Wann brauche ich einen IT-Sicherheitsbeauftragten? Die Gesetzeslage und weitere Entscheidungskriterien
IT-Sicherheitsbeauftragte sind aktuell jedem Unternehmen zu empfehlen, denn sie verbessern kontinuierlich die IT Security und sorgen für einheitliche Standards.
Der IT Security in Unternehmen und Organisationen kommt immer mehr Bedeutung zu. Einerseits ist die steigende Zahl an Cyberangriffen ein Grund dafür. Andererseits trägt auch die zunehmende Digitalisierung dazu bei. Die Komplexität der Netzwerke nimmt weiter zu, digitale Systeme sind in allen Unternehmensbereichen im Einsatz und private Endgeräte sind im Unternehmensnetzwerk aktiv. Diese dynamische Sicherheitslage erfordert ein Umdenken in der IT Security. Benötigt wird ein Verantwortlicher, der die Gesamtlage im Blick hat, ein Konzept für die IT-Sicherheit entwirft und als Bindeglied zwischen Mitarbeitern, der IT-Abteilung sowie der Geschäftsleitung dient. Hier beginnt der IT-Sicherheitsbeauftragter seinen Job.
Hinweis: Aus Gründen der besseren Lesbarkeit wird bei Personenbezeichnungen und personenbezogenen Hauptwörtern nachfolgend die männliche Form verwendet. Entsprechende Begriffe gelten im Sinne der Gleichbehandlung grundsätzlich für alle Geschlechter. Die verkürzte Sprachform hat nur redaktionelle Gründe und beinhaltet keine Wertung.
Welche gesetzlichen Grundlagen gibt es für den IT-Sicherheitsbeauftragten?
Es ist für die meisten Unternehmen gesetzlich nicht vorgeschrieben, einen IT-Sicherheitsbeauftragten Job zu besetzen. Anbieter von öffentlichen Telekommunikationsnetzen oder öffentlich zugänglichen Telekommunikationsdiensten sind jedoch dazu verpflichtet, einen solchen Mitarbeiter zu beschäftigen. Dies ist in § 109 Abs. 4 Satz 1 des Telekommunikationsgesetzes (TKG) geregelt. Darüber hinaus schreibt das IT-Sicherheitsgesetz für bestimmte Branchen ebenfalls die Schaffung eines IT-Sicherheitsbeauftragten Jobs vor. Dies betrifft Betreiber von kritischen Infrastrukturen wie Strom- und Wasserversorger, Banken oder Versicherungen sowie Unternehmens der Lebensmittelbranche.
Der IT-Sicherheitsbeauftragte und seine Aufgaben
Der Sicherheitsbeauftragte übernimmt weitreichende Funktionen innerhalb eines Unternehmens. So hat der IT-Sicherheitsbeauftragte Aufgaben sowohl im organisatorischen als auch dem operativen Bereich. Die zentrale Aufgabe eines IT-Sicherheitsbeauftragten ist es, die Gefahren für IT-Sicherheitsvorfälle zu reduzieren und das Niveau der IT-Sicherheit anzuheben.
Der IT-Sicherheitsbeauftragten Job beginnt mit einer Analyse. Diese Bestandsaufnahme kartografiert den Ist-Zustand. Hierbei geht es primär darum, bestehende Schwachstellen in der IT Security zu finden. Anhand dieser Analyse erstellt der IT-Sicherheitsbeauftragte Ziele, an deren Umsetzung er arbeitet. Dies sind primär Sicherheitsmaßnahmen für die IT-Systeme im Unternehmensbereich.
Ebenfalls zu den IT-Sicherheitsbeauftragten Aufgaben gehört die Erstellung von Sicherheitsrichtlinien. Hierbei handelt es sich um konkrete Auflagen, wie Mitarbeiter im Unternehmen mit digitalen Daten und Systemen umgehen. Diese globalen Richtlinien sind für alle Mitarbeiter im Unternehmensbereich verbindlich, sodass eine einheitliche Sicherheitskultur entsteht. Eine IT-Sicherheitsrichtlinie legt beispielsweise fest, welches Format die Passwörter im Unternehmen haben müssen oder ob eine und in welchem Umfang die Nutzung privater digitaler Geräte im Unternehmensnetzwerk erlaubt ist.
