Ein IT-Sicherheitsbeauftragter wird für Firmen immer wichtiger

Ob Konzern oder kleine und mittlere Unternehmen (KMU): Es ist empfehlenswert, dass ein Informationssicherheitsbeauftragter (ISiB) sich um alle Belange der IT-Sicherheit kümmert. Als von der Geschäftsleitung beauftragter Berater hat diese Person die Einhaltung aller notwendigen Informationssicherheitsvorgaben im Unternehmen zu überwachen. Ein fachkundig geschulter IT-Sicherheitsbeauftragter sollte daher umfassende Weisungsfreiheit zur Anwendung seines Know-hows erhalten und bei Erfüllung seiner Aufgaben von allen Beteiligten ausreichend unterstützt werden.

Der ISiB, auch CISO genannt, nimmt insbesondere im Rahmen des Aufbaus eines Informationssicherheits-Managementsystems (ISMS) eine zentrale Rolle ein und sollte nicht nur fachlich, sondern auch methodisch und in Hinblick auf seine sozialen Fähigkeiten ausreichend dazu befähigt sein. Dies hat zur Folge, dass in vielen Unternehmen ein durch Outsourcing ausgelagerter Informationssicherheitsbeauftragter zum Zuge kommt oder zumindest ein externer Berater im Sinne eines Coaches, welcher diesen unterstützt – durch Übernahme zeitlicher Kapazitäten (temporär in Projekten oder dauerhaft im laufenden Betrieb), das Einbringen von umfassender Expertise oder als "Counterpart" mit externer Perspektive, um gemeinsam möglichst zielführende Lösungen zu finden. Für alle diese Rollen sind die Fachleute der UIMC perfekt geeignet.

Ein IT-Sicherheitsbeauftragter aus den eigenen Reihen hat es häufig schwerer

Es ist ein offenes Geheimnis, dass ein Externer in der Regel unvoreingenommener an Fragestellungen herangehen und notwendige Maßnahmen vorantreiben kann. Dies ist ihm sowohl als externer Informationssicherheitsbeauftragter als auch als Berater im Rahmen eines Coachings möglich. Auch gelingt es einem Externen meistens besser, proaktiv Themen einbringen, die beispielsweise schon bei anderen Unternehmen aufgekommen und dort im optimalen Fall bereits gelöst wurden.

Ist ein Informationssicherheitsbeauftragter für meine Firma empfehlenswert?

Mit der immer stärker zunehmenden Abhängigkeit von der Informationsverarbeitung ist es notwendig, auch das IT-Sicherheitsmanagement umfassend in alle unternehmerischen Entscheidungen zu integrieren. Je nach Größe und Umfang der technischen Ausstattung der jeweiligen Institution ist der Aufwand hierfür ausgesprochen unterschiedlich, es besteht aber generell die Gefahr, dass viele Aspekte der Informationssicherheit im Tagesgeschäft "unterzugehen" drohen. Nur wenn eine Person explizit die Verantwortung zugewiesen bekommt, sich um alle Facetten der Informationssicherheit zu kümmern, kann daher gewährleistet werden, dass die IT tatsächlich ausreichend sicher betrieben wird. Nicht zuletzt wird diese Funktion in allen gängigen Informationssicherheits-Managementnormen postuliert und kann somit als State of the Art angesehen werden.

Mit welchen Fähigkeiten ist man als IT-Sicherheitsbeauftragter am besten geeignet?

Grundsätzlich sollte als Informationssicherheitsbeauftragter eine Person bestellt werden, die einerseits ausreichend technisches Verständnis hat, um die Informationsverarbeitungsprozesse im Unternehmen zu verstehen, die sich hieraus ergebenden Risiken einzuschätzen und zu beurteilen. Andererseits muss sie ein gewisses Maß an organisatorischen Fähigkeiten besitzt, um für die Institution passende Konzepte und Richtlinien erarbeiten zu können. Insbesondere für die letztgenannten Aufgaben muss ausreichend Zeit gegeben sein, in der keine ständige Auseinandersetzung mit dem Tagesgeschäft erfolgen sollte. Der ISiB sollte aber auch „Soft-Skills“ wie Durchsetzungsstärke, Fähigkeit zu Kompromissen und Risikoabschätzung, Einfühlungsvermögen oder Kommunikationsfähigkeiten mitbringen.

Durch wen kann ein interner IT-Sicherheitsbeauftragter unterstützt oder ersetzt werden?

Kann ein für IT-Belange zuständiger Sicherheitsbeauftragter – gerade in kleinen und mittleren Unternehmen (KMU) – mangels Fachpersonal oder aufgrund fehlender Zeitbudgets nicht intern bestellt werden, gibt es grundsätzlich zwei alternative Möglichkeiten:

Ist prinzipiell eine befähigte Person im Unternehmen vorhanden, die jedoch nicht in ausreichendem Maße für die Wahrnehmung komplexer Tätigkeiten freigestellt werden kann, so bietet es sich an, einzelne Aufgaben/Projekte an einen fachkundigen Berater outzusourcen. Namentlich Maßnahmen im Rahmen der Erarbeitung eines Informationssicherheits-Managementsystems können durch professionelle Beratung zur Informationssicherheit beherrscht werden, ohne interne Kapazitäten aufstocken zu müssen.
Doch häufig ist es in kleineren Firmen problematisch, überhaupt eine Person zu finden, die das notwendige Know-how-Profil besitzt. Denn insbesondere um die notwendige Unabhängigkeit zu gewährleisten, sollte ein IT-Sicherheitsbeauftragter nicht gleichzeitig eine verantwortliche Funktion im Bereich der Informationsverarbeitung wahrnehmen. Für diesen Fall bietet es sich an, diese Funktion in ihrer Gesamtheit durch eine externe Fachkraft durchführen zu lassen.

