MENU
Rollen und Aufgaben in der Informationssicherheit

Rollen und Aufgaben in der Informationssicherheit

Zur Themenwelt Informationssicherheit im Unternehmen

Aktualisiert am 11.06.2021

Die Globalisierung erhöht den Bedarf der Informationssicherheit

In einer globalisierten und digitalen Gesellschaft können vertrauliche Informationen in Sekundenschnelle verbreitet werden. Immer häufig werden Hackerangriffe oder Datenschutzskandale bekannt. Dadurch wächst das Bedürfnis nach Sicherheit – besonders in der Informationssicherheit.

Doch wie kann man als Unternehmen diese Sicherheit gewährleisten? Welche Ressourcen benötigt ein effektives Informationsmanagementsystem? Und wie sehen die Aufgaben von Informationssicherheitsbeauftragten aus? Welche Weiterbildungen werden in der Informationssicherheit empfohlen? Wir haben für Sie alle Informationen rund um das Thema zusammengefasst.

IT-Sicherheit oder Informationssicherheit – Was ist der Unterschied?

Die IT-Sicherheit ist ein Teil der Informationssicherheit. Während es bei der IT-Sicherheit um den Schutz von Informationen mithilfe von Informationstechnologie (IT) – also die technischen Aspekte – geht, ist die Informationssicherheit deutlich weiter gefasst. Hier sind unter anderem auch räumliche, personelle und organisatorische und andere Aspekte relevant. Dieses erweiterte Verständnis spiegelt sich auch in den verschiedenen Rollen, Aufgaben und Funktionen im Bereich der Informationssicherheit wider.

Organisation der Informationssicherheit in Unternehmen

Bei jedem Unternehmen sind Informationen wichtige Werte und müssen geschützt werden. Denn laut Christoph Thiel,  Prof.  für Informationssicherheit an der FH Bielefeld, können sich Unternehmen, die Ihre Daten nicht schützen, langfristig nicht behaupten. Dabei ist es egal, ob es sich um die Personaldaten, das Know-How der Mitarbeiterinnen und Mitarbeiter oder um eine geheime Rezeptur handelt. Ebenso wie beim Datenschutz persönlicher Daten erwarten wir von Unternehmen einen sicheren Umgang mit Informationen.

Damit ist nicht gemeint, dass ein Unternehmen ein ganz bestimmtes Tool oder eine Methode nutzen muss, sondern, dass im Unternehmen ein Informationsmanagementsystem etabliert sein sollte.. Dies beinhaltet alle Abläufe, alle Vorgaben, Regelungen und Teilprozesse, um am Ende die Informationssicherheit zu erreichen. Ein Unternehmen muss also den Gesamtüberblick über ein System zur Informationssicherheit gewährleisten können.

Rollen und Aufgaben der Informationssicherheitsbeauftragten

Grundsätzlich hat jeder Mitarbeiter und jede Mitarbeiterin im Unternehmen Aufgaben und Verantwortung im Bereich der Informationssicherheit: von der Geschäfts- oder Behördenleitung, die die strategischen Entscheidungen trifft, bis zu den Kolleginnen und Kollegen, die die Regeln umsetzen. Oder, mit den Worten des BSI, die „auf den Sicherheitsprozess hinwirken und bei diesem mitwirken“ sollen.

Darüber hinaus gibt es verschiedene Rollen, die zwar nicht normiert sind und – mit Ausnahme von kritischen Infrastrukturen – auch nicht gesetzlich vorgeschrieben. „In dem Moment aber, wo Informationen wichtig sind für Unternehmen, also fast überall, braucht man jemanden, der zumindest eine dieser Rollen übernimmt“, sagt Prof. Christoph Thiel.