Zu dem IT-Sicherheitsbeauftragten Job gehört außerdem eine umfangreiche Dokumentation aller Tätigkeiten. Auf diese Weise wird die Arbeit des Sicherheitsbeauftragten nachvollziehbar und transparent. Dies ist vor allem wichtig, um die Auflagen der Europäischen Datenschutzverordnung (DSGVO) zu erfüllen. Diese schreibt in vielen Fällen eine Dokumentationspflicht bei Vorfällen, die die IT Security betreffen, vor. Außerdem ist es hilfreich, wenn auf dieser Position ein Wechsel stattfindet oder der Sicherheitsbeauftragte temporär ausfällt, beispielsweise durch Urlaub oder Krankheit. Auf diese Weise schaffen Unternehmen Kontinuität in diesem Aufgabebereich.
Weiterhin hat der IT-Sicherheitsbeauftragte die Aufgaben, die aufgestellten Richtlinien und Analysen zu überwachen. Auf diese Weise erfolgt eine ständige Kontrolle, ob die Mitarbeiter die Regeln befolgen und ob diese noch zeitgemäß sind. Erkennt der IT-Sicherheitsbeauftragte hier Schwachstellen, die die IT Security bedrohen, leitet er selbstständig korrigierende Maßnahmen ein.
Zu den wichtigen Aufgaben des IT-Sicherheitsbeauftragten gehört es weiterhin, Schulungen für Mitarbeiter zu organisieren und durchzuführen. Hier liegt der Fokus auf Sicherheitsthemen. Diese Schulungen thematisieren die IT-Sicherheit und das konkrete Verhalten. Dies beinhaltet beispielsweise die Sensibilisierung auf Cybergefahren wie Phishing oder Social Engineering. Ebenfalls erhalten Mitarbeiter im Rahmen dieser Schulungen Leitlinien zum Umgang mit digitalen Daten und Systemen, um so hohe Sicherheitsstands umzusetzen. Dies betrifft beispielsweise die Art und Weise, auf welchen Datenträgern die Mitarbeiter Daten speichern oder welche Informationen sie per E-Mail verschicken dürfen.
Darüber hinaus ist der IT-Sicherheitsbeauftragte auch ein zentraler Ansprechpartner. Besonders für die Mitarbeiter innerhalb einer Organisation fungiert er als Berater sowie Kontaktperson bei Fragen rund um das Thema IT-Sicherheit. Hier beantwortet der Sicherheitsbeauftragte Fragen zum Datenschutz oder zur Umsetzung von Unternehmensrichtlinien, die die IT-Sicherheit betreffen. Ebenfalls ist der IT-Sicherheitsbeauftragte die Kontaktperson für das Management und die Unternehmensleitung. In dieser Funktion informiert er die Firmenleitung über den Stand der IT Security und die langfristige Ausrichtung.
Somit hat der IT-Sicherheitsbeauftragte auch den Job, die Firmenleitung über den Stand der Sicherheit im Unternehmen zu beraten. Dies umfasst vor allem zwei Punkte. Zum einen informiert er das Management über etwaige Verstöße der DSGVO und ähnliche Vorfälle, die die IT Security des Unternehmens beeinträchtigen. Zum anderen berät er das Management auch über die mittel- und langfristige Ausrichtung im Bereich der Sicherheitslösungen. Diese Empfehlungen fließen in die strategische Planung des Unternehmens mit ein und beeinflussen auch das Budget für die IT.
Der Job des IT-Sicherheitsbeauftragten beginnt mit einer Analyse. Diese Bestandsaufnahme kartografiert den Ist-Zustand.
Die Position im Unternehmen – diese Befugnisse und Rechte hat ein IT-Sicherheitsbeauftragter
Der IT-Sicherheitsbeauftragte untersteht direkt der Geschäftsleitung und hat somit eine Position, die ihn vom Rest der IT-Abteilung trennt. Durch diese Stellung agiert er weitestgehend selbstständig. Dies ist so gewollt und auch wichtig, damit ein IT-Sicherheitsbeauftragter seine Aufgaben bestmöglich erfüllen kann. Er ist gleichzeitig für die Beratung und die Kontrolle zuständig. Dafür ist ein hohes Level an Unabhängigkeit notwendig. Der Sicherheitsbeauftragte muss Entscheidungen schnell und eigenständig treffen, um die IT-Sicherheit im Unternehmen zu gewährleisten. Dies betrifft beispielsweise Anwendungen, die das Unternehmen einsetzt. Der Sicherheitsbeauftragte hat hier die Befugnis, eine bestimmte Anwendung auf die Blacklist zu setzen, wenn er der Meinung ist, dass von der Nutzung eine Gefahr für die IT Security ausgeht.
