IT-Sicherheitsbeauftragter: Ist er für die Aufgabe geeignet?
Ein IT-Sicherheitsbeauftragter hat vielfältige Aufgaben! Aber welche Fertigkeiten und Voraussetzungen braucht es hierfür? Und welche Alternativen gibt es, wenn intern das notwendige Know-how fehlt? Unser Ratgeber zu den Aufgaben eines IT-Sicherheitsbeauftragten gibt Klarheit:
IT-Sicherheitsbeauftragter: Welche Aufgaben sind zu erfüllen?
Ein IT-Sicherheitsbeauftragter hat eine zentrale Aufgabe: Sein Ziel sollte es sein, die Geschäftsleitung beim Wahrnehmen aller anstehenden Aufgaben hinsichtlich der IT-Sicherheit zu beraten sowie bei der Umsetzung hilfreich zu unterstützen. Ein IT-Sicherheitsbeauftrager besitzt die Pflicht durch entsprechende Vorkehrungen obliegt es dem zudem, das Schadenrisiko der IT zu senken. Damit trägt ein IT-Sicherheitsbeauftragter aktiv dazu bei, die IT-Sicherheit auf einem hohen Niveau zu halten. In der Folge sinkt die Wahrscheinlichkeit, dass Geschäftsführer für IT-Sicherheitsvorfälle mit persönlichem Vermögen haften müssen.
IT-Sicherheitsbeauftragter: Weitere Aufgaben
Um diese beiden Ziele – Unterstützung der Geschäftsleitung sowie Wahren des IT-Sicherheitsniveaus – zu erreichen, ergeben sich sehr vielfältige Aufgaben für den IT-Sicherheitsbeauftragten. Unter anderem gehören dazu:
- Bestandsaufnahme: Um zu wissen, welche Schwächen in der Unternehmens-IT vorherrschen, muss eine Bestandsaufnahme den Ist-Stand anzeigen. Nur so können Lücken zwischen der aktuellen Situation und dem Ziel-Zustand geschlossen werden.
- Abstimmung von Sicherheitszielen: Nach der Bestandsaufnahme ist es sinnvoll, eigene Sicherheitsziele zu formulieren, um diese schrittweise umzusetzen.
- Erstellung von IT-Sicherheitsrichtlinien: Damit sich das komplette Unternehmen nach den Sicherheitsvorgaben richtet, helfen IT-Sicherheitsrichtlinien, die für alle verbindlich sind.
- Durchführung von Schulungen: Um Mitarbeitern die Möglichkeit zu geben, IT-Sicherheit in den Alltag einfließen zu lassen, sind Schulungen von immenser Wichtigkeit. Ein IT-Sicherheitsbeauftragter sollte die Sensibilisierung und Awareness-Vermittlung zum Ziel haben.
- Dokumentation der Sicherheitsmaßnahmen: Um der in der DSGVO geforderten Nachweisbarkeit (Rechenschaftspflicht) nachzukommen, müssen sämtliche Sicherheitsmaßnahmen dokumentiert werden.
- Analyse und Nachbereitung: IT-Sicherheit ist ein Prozess. Ein IT-Sicherheitsbeauftragter weiß, dass für diesen Prozess regelmäßige Analysen und Nachbereitungen zum weiteren Optimieren der IT-Sicherheit vonnöten sind. Weiter gehören etwaige IT-Sicherheitsvorfälle analysiert und idealerweise deren Gründe abgestellt.
- Funktion als Ansprechpartner: Haben Mitarbeiter oder die Geschäftsführung Fragen zum Thema Datenschutz und IT-Sicherheit, fungiert der IT-Sicherheitsbeauftragte als erster Ansprechpartner. Deshalb sind soziale Kompetenzen genauso gefragt wie fachliche.
- Berater der Geschäftsleitung: Ein IT-Sicherheitsbeauftragter berät die Geschäftsleitung in sämtlichen Belangen rund um die IT-Sicherheit. Auf Basis dieser Beratungsgespräche werden Entscheidungen getroffen.
- Aufbau eines ISMS: Der IT-Sicherheitsbeauftragte ist in der Lage, ein effizientes Informationssicherheitsmanagementsystem zu erstellen und zu führen.
Darüber hinaus überprüft der IT-Sicherheitsbeauftragte Sicherheitsvorfälle, arbeitet bei sicherheitsrelevanten Projekten mit und kontrolliert Dienstleister. Die Aufgaben eines IT-Sicherheitsbeauftragten sind enorm vielfältig und verlangen nach einer profunden Ausbildung.
Welche Fertigkeiten und Voraussetzungen muss ein IT-Sicherheitsbeauftragter mitbringen?
