In unserem vorigen Beitrag konnten wir Ihnen bereits die Unterschiede zwischen der Position des IT-Sicherheitsbeauftragten und des Datenschutzbeauftragten erläutern. In diesem Beitrag möchten wir Ihnen nun die Unterschiede zwischen IT-Sicherheitsbeauftragten und Informationssicherheitsbeauftragen (ISBe), auch bekannt – aber gelegentlich auch Leiter des Teams – unter dem Begriff Chief Information Security Officer (CISO), erläutern. Beide Positionen werden meist als Einheit verstanden, was jedoch nicht ganz der Fall ist.

Abgrenzung zwischen IT-Sicherheit und Informationssicherheit

Aufgabe der IT-Sicherheit ist nicht nur der Schutz der betreffenden Organisationen (Unternehmen, Kommunen, …) selbst, sondern auch der Schutz ihrer Werte, wie Betriebsgeheimnisse und gelegentlich auch der personenbezogenen Daten (Primäraufgabe liegt allerdings beim DSB als Beratungs- und Kontrollorgan). Der Schutz erfolgt vor nachteiligen Eingriffen und soll damit zur Verhinderung eines möglichen Schadens führen. Im Vordergrund der IT-Sicherheit steht somit der Schutz der IT-Systeme sowie der darin gespeicherten Daten.

Die Informationssicherheit ist hingegen wesentlich weiter gefasst, da diese nicht nur alle IT-Systeme, sondern auch nicht elektronisch verarbeitete Informationen sichern soll.

Die Aufgabenbereiche des IT-Sicherheitsbeauftragten und des Informationssicherheitsbeauftragten

Aufgaben des IT-SicherheitsbeauftragtenAufgaben des Informationssicherheitsbeauftragten
Prävention vor möglichen Gefährdungen des Sicherheitskonzepts, Erkennen von und Handeln bei Risiken Die Erstellung, Pflege und Überwachung der Einhaltung eines unternehmerischen Sicherheitskonzepts Mitarbeit bei der Erstellung von Entwürfen für Sicherheitsanforderungen Sensibilisierung und Aufklärung der Mitarbeiter durch Schulungen Ansprechpartner für Fragen über die Informationssicherheit Beratung der Unternehmensleitung bei Entscheidungen, die den Bereich IT-Sicherheit betreffen Unterstützung bei der Zertifizierung der unternehmensinternen IT Koordination und Abstimmung der anderen IT-Stellen im UnternehmenDer Aufbau und Betrieb einer Organisationseinheit, um die Sicherheitsziele umzusetzen Ausarbeiten und die Anpassung von Sicherheitsrichtlinien Ermitteln und Definieren der sicherheitsrelevanten Objekte, sowie der Bedrohung und Risiken, damit Sicherheitsziele daraus entwickelt werden können Bewertung der Funktionseinheiten zum Stand der Umsetzung sowie Weiterentwicklung der Sicherheitsvorschriften Bewusstsein der Mitarbeiter in Sachen Datensicherheit durch Kampanien und Trainings erzielen

Unternehmensrelevanz der Positionen

Erfolgt eine Orientierung an der Namensgebung, erschließt sich ein wesentlich weiterer Kompetenzrahmen für den Informationssicherheitsbeauftragten, welcher für digitale und nicht digitale Daten (z.B. Akten) zuständig ist, als bei dem IT-Sicherheitsbeauftragten, dessen Aufgabenbereich die Sicherheit der IT-Systeme umfasst. Folglich beinhaltet der Aufgabenbereich des Informationssicherheitsbeauftragten nach oben genannter Auffassung auch den Aufgabenbereich des IT-Sicherheitsbeauftragten, wobei eine gewisse Überlappung beider Kompetenzbereiche ersichtlich ist und eine Abgrenzung notwendig erscheinen lässt.