Ein Sicherheitsbeauftragter benötigt deshalb Zugriff auf alle IT-Systeme und Daten, die im Unternehmen vorhanden sind. Nur so ist es möglich, alle Schwachstellen zu finden, die notwendigen Richtlinien festzulegen und komplette Analysen der Unternehmenssicherheit vorzunehmen. Gleiches gilt für den physikalischen Zugang zu allen Bereichen des Unternehmens, besonders jene, in denen digitale Systeme vorhanden sind.
Ebenfalls ist der Sicherheitsbeauftragte weisungsberechtigt gegenüber Systemadministratoren, IT-Beauftragten und anderen Mitarbeitern der IT-Abteilung. Dies ist die Voraussetzung, um die Richtlinien für die IT Security unternehmensweit zu etablieren. Auf diesem Weg gibt der Sicherheitsbeauftragte Standards und Verhaltensregeln im Umgang mit digitalen Systemen vor, beispielsweise für den Einsatz der Datenverschlüsselung, was Technik, Umfang und praktische Umsetzung betreffen.
Der Sicherheitsbeauftragte arbeitet außerdem eng mit dem Management des Unternehmens zusammen. Er nimmt an Meetings und strategischen Planungen teil und berät die Geschäftsführung zu Themen der IT Security. Dies beinhaltet Berichte über den aktuellen Stand der Sicherheit in der IT sowie strategische Empfehlungen für die Zukunft. Auf diese Weise ist eine Weiterentwicklung der IT-Strategie möglich.
Die Unterschiede zwischen einem IT-Sicherheitsbeauftragten, Datenschutzbeauftragten und IT-Mitarbeitern
Es herrscht immer wieder Verwirrung zwischen den Aufgabenbereichen einzelner Berufsfelder beziehungsweise darüber, was den Sicherheitsbeauftragten einzigartig macht. Gerade mit dem Datenschutzbeauftragten wird der Sicherheitsbeauftragte gerne gleichgesetzt. Es gibt jedoch klare Unterschiede zwischen Datenschutzbeauftragten, IT Security Mitarbeitern und IT-Sicherheitsbeauftragten sowie den Aufgaben der einzelnen Personen.
Der Datenschutzbeauftragte ist so ausschließlich für die den Schutz personenbezogener Daten zuständig. Diese Position ist in sehr vielen Unternehmen seit der Einführung der DSGVO vorgeschrieben. Auch deshalb sind Unternehmen der Überzeugung, sie tun bereits ausreichend für die IT Security, wenn diese Position besetzt ist. Der Sicherheitsbeauftragte ist jedoch für die gesamte IT Security in der Organisation zuständig. Somit hat der IT-Sicherheitsbeauftragter einen Job mit einem deutlich größeren Aufgabenbereich. In diesem Punkt kann es tatsächlich zu Überschneidungen der Aufgabenbereiche kommen. Dennoch ersetzt der Datenschutzbeauftragte keinesfalls einen IT-Sicherheitsbeauftragten und seinen Job.
Bei IT-Mitarbeitern, die mit der Sicherheit beauftragt sind, ist die Situation noch eindeutiger. Diese übernehmen im Vergleich zum Sicherheitsbeauftragten passive und rein operative Aufgaben. In einem Unternehmen mit einem Sicherheitsbeauftragten haben diese Mitarbeiter präzise Richtlinien, die ihnen beispielsweise vorgeben, welche Software zum Einsatz kommt oder wie die Firewall zu konfigurieren ist. Diese Richtlinien erstellt wiederum der Sicherheitsbeauftragte. Dies zeigt klar die Abgrenzung zwischen den Aufgabenbereichen dieser beiden Berufsgruppen.