Informationssicherheit Informationssicherheitsbeauftragte: Cybersicherheits-Wachdienst

Im heutigen digitalen Zeitalter ist zertifizierte Informationssicherheit wichtiger denn je. Alle unsere Daten, die wir ins Netz stellen, übertragen oder versenden, benötigen einen hohen Schutz. Dafür sind Informationssicherheitsbeauftragte unerlässlich. Aber was genau machen sie und warum sind sie so wichtig? Das beantworten wir euch hier.

Themen in diesem Beitrag:

Was sind Bedrohungen für die Informationssicherheit?

Ganz egal ob eure eigenen Daten in der Cloud, oder die Daten eures Unternehmens auf dem internen Server gespeichert sind – ohne einen Schutz sind sie ernsthaften Bedrohungen ausgesetzt. Cyberkriminelle sind immer wieder auf der Suche nach ungeschützten Dateien und Systeme, in die sie eindringen können oder Daten, die sie stehlen können. Andere Arten von Hackerangriffen könnt ihr hier nachlesen.

Nicht nur die ansteigende Cyberkriminalität ist ein Problem. Auch technische Schwierigkeiten, wie zum Beispiel eine Datenpanne, bei der geschützte Daten unwillentlich an die Öffentlichkeit geraten, stellen eine hohe Gefahr dar.

Was für Folgen können diese Gefahren haben?

• Veränderung oder Nichteinhaltung gesetzlicher und regulatorischer Anforderungen
  Durch die zuständigen Aufsichtsbehörden können Sanktionen und Bußgelder verhängt werden, sollten die gesetzlichen Anforderungen nicht eingehalten werden.
• Industriespionage
  Informationen für den internen Gebrauch, wie zum Beispiel Daten zur Forschung oder Entwicklung können in die falschen Hände geraten.
• Ausfall und Schäden der Systeme
  Kriminelle können gezielt Cyber-Angriffe und Schäden herbeiführen, was zu teuren Ausfällen und Reparaturen führen kann.
• Imageschäden
  Sollten diese Vorfälle bekanntwerden, kann dies zu einem anhaltenden Imageschaden führen, der die Reputation für zukünftige Aufträge mindert.

Wie ihr sehen könnt, sind Schäden durch Cyberangriffe oder Datenpannen keine Dinge, die man einfach abtun kann. Wie kann die Informationssicherheit hier Abhilfe schaffen und was ist sie genau?

Was ist Informationssicherheit?

In unserer modernen Welt, in der jede Transaktion, Kommunikation und Interaktion digital erfasst und gespeichert wird, ist die Bedeutung von Informationssicherheit enorm angestiegen. Informationssicherheit stellt die Vertraulichkeit, Verfügbarkeit und Integrität der Daten sicher. Sie schützt gespeicherte digitale Information vor unbefugtem Zugriff, Nutzung, Offenlegung, Unterbrechung, Modifikation, Zerstörung, Angriffen oder Datenklau wie zum Beispiel Phishing.

Dabei sind die Schutzziele der Informationssicherheit in drei Prinzipien unterteilt:

1. Vertraulichkeit: Sensible Informationen können nur von autorisierten Personen eingesehen und genutzt werden.
2. Integrität: Stellt sicher, dass Daten während der Speicherung, Übertragung und Verarbeitung nicht unbemerkt verändert oder manipuliert werden.
3. Verfügbarkeit: Zielt darauf ab, dass Infos und IT-Systeme immer dann zugänglich und verfügbar sind, wenn sie benötigt werden.

Bei der Umsetzung von effektiven Informationssicherheitsmaßnahmen wird eine umfassende Strategie vorausgesetzt, die sowohl technische und organisatorische, aber auch personelle Aspekte berücksichtigen muss. Dazu gehören regelmäßige Sicherheitsprüfungen, das Implementieren von Schutzmaßnahmen wie Verschlüsselungen oder Firewalls und die Sensibilisierung und Schulung eurer Mitarbeiter:innen. Die Verantwortung für die Koordination und Umsetzung tragen Informationssicherheitsbeauftragte. Aber was ist das genau?

Was sind Informationssicherheitsbeauftragte?