So ist es Aufgabe des IT-Sicherheitsbeauftragten die Unternehmensführung bei der Implementierung und Planung der Integration neuer IT-Systeme in Sachen Sicherheit zu unterstützen, während es die Aufgabe des Informationssicherheitsbeauftragten ist, entsprechende Maßnahmen und Leitlinien zu entwickeln, um die entwickelte Strategie des IT-Sicherheitsbeauftragten sicherzustellen.

Da jedes Unternehmen das Risikomanagement anders bewertet, kommt es vor, dass einige Unternehmen die Berichtserstattung des Informationssicherheitsbeauftragten direkt dem Vorstand oder dem Compliance-Officer unterstellen. In der Regel berichtet der Informationssicherheitsbeauftragte dem IT-Sicherheitsbeauftragten und dem Chief-Digital-Officer, kurz CDO. Die Bedeutung der Position Informationssicherheitsbeauftragter hat in letzter Zeit mehr an Bedeutung gewonnen, da immer mehr Unternehmen sich dem Thema Datensicherheit zuwenden, sei es aufgrund der nahenden Datenschutz-Grundverordnung, die ab 2018 viele datenschutzrechtliche Neuerungen bringt oder durch sich häufende Hackerangriffe auf sensible Unternehmensdaten. Diese Entwicklung führt wiederum zu einer Verschiebung der Kompetenzbereiche des Informationssicherheitsbeauftragten und des IT-Sicherheitsbeauftragten, was dazu führt, dass beide Positionen als ein und dieselbe betrachtet werden, was wie bereits erwähnt ganz nicht der Fall ist. Die Vermischung erfolgt, gerade in mittelständischen Unternehmen oder in kleineren Konzernstrukturen, aber regelmäßig, sodass in diesen Fällen beide Aufgaben auch in einer Position vereint anzutreffen sind.

Trotz der steigenden Relevanz beider Positionen sind diese nur in gewissen Bereichen gesetzlich festgeschrieben, womit in der Regel keine Verpflichtung zur Bestellung eines IT-Sicherheitsbeauftragten oder eines Informationssicherheitsbeauftragten besteht.

Einführung von Informationssicherheitssystemen (ISMS) durch die Datenschutz-Grundverordnung

Mit der Europäischen Datenschutz-Grundverordnung (DS-GVO), welche ab 25. Mai 2018 in allen Mitgliedstaaten Europas gilt, wird die bisher geltende Datenschutzrichtlinie 46/95/EG abgelöst. Gegenüber der bisher geltenden Datenschutzrichtlinie, hat die Datenschutz-Grundverordnung   einen stärkeren Fokus auf die Informationssicherheit, was sich unter anderen aus dem Art. 5 DS-GVO entnehmen lässt. Dieser möchte unter der die Integrität und Vertraulichkeit sicherstellen und somit personenbezogene Daten, unter anderem vor unbefugter Kenntnisname durch Dritte, schützen. Es gibt daneben auch andere Vorschriften der DS-GVO, wie beispielsweise den Art. 32 DS-GVO, der beinhaltet die Pflicht zur Umsetzung technischer und organisatorischer Maßnahmen, kurz TOM und gilt als einer der Grundsätze der DS-GVO .

Fazit

Mit der Datenschutz-Grundverordnung kommen neue datenschutzrechtliche Regelungen, die der Informationssicherheit eine immer wichtigere Position zukommen lassen. Je nach Größe eines Unternehmens kann es sinnvoll sein die Position des Informationssicherheitsbeauftragten (ISBe) bzw. Chief Information Security Officer (CISO) einzurichten. Dabei sollte den zuständigen Stellen bewusst sein, dass der Informationssicherheitsbeauftragter zwar informationssicherheitsrelevante Positionen koordiniert und zusammenführt, eine direkte Zuständigkeit obliegt hingegen den dazugehörigen Stellen, wie beispielsweise dem Datenschutzbeauftragten und IT-Sicherheitsbeauftragten selbst.

Ähnliche Beiträge