Mit beiden Formen der Unterstützung hat die UIMC langjährige und bewährte Erfahrung, sodass sie Ihnen beim Thema Informationssicherheit als Berater die maßgeschneiderte Hilfe anbieten kann, die ihre Institution benötigt. Gerne stehen wir für weitergehende Fragen zur Verfügung. Sprechen Sie uns an!

Brauche ich für mein Unternehmen einen IT-Sicherheitsbeauftragten?

Mit zunehmender Abhängigkeit von der Informationsverarbeitung ist es notwendig, die Informationssicherheit umfassend in alle unternehmerischen Entscheidungen zu integrieren. Je nach Größe und Umfang der Ausstattung der jeweiligen Institution mit Informationsverarbeitungstechnik ist der Aufwand hierfür deutlich unterschiedlich, es besteht aber generell die Gefahr, dass viele Aspekte der Informationssicherheit im Tagesgeschäft „untergehen“.

Nur wenn eine Person explizit die Verantwortung zugewiesen bekommt sich um alle Facetten der Informationssicherheit zu kümmern, kann gewährleistet werden, dass die IT tatsächlich ausreichend sicher betrieben wird. Nicht zuletzt wird diese Funktion in allen gängigen Informationssicherheits-Managementnormen postuliert und kann somit als State of the Art angesehen werden.

Wer kann die Aufgabe des IT-Sicherheitsbeauftragten übernehmen?

Grundsätzlich sollte der IT-Sicherheitsbeauftragte/Informationssicherheits-Beauftragte eine Person sein, die einerseits ausreichend technisches Verständnis hat, um die Informationsverarbeitungsprozesse im Unternehmen zu verstehen und die sich hieraus ergebenden Risiken einschätzen und beurteilen kann, und andererseits ein gewisses Maß an organisatorischen Fähigkeiten besitzt, um für die Institution passende Konzepte und Richtlinien erarbeiten zu können. Insbesondere für die letztgenannten Aufgaben, muss ausreichend Zeit gegeben sein, in der keine ständige Auseinandersetzung mit dem Tagesgeschäft erfolgen muss.

Welche Möglichkeit gibt es, wenn ich keine Person mit dem notwendigen Know-how oder ausreichend Zeit habe?

Grundsätzlich gibt es 2 Möglichkeiten, bei Mangel an Fachpersonen oder fehlenden zeitlichen Budgets sich unterstützen zu lassen:

Wenn prinzipiell eine Person im Unternehmen vorhanden ist, die diese Aufgabe wahrnehmen kann, diese aber nicht ausreichend für die Wahrnehmung komplexer Tätigkeiten freigestellt werden kann, so können einzelne Aufgaben/Projekte an einen fachkundigen Berater outgesourced werden. Insbesondere größere Projekte zum Beispiel im Rahmen der Erarbeitung eines Informationssicherheits-Managementsystems können so beherrscht werden, ohne interne Kapazitäten aufstocken zu müssen.
Gerade in kleinen und mittelständischen Unternehmen wird es häufig problematisch sein, eine Person zu finden, die das notwendige Know-how-Profil besitzt. Insbesondere um die notwendige Unabhängigkeit zu gewährleisten, sollte der IT-Sicherheitsbeauftragte nicht gleichzeitig eine verantwortliche Funktion im Bereich der Informationsverarbeitung wahrnehmen. Für diesen Fall bietet es sich an, diese Funktion in Gesamtheit durch eine externe Fachkraft durchführen zu lassen.

Mit beiden Formen der Unterstützung hat die UIMC langjährige und bewährte Erfahrung, sodass sie Ihnen die maßgeschneiderte Hilfe anbieten kann, die ihre Institution benötigt. Gerne stehen wir für weitergehende Fragen zur Verfügung. Sprechen Sie uns an!

Maßgeschneidertes Umsetzungskonzept (KMU, Konzern, Branche)

Name	Zweck	Ablauf	Typ	Anbieter
CookieConsent	Speichert Ihre Einwilligung zur Verwendung von Cookies.	1 Jahr	HTML	Website
fe_typo_user	Ordnet Ihren Browser einer Session auf dem Server zu. Dies beeinflusst nur die Inhalte, die Sie sehen und wird von uns nicht ausgewertet oder weiterverarbeitet.	Session	HTTP	Website

Name	Zweck	Ablauf	Typ	Anbieter
_pk_id	Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern.	13 Monate	HTML	Matomo
_pk_ses	Kurzzeitiges Cookie, um vorübergehende Daten des Besuchs zu speichern.	30 Minuten	HTML	Matomo

Ein IT-Sicherheitsbeauftragter wird für Firmen immer wichtiger

Ein IT-Sicherheitsbeauftragter aus den eigenen Reihen hat es häufig schwerer

Ist ein Informationssicherheitsbeauftragter für meine Firma empfehlenswert?

Mit welchen Fähigkeiten ist man als IT-Sicherheitsbeauftragter am besten geeignet?

Durch wen kann ein interner IT-Sicherheitsbeauftragter unterstützt oder ersetzt werden?

Brauche ich für mein Unternehmen einen IT-Sicherheitsbeauftragten?

Wer kann die Aufgabe des IT-Sicherheitsbeauftragten übernehmen?

Welche Möglichkeit gibt es, wenn ich keine Person mit dem notwendigen Know-how oder ausreichend Zeit habe?

Ihr Ansprechpartner

Dr. Jörn Voßbein

weitere Informationen

Aktuell