Zu den Aufgaben von Informationssicherheitsbeauftragten (kurz: ISB) gehört es für alle Fragen, rund um das Thema Informationssicherheit innerhalb einer Institution zuständig zu sein. Ein ISB spielt eine zentrale Rolle dabei, Sicherheitskonzepte zu entwickeln und diese umzusetzen. Welche genauen Aufgaben das sind, haben wir hier einmal für euch zusammengefasst:

• Steuerung und Koordination des Sicherheitsprozesses
• Bindeglied zwischen Geschäftsleitung, Nutzer:innen und IT
• Erstellung eines Sicherheitskonzeptes und die Koordination der dazugehörigen Teilkonzepte und Richtlinien
• Anfertigung von Realisierungsplänen für Sicherheitsmaßnahmen sowie ihre Initiierung und Überprüfung
• Berichten über den Status der Informationssicherheit an die Leitungsebene und an die anderen Sicherheitsverantwortlichen
• Koordination von sicherheitsrelevanten Projekten
• Untersuchung von sicherheitsrelevanten Vorfällen
• Initiierung, Sensibilisierung und Koordination von Schulungen von Mitarbeiter:innen hinsichtlich Daten- und Informationssicherheit

Die Arbeit von Informationssicherheitsbeauftragten trägt also im Wesentlichen dazu bei, dass Risiken im Unternehmen identifiziert werden, geeignete Gegenmaßnahmen koordiniert werden und das Vertrauen in die digitalen Prozesse und die Widerstandsfähigkeit der IT-Systeme im Unternehmen bei den Mitarbeiter:innen und allen weiteren Beteiligten gestärkt wird.

Und wie sollten Informationssicherheitsbeauftragte am besten im Unternehmen zugeordnet sein?

Um die Unabhängigkeit der unterschiedlichen technischen Bereiche im Unternehmen zu gewährleisten, sollte der IBS immer direkt der obersten technischen Leitungsebene zugeordnet sein. Das können Geschäftsführende oder Abteilungsleiter sein. Damit die Kontrolle der Sicherheitsmaßnahmen im Unternehmen durch den ISB auch wirklich unabhängig und ohne äußere Beeinflussung stattfindet, ist es ebenfalls ratsam den IT-Bereich oder andere ähnliche Bereiche klar vom ISB zu trennen. Warum das so ist? Hier haben wir zwei gute Gründe für euch aufgelistet:

• Objektivität und Unparteilichkeit:
  Interne Abteilungen könnten versucht sein, Mängel oder Schwachstellen zu vertuschen, um negative Auswirkungen auf ihre Arbeit oder Abteilung zu vermeiden. Unabhängige Kontrolleure haben keine persönlichen oder beruflichen Verbindungen zu den Abteilungen, oder den Mitarbeitenden, deren Arbeit sie kontrollieren. Das hilft dabei sicherzustellen, dass die Bewertung sachlich und unvoreingenommen geschieht.
• Nachweise der Compliance:
  Unabhängige Sicherheitsprüfungen sind oft eine Voraussetzung für rechtliche und industrielle Einhaltungsvorschriften.

Ist eine unabhängige Prüfung in deinem Unternehmen nicht möglich, dann sollten die Schnittstellen der Rollen aller Beteiligten klar definiert werden, um mögliche Rollenkonflikte oder Überschneidungen innerhalb einer Institution zu vermeiden.

Was benötigt ein ISB?

Beauftragte für Informationssicherheit benötigen ausreichend Ressourcen und Zeit, um erforderliche Fortbildungen, Trainings oder Schulungen mit allen Beteiligten durchzuführen. Je nach der Größe der Institution oder des Unternehmens, ist es manchmal sinnvoll mehrere ISB für verschiedene Bereiche, Standorte oder Projekte einzustellen.

Wer kann Informationssicherheitsbeauftragte:r werden?

Wie in vielen IT-Berufen gibt es keine spezielle Berufsausbildung, die jemanden als ISB qualifiziert. Mögliche Wege sind ein Studium in der Informatik abzuschließen, oder spezielle Weiterbildungen, wie zum Beispiel eine Weiterbildung zum IT-Sicherheitsbeauftragten durchzuführen.

Um alle Aufgaben eines ISB bewältigen zu können, sollten diese fachlichen und persönlichen Eigenschaften mitgebracht werden:

• Erfahrung und Kenntnisse im Bereich Informationssicherheit und IT
• Interdisziplinäres Denken: grundlegendes Wissen über Aufgaben und Abläufe der Behörde
• Erfahrung im Projektmanagement und mit Risikoanalysen
• Hohes Maß an Fortbildungsbereitschaft
• Selbstständiges Arbeiten
• Durchsetzungsvermögen
• Analytische Fähigkeiten
• Teamfähigkeit und Kommunikationsgeschick

Die Fähigkeit zur Kommunikation und Teamarbeit mit Mitarbeiter:innen, Externen und Unternehmensleitungen spielt eine zentrale Rolle bei der Umsetzung der Aufgaben eines ISBs.