Die Organisation der Informationssicherheit innerhalb des Unternehmens

  • Die Ansprechpartner also CISO, ISO oder ISB erarbeiten einen Prozess zur Informationssicherheit und koordinieren diesen.
  • Alle Mitarbeiterinnen und Mitarbeiter im Unternehmen müssen diesen Prozess und die Maßnahmen dazu umsetzen und ggf. verschiedene Risiken durch ihr Fachwissen bewerten.
  • Die Geschäftsführung oder -leitung haben eine herausragende Rolle bei der Informationssicherheit. Denn diese muss verstanden haben, warum das Unternehmen die Informationssicherheit braucht, welche Ressourcen (Geld, Personal, Wissen, etc.) die Ansprechpartner (CISO, ISO, IT-Grundschutz-Berater) benötigen oder wie mit den unterschiedlichen Risiken umgegangen wird.

Bei der Informationssicherheit gibt es folglich nicht eine einzige Person, die für das gesamte Unternehmen verantwortlich ist – in der Informationssicherheit müssen alle im Unternehmen mitarbeiten!

Anforderungen an Rollen in der Informationssicherheit

  • CISO (Chief Information Security Officer): Zu dieser Rolle gehören die taktische Verantwortung für die Informationssicherheit und eine beratende, steuernde Funktion. Angesiedelt ist sie meist in größeren oder komplexeren, oft auch räumlich verteilten Organisationen. Dort trennt man sie häufig von der Person des ISO. Allerdings können auch die Rollen CISO und ISO in einer Person vereint sein.
  • ISO (Information Security Officer): Der ISO, auch Beauftragter für Informationssicherheit genannt, ist verantwortlich für den Aufbau und den Betrieb eines Informationssicherheits-managementsystems (ISMS) im Unternehmen, etwa nach der Norm DIN ISO 27001 oder dem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten IT-Grundschutz.
  • IT-Grundschutz-Praktiker unterstützen Unternehmen dabei, ihre Informationssicherheit nach dem IT Grundschutz-Standard des BSI zu managen. Deutsche Behörden sind überwiegend dazu verpflichtet, aber auch Unternehmen aus der freien Wirtschaft können nach diesem Standard vorgehen.
  • IT-Grundschutz-Berater sind vom BSI zertifizierte (externe) Berater, die Organisationen beim Entwickeln von Sicherheitskonzepten und beim Einführen eines ISMS nach dem IT-Grundschutz begleiten.
  • Auditoren: Wer die Wirksamkeit seines ISMS und das Einhalten entsprechender Standards wie ISO 27001 oder IT-Grundschutz prüfen möchte, lässt entsprechende Audits durch geeignete Auditoren durchführen. Audits zur Zertifizierung des ISMS können dabei nur externe, wiederum selbst zertifizierte Auditoren durchführen.

Neben diesen Funktionen, die die Mindestanforderungen im Bereich der Informationssicherheit abdecken, können sich je nach Unternehmen weitere Funktionen als sinnvoll erweisen, wie zum Beispiel Risikomanager, Notfallbeauftragte oder lokale Sicherheitsmanager an verschiedenen Standorten.

Anforderungen an Informationssicherheitsbeauftragte

Um im Unternehmen die Aufgaben im Bereich der Informationssicherheit zu übernehmen, sind bestimmte Soft Skills hilfreich und verschiedene Fortbildungen helfen dabei, sich die geforderten Aufgaben und Rollen in der Informationssicherheit anzueignen.

Die Person sollte:

  • Extrem kommunikativ sein, da sie mit allen Bereichen im Unternehmen zu tun hat und mit jedem Bereich über die Informationssicherheit und die Maßnahmen für diese sprechen muss
  • Sehr gut in Prozessen denken können, um alle Prozesse im Unternehmen zu verstehen und diese dann zu schützen
  • Ein guter Projektmanager sein, um Aufgaben zu koordinieren und nicht selbst zu übernehmen
  • Leidensfähigkeit aufweisen. Denn ein Informationssicherheitsmanagementsystem bedeutet im ersten Schritt natürlich mehr Arbeit und Stress für die Mitarbeiterinnen und Mitarbeiter. Doch als Ansprechpartner muss man dennoch die Maßnahmen umsetzen können
  • Vorteilhaft ist ein beruflicher Hintergrund aus der Informationsverarbeitung – dieser muss nicht unbedingt ein technischer Hintergrund sein. Doch man sollte schon ein Verständnis dafür haben, was in der Informationsverarbeitung passiert.

