stark abhängig vom Geschäftsfeld und der Größe eines Unternehmens. Bei kleinen und mittleren Unternehmen wird die Tätigkeit des Informationssicherheitsbeauftragen oft keine Vollzeit-Stelle rechtfertigen, oder die personellen Ressourcen stehen einfach nicht zur Verfügung. Grundsätzlich darf die Funktion des Informationssicherheitsbeauftragten nicht vom IT‑Leiter wahrgenommen werden, sie ist eine Schnittstellenfunktion zwischen der Geschäftsleitung und der IT‑Abteilung eines Unternehmens.

Für die Umsetzung eines effektiven Sicherheitskonzeptes sind umfangreiches Wissen und Routine im Umgang mit Normen und Gesetzen erforderlich. Dieses Wissen steht in einem Unternehmen üblicherweise nicht aufgrund der täglichen Arbeit bereits zur Verfügung, es muss speziell für diese Tätigkeit erworben werden. Dieser Prozess ist oft sowohl mühsam als auch wenig effizient, weil vergleichsweise viel Zeit für einen geringen Anteil der täglichen Aufgabenerfüllung aufgewendet wird.

Ein externer Informationssicherheitsbeauftragter bringt sowohl Wissen als auch Routine bereits mit und kann sich so unmittelbar mit dem Aufbau eines angemessenen Informationssicherheitsmanagements befassen.

Selbstverständlich wird der Informationssicherheitsbeauftragte über alle ihm bekannt gewordenen Daten und Informationen des Auftraggebers Verschwiegenheit bewahren. Er ist auf die Einhaltung des Datengeheimnisses gemäß EU-DSGVO und auf das Fernmeldegeheimnis gemäß § 88 TKG verpflichtet. Zusätzlich kann der Auftraggeber mit dem externen Informationssicherheitsbeauftragten eine gesonderte Vertraulichkeitsvereinbarung abschließen.

Über welche Qualifikation sollte ein Informationssicherheitsbeauftragter verfügen?

Der Informationssicherheitsbeauftragte muss für die korrekte Ausübung seiner Tätigkeit sowohl Fachkunde als auch Zuverlässigkeit mitbringen und auch aufgrund seiner Persönlichkeit das volle Vertrauen der Geschäftsführung genießen. Er muss in der Lage sein, ein Informationssicherheitsmanagementsystem (ISMS) zu implementieren und die im ISMS definierten Prozesse und Berichtspflichten fortlaufend zu prüfen und zu gewährleisten. Dazu benötigt der Informationssicherheitsbeauftragte sehr gute Kenntnisse der ISO 27000-Normenreihe und der damit verbunden Normen, beispielsweise der ISO 22301 zur Gewährleistung der betrieblichen Kontinuität. Er muss bereit sein, regelmäßig an Fortbildungen teilzunehmen, um auch aktuelle Änderungen wie die DSGVO und das BDSG korrekt im Umfeld seines Unternehmens umsetzen zu können.

Der Informationssicherheitsbeauftragte ist kein Mitarbeiter der IT, muss aber mit der IT-Abteilung „auf Augenhöhe“ kommunizieren können. Deshalb ist ein solides Wissen um die im Unternehmen eingesetzten Systeme und Verfahren unabdingbar. Umfassendes Wissen zu Netzwerken, Routing und Firewalls ist für die wirksame Implementierung von Schutzmaßnahmen für das Unternehmensnetzwerk ebenfalls erforderlich.

Was kostet ein externer Informationssicherheitsbeauftragter?

Der Umfang der Tätigkeiten des externen Informationssicherheitsbeauftragten ist vertraglich geregelt, der Inhalt des Vertrages wird individuell festgelegt.

Üblicherweise umfasst die Tätigkeit des externen Informationssicherheitsbeauftragten die Abstimmung der Informationssicherheitsziele mit den Zielen des Unternehmens, die Erstellung der Sicherheits-Policy sowie der Sicherheitsleitlinie einschließlich der regelmäßigen Überprüfung ihrer Aktualität sowie die Unterweisung der betroffenen Mitarbeiter. Weiterhin obliegt ihm der Aufbau, der Betrieb und die Weiterentwicklung der Informationssicherheitsorganisation, einschließlich der Konzeption zur Realisierung und Durchsetzung der getroffenen Regelungen. Der Informationssicherheitsbeauftragte unterstützt bei der Erstellung und der Verwaltung der für das Informationssicherheitsmanagement erforderlichen Dokumentation. Dies umfasst auch die Koordination der Erstellung von Dienstanweisungen und Verfahrensbeschreibungen.

Die Abrechnung der Tätigkeiten des externen Informationssicherheitsbeauftragten erfolgt stundenweise, wobei im Vertrag üblicherweise ein Stundenkontingent vereinbart wird.



Allianz für Cyber-Sicherheit