Welche Zertifizierungen gibt es für Informationssicherheitsbeauftragte?

Es gibt verschiedene Zertifizierungen, die ein:e ISB erwerben kann, um jeweilige Qualifikationen nachweisen zu können und sich kontinuierlich weiterzubilden. Zu den gängigen Zertifizierungen gehören:

• CISSP (Certified Information Systems Security Professional)
• CISM (Certified Information Security Manager)
• CISA (Certified Information Systems Auditor)
• ISO/IEC 27001 Lead Implementer oder Lead Auditor

All diese Zertifizierungen bieten spezifisches Wissen und Methoden, die für die Arbeit als Informationsbeauftragte:r wichtig sind.

Was ist der Unterschied zwischen Informationssicherheitsbeauftragten und Datenschutzbeauftragten?

Die Aufgabenbereiche können sich mal überschneiden, sollten jedoch keine Interessenkonflikte verursachen. Der wesentliche Unterschied zwischen den beiden Positionen ist, dass die meisten Unternehmen gesetzlich dazu verpflichtet sind einen Datenschutzbeauftragten oder eine Datenschutzbeauftragte einzustellen. Dabei beschäftigen sich Datenschutzbeauftragte ausschließlich mit personenbezogenen Daten, während sich Informationssicherheitsbeauftragte um die gesamte IT-Sicherheit im Unternehmen kümmern. Man kann also festhalten, dass der Zuständigkeitsbereich beim ISB etwas größer und umfangreicher ist. Mehr über Datenschutzbeauftrage findet ihr hier.

Ist es Pflicht Informationssicherheitsbeauftragte zu bestellen?

Es besteht grundsätzlich keine gesetzliche Pflicht zur Bestellung eines ISBs. KRITIS-Unternehmen bilden jedoch die Ausnahme, da sie aufgrund des § 8a BSIG verpflichtet sind, organisatorische und technische Vorkehrungen zu treffen, um die Funktionsfähigkeit ihrer Institution zu gewährleisten.

Was sind KRITIS Unternehmen?

KRITIS (Kritische Infrastrukturen) sind Einrichtungen oder Organisatoren, die eine prägnante Bedeutung für das staatliche Gemeinwesen aufweisen. Das könnten beispielsweise Telekommunikationsanbieter oder Energieversorger sein. Bei einem Ausfall oder einer Beeinträchtigung ihrer Dienstleistungen, entstehen erhebliche Störungen der öffentlichen Sicherheit oder andere schwerwiegende Folgen. Mehr zum BSI und den KRITIS Unternehmen findet ihr in diesem Beitrag.

Wenn ich nicht dazu verpflichtet bin, warum sollte ich trotzdem einen ISB bestellen?

Auch ohne eine gesetzliche Verpflichtung kann der Einsatz eines ISB entscheidend sein. Vor allem für Zulieferer oder Partner von großen Unternehmen ist ein ISB oft eine Voraussetzung für eine erfolgreiche Zusammenarbeit.

Manchmal verlangen die Partner auch entsprechende Nachweise über eingeführte ISMS (Information Security Management Systeme) und regelmäßige Audits. Ein ISMS definiert Regeln, Methoden und Abläufe, um die IT-Sicherheit in einer Institution zu gewährleisten, zu steuern und zu kontrollieren. Damit sollen durch die IT verursachte Risiken identifiziert und beherrscht werden. Natürlich hat dies auch einen speziellen Grund, denn so möchten die Auftraggeber gewährleisten, dass ihre Partner angemessene Maßnahmen zum Schutz ihrer sensiblen Daten ergriffen haben.

Im Hinblick auf die zunehmenden Cyberrisiken ist es jedoch ratsam, dass ihr auch in eurem Unternehmen eine:n ISB beschäftigt.

Cybergefahren während der Pandemie

Besonders zu den Zeiten der Pandemie hat das Bundesamt die IT-Sicherheit vieler Unternehmen als stark bedroht angesehen. Der bundesweite Lockdown in Deutschland und eine Anordnung zur Home-Office Pflicht in vielen Unternehmen hat zu vielen neuen Herausforderungen für Sicherheitsbeauftragte zum Thema Cybersicherheit und Informationssicherheit geführt. Natürlich sind auch neue Gefahren entstanden, da die Cyberkriminalität zu dieser Zeit auch massiv angestiegen ist.