Durch verschiedene Fortbildungen, Praxiserfahrung und den genannten Soft Skills kann man die Aufgaben des Informationssicherheitsbeauftragten im Unternehmen übernehmen.

Doch welche Weiterbildungen sind im Bereich der Informationssicherheit notwendig und sinnvoll?

Weiterbildungen in der Informationssicherheit

Mitarbeiterinnen und Mitarbeiter der Informationssicherheit müssen auf dem Laufenden bleiben. Denn zum einen ändern sich regelmäßig die gesetzlichen Anforderungen, wie beispielsweise das Bundesdatenschutzgesetz (BDSG-neu) oder das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) und zum anderen ändern sich auch Standards wie die ISO 27001 oder der BSI-IT-Grundschutz. Zusätzlich werden regelmäßig Verträge mit Unternehmenspartnern abgeschlossen, die berücksichtigt werden müssen.

Dazu ist es ratsam, sich im Bereich der Informationssicherheit weiterzubilden.



Die Rollen und zugehörige Zertifikate des CISO und ISO und des IT-Grundschutz-Praktikers haben keine befristete Gültigkeit. Dennoch ist es laut Prof. Christoph Thiel empfehlenswert, sich regelmäßig weiterzubilden, um eine effektive Informationssicherheit zu gewährleisten.

Die Rolle des IT-Grundschutz-Beraters hingegen ist sogar verpflichtet, regelmäßig nachzuweisen, dass er aktiv Projekte betreut und Fortbildungen in diesem Bereich erfolgreich absolviert hat.

Zusätzlich ist es ratsam sich selbst auf dem Laufenden zu halten. Dazu können wir zum einen die einzelnen Informationsseiten des Bundesamtes für Sicherheit in der Informationstechnik zu diesem Thema empfehlen oder auch den Internetauftritt des Heise Verlages. Denn hier werden aktuelle Sicherheitsvorfälle, Informationen über Sicherheitsprobleme und weitere Themen der Informationssicherheit besprochen.

Sie müssen als Unternehmen also nicht die neuste Technik einkaufen, um die Informationssicherheit in Ihrem Unternehmen zu gewährleisten. Sie können stattdessen das geeignete Fachpersonal beschäftigten und so die Prozesse im Unternehmen verstehen und mögliche Risiken der Informationssicherheit unterbinden.

Hat Ihnen der Artikel gefallen?

Entdecken Sie jetzt unsere Themenwelten! Hier finden Sie spannende Fachbeiträge, Experteninterviews und vieles mehr. 

Das könnte Sie auch interessieren:

Alle unsere Themenwelten im Überblick finden Sie in Wissen kompakt.

Unsere Empfehlungen für Sie

Webinar

ISO 27001 versus BSI IT-Grundschutz

Lernen Sie die Unterschiede der ISO 27001 und dem BSI IT-Grundschutz und deren Auswirkungen auf Ihr Informationssicherheitsmanagementsystem (ISMS) kennen.
Zum Webinar
Seminar/Webinar

IT-Grundschutz-Praktiker (TÜV)

Erfüllt Anforderungen der BSI-Basisschulung. In täglicher Anwendung schafft BSI-Standard 200-x Sicherheit und Zuverlässigkeit bei der Verarbeitung von Informationen und Daten.
Zu den Veranstaltungen
Webinar

Erstellung von Sicherheitskonzepten

Zum Erstellen von Konzepten nach BSI IT-Grundschutz ist die sorgfältige Erarbeitung des Geltungsbereichs und der schutzbedürftigen Werte im Unternehmen von hoher Priorität.
Zum Webinar

Sprechen Sie mich gerne an

Melanie Braunschweig

Melanie Braunschweig

TÜV NORD Akademie GmbH & Co. KG
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen

+49 201 31955-42
Fax : +49 201 31955-70

mbraunschweig@tuev-nord.de

Diese Seite weiterempfehlen