Verstehen Sie den IT-Sicherheitsbeauftragten als Bindeglied zwischen Geschäftsführung, den IT-Abteilungen, Kunden, Nutzern und weiteren Mitarbeitern. Um diese verantwortungsvolle Position ausführen zu können, muss ein IT-Sicherheitsbeauftragter für seine Aufgaben diverse Skills mitbringen:
- fachliche Kenntnisse
- Fähigkeit, verständlich zu beraten (um beispielsweise IT-Sicherheitsvorfälle für die Geschäftsleitung transparent machen zu können)
- Kontrolle
- Unabhängigkeit (keine Betriebsblindheit, sondern die Fähigkeit, perspektivisch und objektiv zu betrachten)
- sehr gute allgemeine IT-Kenntnisse
- Fähigkeit, Anwendungen und Systeme bzgl. möglicher technischer Schwachstellen und Sicherheitslücken zu analysieren und zu bewerten
- sehr gute Kenntnisse in verschiedenen IT-Security-Standards, z. B. ISO 27001, BSI, ITIL
- Erfahrungen im Erstellen, Betreiben, Warten, Einführen und Optimieren eines ISMS
Darüber hinaus braucht es soziale Kompetenz: Als IT-Sicherheitsbeauftragter muss man der Aufgabe nachkommen, Kollegen und Vorgesetzte verständlich zu beraten und zu schulen. Eine absolute Zuverlässigkeit muss genauso vorhanden sein, wie der Wille, sich stetig fortzubilden, damit die umfassenden Aufgaben jederzeit ordnungsgemäß ausgeführt werden können.
Wichtig: Es darf kein Interessenkonflikt vorliegen! Dies wäre etwa der Fall, wenn der IT-Sicherheitsbeauftragte auch die Position des Leiters der IT-Abteilung oder des Systemadministrators innehätte.
Welche Befugnisse sollte ein IT-Sicherheitsbeauftragter erhalten?
Damit ein IT-Sicherheitsbeauftragter seine Aufgaben wahrnehmen kann, benötigt er diverse Befugnisse. Dazu gehören:
- ein IT-Sicherheitsbeauftragter ist gegenüber IT-Beauftragten sowie Systemadministratoren weisungsbefugt,
- er ist direkt der Geschäftsleitung unterstellt, woraus sich ein direktes Vortragsrecht ergibt,
- er beteiligt sich an Dienstberatungen sowie Leitungs- und Projektbesprechungen,
- ihm wird ein Mitspracherecht bei sämtlichen Entscheidungen eingeräumt, die in seine Verantwortung fallen,
- ein IT-Sicherheitsbeauftragter erhält Zugriff auf sämtliche IT-Systeme und verarbeitete Daten,
- er hat die Befugnis, Anwendungen komplett oder zum Teil einzustellen, wenn eine Gefahr für die IT-Sicherheit gegeben ist,
- er erhält Zutritt zu sämtlichen Bereichen des Betriebs,
- er ist befugt, Revisionen durchzuführen oder aber durch unabhängige Dritte zu veranlassen. Damit wird das Informationssicherheitsniveau überprüft.
Welche Stellung hat der IT-Sicherheitsbeauftragte im Unternehmen?
Als Bindeglied zwischen allen (Geschäftsführung, Mitarbeiter, Nutzer) relevanten Stellen muss ein IT-Sicherheitsbeauftragter zum Erfüllen aller Aufgaben weisungsfrei sein. Unterstellt ist er direkt der Geschäfts- bzw. Behördenleitung. Je nachdem, in welchem Umfang der IT-Sicherheitsbeauftragte tätig wird, muss er von sonstigen möglichen Pflichten freigestellt werden. Deshalb bietet es sich für Organisationen an, einen externen Sicherheitsbeauftragten zu verpflichten oder aber eine eigene Stelle für den Sicherheitsbeauftragten zu schaffen. Um Interessenskonflikte zu vermeiden, sollte ein IT-Sicherheitsbeauftragter nicht mit Aufgaben konfrontiert werden, die mit seiner Funktion kollidieren.
Was kann man tun, wenn das notwendige Know-how nicht im Unternehmen vorhanden ist?
In großen Unternehmen ist es oft unproblematisch, eine Stelle für den IT-Sicherheitsbeauftragten zu schaffen, in KMU jedoch kann es zu Problemen kommen. Hier bietet es sich an, einen externen IT-Sicherheitsbeauftragten zu verpflichten. Die Vorteile liegen klar auf der Hand: Das Unternehmen braucht sich nicht über Fortbildungen und Zusatzkosten zu sorgen. Der externe IT-Sicherheitsbeauftragte kommt seinen Aufgaben nach, verfügt über das notwendige Know-how, bildet sich fort und ist somit immer auf dem neusten Stand und damit in der Lage, Ihre Organisation optimal zu beraten.
Haben Sie Fragen zum Thema? Oder möchten Sie sich unverbindlich zum externen IT-Sicherheitsberater informieren? Sind Sie interessiert an entsprechenden Schulungen? Kontaktieren Sie uns und wir beraten Sie gern – auf Augenhöhe, bedarfsgerecht und transparent.