Rollen und Aufgaben in der Informationssicherheit

In einer globalisierten und digitalen Gesellschaft können vertrauliche Informationen in Sekundenschnelle verbreitet werden. Immer häufig werden Hackerangriffe oder Datenschutzskandale bekannt. Dadurch wächst das Bedürfnis nach Sicherheit – besonders in der Informationssicherheit.

Doch wie kann man als Unternehmen diese Sicherheit gewährleisten? Welche Ressourcen benötigt ein effektives Informationsmanagementsystem? Und wie sehen die Aufgaben von Informationssicherheitsbeauftragten aus? Welche Weiterbildungen werden in der Informationssicherheit empfohlen? Wir haben für Sie alle Informationen rund um das Thema zusammengefasst.

Die IT-Sicherheit ist ein Teil der Informationssicherheit. Während es bei der IT-Sicherheit um den Schutz von Informationen mithilfe von Informationstechnologie (IT) – also die technischen Aspekte – geht, ist die Informationssicherheit deutlich weiter gefasst. Hier sind unter anderem auch räumliche, personelle und organisatorische und andere Aspekte relevant. Dieses erweiterte Verständnis spiegelt sich auch in den verschiedenen Rollen, Aufgaben und Funktionen im Bereich der Informationssicherheit wider.

Bei jedem Unternehmen sind Informationen wichtige Werte und müssen geschützt werden. Denn laut Christoph Thiel, Prof. für Informationssicherheit an der FH Bielefeld, können sich Unternehmen, die Ihre Daten nicht schützen, langfristig nicht behaupten. Dabei ist es egal, ob es sich um die Personaldaten, das Know-How der Mitarbeiterinnen und Mitarbeiter oder um eine geheime Rezeptur handelt. Ebenso wie beim Datenschutz persönlicher Daten erwarten wir von Unternehmen einen sicheren Umgang mit Informationen.

Damit ist nicht gemeint, dass ein Unternehmen ein ganz bestimmtes Tool oder eine Methode nutzen muss, sondern, dass im Unternehmen ein Informationsmanagementsystem etabliert sein sollte. Dies beinhaltet alle Abläufe, alle Vorgaben, Regelungen und Teilprozesse, um am Ende die Informationssicherheit zu erreichen. Ein Unternehmen muss also den Gesamtüberblick über ein System zur Informationssicherheit gewährleisten können.

Grundsätzlich hat jeder Mitarbeiter und jede Mitarbeiterin im Unternehmen Aufgaben und Verantwortung im Bereich der Informationssicherheit: von der Geschäfts- oder Behördenleitung, die die strategischen Entscheidungen trifft, bis zu den Kolleginnen und Kollegen, die die Regeln umsetzen. Oder, mit den Worten des BSI, die „auf den Sicherheitsprozess hinwirken und bei diesem mitwirken“ sollen.

Darüber hinaus gibt es verschiedene Rollen, die zwar nicht normiert sind und – mit Ausnahme von kritischen Infrastrukturen – auch nicht gesetzlich vorgeschrieben. „In dem Moment aber, wo Informationen wichtig sind für Unternehmen, also fast überall, braucht man jemanden, der zumindest eine dieser Rollen übernimmt“, sagt Prof. Christoph Thiel.

• CISO (Chief Information Security Officer): Zu dieser Rolle gehören die taktische Verantwortung für die Informationssicherheit und eine beratende, steuernde Funktion. Angesiedelt ist sie meist in größeren oder komplexeren, oft auch räumlich verteilten Organisationen. Dort trennt man sie häufig von der Person des ISO. Allerdings können auch die Rollen CISO und ISO in einer Person vereint sein.
• ISO (Information Security Officer): Der ISO, auch Beauftragter für Informationssicherheit genannt, ist verantwortlich für den Aufbau und den Betrieb eines Informationssicherheits-managementsystems (ISMS) im Unternehmen, etwa nach der Norm DIN ISO 27001 oder dem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten IT-Grundschutz.
• IT-Grundschutz-Praktiker unterstützen Unternehmen dabei, ihre Informationssicherheit nach dem IT Grundschutz-Standard des BSI zu managen. Deutsche Behörden sind überwiegend dazu verpflichtet, aber auch Unternehmen aus der freien Wirtschaft können nach diesem Standard vorgehen.
• IT-Grundschutz-Berater sind vom BSI zertifizierte (externe) Berater, die Organisationen beim Entwickeln von Sicherheitskonzepten und beim Einführen eines ISMS nach dem IT-Grundschutz begleiten.
• Auditoren: Wer die Wirksamkeit seines ISMS und das Einhalten entsprechender Standards wie ISO 27001 oder IT-Grundschutz prüfen möchte, lässt entsprechende Audits durch geeignete Auditoren durchführen. Audits zur Zertifizierung des ISMS können dabei nur externe, wiederum selbst zertifizierte Auditoren durchführen.