Aktuelle Bedrohungslage und Trends

Auch nach der Pandemie bleibt das Thema Cyberkriminalität und Informationsschutz ein fester Bestandteil in jedem unternehmerischen Sicherheitskonzept und sollte nicht nur an die aktuelle, sondern auch an zukünftige Eventualitäten angepasst werden. Informationssicherheitsbeauftragte können als Fachperson zum Beispiel eine Schulung oder Sensibilisierung der Mitarbeiter:innen mit der aktuellen Problematik durchführen.

Ein Überblick über die aktuelle Bedrohungslage und die neuesten Trends in der Cyberkriminalität verdeutlicht, warum die Rolle eines ISBs immer wichtiger wird:

• Phishing und Spear-Phishing: Zielgerichtete Datenklau-Angriffe auf spezifische Personen oder Abteilungen.
• Ransomware-Angriffe: Verschlüsselung von Daten und Erpressung von Unternehmen.
• Zero-Day-Exploits: Ausnutzung von bisher unbekannten Sicherheitslücken.

Wie können eure Mitarbeiter:innen zu mehr Informationssicherheit beitragen?

Auch eure eigenen Mitarbeiter:innen spielen eine entscheidende Rolle, um die Informationssicherheit innerhalb eures Unternehmens zu gewährleisten. Die tägliche Handhabung von Daten und Systemen macht sie zu sehr wichtigen Verteidungspatrouille gegenüber Cyberbedrohungen. Wir haben hier beispielhaft drei Wege aufgeführt, wie eure Mitarbeiter:innen zu mehr Informationssicherheit beitragen können:

• Sichere Passwörter
  Jeder Mitarbeitende in eurem Unternehmen sollte dazu ermutigt werden, starke und einzigartige Passwörter für all ihre Konten zu verwenden. Eine regelmäßige Änderung und Anpassung der Passwörter kann hier auch zu mehr Schutz beitragen. Damit die Passwörter sicher gespeichert und verwaltet werden, kann ein Passwortmanager hier Abhilfe schaffen.
• Schutz von vertraulichen Daten
  Alle eure Mitarbeiter:innen sollten sich der Sensibilität von Daten bewusst sein und diese auch dementsprechend so behandeln. Dazu gehört, vertrauliche Informationen nur an autorisierte Personen weiterzugeben und sichere Methoden zur Datenübertragung zu verwenden. Mehr zum Thema Datenschutz findet ihr in diesem Beitrag.
• Bewusstsein mithilfe von Schulungen
  Regelmäßige Sensibilisierungsprogramme oder Schulungen der Mitarbeitenden in deinem Unternehmen kann dabei helfen, die Bedeutung von Informationssicherheit zu verstehen und sie über die Gründe für bestimmte Maßnahmen aufzuklären. Beispielsweise sollten sie lernen, aktuelle Bedrohungen wie Phishing-Emails zu erkennen und Verdachtsfälle von Bedrohungen unverzüglich zu melden.

Durch eine aktive Beteiligung eurer Mitarbeiter:innen an der Informationssicherheit in eurem Unternehmen, tragt ihr nicht nur positiv zum Schutz der Unternehmensdaten bei, sondern stärkt so auch das allgemeine Sicherheitsbewusstsein innerhalb deines Unternehmens. Weitere vorbereitende technische Maßnahmen könnt ihr in diesem Beitrag nachlesen.

Maximiert eure Cybersicherheit mit der Arbeitssicherheit Sofort

Die Arbeitssicherheit Sofort steht euch zur Seite, um alle notwendigen und empfohlenen Schulungen durchzuführen und die maximale Sicherheit bei euren technischen Systemen zu gewährleisten. Jetzt könnt ihr die Gefährdungsbeurteilung auch digital umsetzen: Unsere Web-Plattform SMART CAMPUS verfügt über vordefinierte Prozesse für Gefährdungsbeurteilungen, smarte Handlungsanweisungen und leicht verständliche E-Learning-Module. Arbeitssicherheit wird so für Unternehmen einfach, verständlich und digital. Zögert nicht, euch ein erstes unverbindliches Angebot einzuholen. Wir freuen uns auf eure Kontaktaufnahme.

Beitragsbild: © Adobe Stock, NicoElNino

Weitere Themen aus diesem Artikel

• Arbeitssicherheit im Betrieb
• Digitalisierung