Neben diesen Funktionen, die die Mindestanforderungen im Bereich der Informationssicherheit abdecken, können sich je nach Unternehmen weitere Funktionen als sinnvoll erweisen, wie zum Beispiel Risikomanager, Notfallbeauftragte bzw. Business Continuity Manager oder lokale Sicherheitsmanager an verschiedenen Standorten.

Um im Unternehmen die Aufgaben im Bereich der Informationssicherheit zu übernehmen, sind bestimmte Soft Skills hilfreich und verschiedene Fortbildungen helfen dabei, sich die geforderten Aufgaben und Rollen in der Informationssicherheit anzueignen.

Die Person sollte:

• Extrem kommunikativ sein, da sie mit allen Bereichen im Unternehmen zu tun hat und mit jedem Bereich über die Informationssicherheit und die Maßnahmen für diese sprechen muss
• Sehr gut in Prozessen denken können, um alle Prozesse im Unternehmen zu verstehen und diese dann zu schützen
• Ein guter Projektmanager sein, um Aufgaben zu koordinieren und nicht selbst zu übernehmen
• Leidensfähigkeit aufweisen. Denn ein Informationssicherheitsmanagementsystem bedeutet im ersten Schritt natürlich mehr Arbeit und Stress für die Mitarbeiterinnen und Mitarbeiter. Doch als Ansprechpartner muss man dennoch die Maßnahmen umsetzen können
• Vorteilhaft ist ein beruflicher Hintergrund aus der Informationsverarbeitung – dieser muss nicht unbedingt ein technischer Hintergrund sein. Doch man sollte schon ein Verständnis dafür haben, was in der Informationsverarbeitung passiert.

Durch verschiedene Fortbildungen, Praxiserfahrung und den genannten Soft Skills kann man die Aufgaben des Informationssicherheitsbeauftragten im Unternehmen übernehmen.

Doch welche Weiterbildungen sind im Bereich der Informationssicherheit notwendig und sinnvoll?

Mitarbeiterinnen und Mitarbeiter der Informationssicherheit müssen auf dem Laufenden bleiben. Denn zum einen ändern sich regelmäßig die gesetzlichen Anforderungen, wie beispielsweise das Bundesdatenschutzgesetz (BDSG-neu) oder das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) und zum anderen ändern sich auch Standards wie die ISO 27001 oder der BSI-IT-Grundschutz. Zusätzlich werden regelmäßig Verträge mit Unternehmenspartnern abgeschlossen, die berücksichtigt werden müssen.

Dazu ist es ratsam, sich im Bereich der Informationssicherheit weiterzubilden.

Die Rollen und zugehörige Zertifikate des CISO und ISO und des IT-Grundschutz-Praktikers haben keine befristete Gültigkeit. Dennoch ist es laut Prof. Christoph Thiel empfehlenswert, sich regelmäßig weiterzubilden, um eine effektive Informationssicherheit zu gewährleisten.

Die Rolle des IT-Grundschutz-Beraters hingegen ist sogar verpflichtet, regelmäßig nachzuweisen, dass er aktiv Projekte betreut und Fortbildungen in diesem Bereich erfolgreich absolviert hat.

Zusätzlich ist es ratsam sich selbst auf dem Laufenden zu halten. Dazu können wir zum einen die einzelnen Informationsseiten des Bundesamtes für Sicherheit in der Informationstechnik zu diesem Thema empfehlen oder auch den Internetauftritt des Heise Verlages. Denn hier werden aktuelle Sicherheitsvorfälle, Informationen über Sicherheitsprobleme und weitere Themen der Informationssicherheit besprochen.

Sie müssen als Unternehmen also nicht die neuste Technik einkaufen, um die Informationssicherheit in Ihrem Unternehmen zu gewährleisten. Sie können stattdessen das geeignete Fachpersonal beschäftigten und so die Prozesse im Unternehmen verstehen und mögliche Risiken der Informationssicherheit unterbinden.