IT-Sicherheitsbeauftragte

bsi.de

Definition nach BSI

IT-Sicherheitsbeauftragte

Informationssicherheit wird häufig vernachlässigt, so dass es hinter dem Tagesgeschäft zurücksteckt. Dadurch besteht bei unklarer Aufteilung der Zuständigkeiten die Gefahr, dass Informationssicherheit grundsätzlich zu einem “Problem anderer Leute” wird. Damit wird die Verantwortung für Informationssicherheit so lange hin und her geschoben, bis keiner sie mehr zu haben glaubt. Um dies zu vermeiden, sollte ein Haupt-Ansprechpartner für alle Aspekte rund um Informationssicherheit, ein IT-Sicherheitsbeauftragter, ernannt werden, der die Aufgabe “Informationssicherheit” koordiniert und innerhalb der Institution vorantreibt. Ob es neben diesem weitere Personen mit Sicherheitsaufgaben gibt und wie die Informationssicherheit organisiert ist, hängt von der Art und Größe der Institution ab.

Die Rolle des Verantwortlichen für Informationssicherheit wird je nach Art und Ausrichtung der Institution anders genannt. Häufige Titel sind IT-Sicherheitsbeauftragter oder kurz IT-SiBe, Chief Security Officer (CSO), Chief Information Security Officer (CISO) oder Information Security Manager. Mit dem Titel “Sicherheitsbeauftragter” werden dagegen häufig die Personen bezeichnet, die für Arbeitsschutz, Betriebssicherheit oder Werkschutz zuständig sind.

Um einen Sicherheitsprozesses erfolgreich planen, umsetzen und aufrechterhalten zu können, müssen die Verantwortlichkeiten klar definiert werden. Es müssen also Rollen definiert sein, die die verschiedenen Aufgaben für die Erreichung der Informationssicherheitsziele wahrnehmen müssen. Außerdem müssen Personen benannt sein, die qualifiziert sind und denen ausreichend Ressourcen zur Verfügung stehen, um diese Rollen auszufüllen.

Zuständigkeiten und Aufgaben

Der IT-Sicherheitsbeauftragte ist zuständig für die Wahrnehmung aller Belange der Informationssicherheit innerhalb der Institution. Die Hauptaufgabe des IT-Sicherheitsbeauftragten besteht darin, die Behörden- bzw. Unternehmensleitung bei deren Aufgabenwahrnehmung bezüglich der Informationssicherheit zu beraten und diese bei der Umsetzung zu unterstützen. Seine Aufgaben umfassen unter anderen:

  • den Informationssicherheitsprozess zu steuern und bei allen damit zusammenhängenden Aufgaben mitzuwirken,
  • die Leitungsebene bei der Erstellung der Leitlinie zur Informationssicherheit zu unterstützen,
  • die Erstellung des Sicherheitskonzepts, des Notfallvorsorgekonzepts und anderer Teilkonzepte und System-Sicherheitsrichtlinien zu koordinieren sowie weitere Richtlinien und Regelungen zur Informationssicherheit zu erlassen,
  • die Realisierung von Sicherheitsmaßnahmen zu initiieren und zu überprüfen,
  • der Leitungsebene und dem IS-Management-Team über den Status quo der Informationssicherheit zu berichten,
  • sicherheitsrelevante Projekte zu koordinieren,
  • Sicherheitsvorfälle zu untersuchen und
  • Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit zu initiieren und koordinieren.

Der IT-Sicherheitsbeauftragte ist außerdem bei allen größeren Projekten, die deutliche Auswirkungen auf die Informationsverarbeitung haben, sowie bei der Einführung neuer Anwendungen und IT-Systeme zu beteiligen, um die Beachtung von Sicherheitsaspekten in den verschiedenen Projektphasen zu gewährleisten.

Anforderungsprofil

Zur Erfüllung dieser Aufgaben ist es wünschenswert, dass der IT-Sicherheitsbeauftragte über Wissen und Erfahrung in den Gebieten Informationssicherheit und IT verfügt. Da diese Aufgabe eine Vielzahl von Fähigkeiten erfordert, sollte bei der Auswahl außerdem darauf geachtet werden, dass die folgenden Qualifikationen vorhanden sind:

  • Identifikation mit den Zielsetzungen der Informationssicherheit, Überblick über Aufgaben und Ziele der Institution
  • Kooperations- und Teamfähigkeit, aber auch Durchsetzungsvermögen (Kaum eine Aufgabe erfordert so viel Fähigkeit und Geschick im Umgang mit anderen Personen: Die Leitungsebene muss in zentralen Fragen des Sicherheitsprozesses immer wieder eingebunden werden. Entscheidungen müssen eingefordert werden und die Mitarbeiter müssen, eventuell mit Hilfe des Bereichs-IT-Sicherheitsbeauftragten, in den Sicherheitsprozess mit eingebunden werden.)
  • Erfahrungen im Projektmanagement, idealerweise im Bereich der Systemanalyse und Kenntnisse über Methoden zur Risikobewertung

Ein IT-Sicherheitsbeauftragter muss außerdem die Bereitschaft mitbringen, sich in neue Gebiete einzuarbeiten und Entwicklungen in der IT zu verfolgen. Er sollte sich so aus- und fortbilden, dass er die erforderlichen Fachkenntnisse für die Erledigung seiner Aufgaben besitzt.

Kooperation und Kommunikation

Die Zusammenarbeit mit den Mitarbeitern ebenso wie mit Externen verlangt viel Geschick, da diese zunächst von der Notwendigkeit der (für sie manchmal etwas lästigen) Sicherheitsmaßnahmen überzeugt werden müssen. Ein ebenfalls sehr sensibles Thema ist die Befragung der Mitarbeiter nach sicherheitskritischen Vorkommnissen und Schwachstellen. Um den Erfolg dieser Befragungen zu garantieren, müssen die Mitarbeiter davon überzeugt werden, dass ehrliche Antworten nicht zu Problemen für sie selbst führen.

Die Kommunikationsfähigkeiten des IT-Sicherheitsbeauftragten sind nicht nur gegenüber den Mitarbeiter gefordert. Genauso wichtig ist es, dass der IT-Sicherheitsbeauftragte in der Lage ist, seine fachliche Meinung gegenüber der Behörden- oder Unternehmensleitung zu vertreten. Er muss so selbstbewusst und kommunikationsfähig sein, um gelegentlich auch Einspruch gegen eine Entscheidung einzulegen, die mit dem Ziel eines sicheren IT-Betriebs nicht vereinbar ist.

Unabhängigkeit

Es ist empfehlenswert, die Position des IT-Sicherheitsbeauftragten organisatorisch als Stabsstelle einzurichten, also als eine direkt der Leitungsebene zugeordnete Position, die von keinen anderen Stellen Weisungen bekommt. Es ist z. B. problematisch, wenn ein “aktiver” Administrator sie zusätzlich zu seinen normalen Aufgaben wahrnimmt, da es mit hoher Wahrscheinlichkeit zu Interessenskonflikten kommen wird. Die Personalunion kann dazu führen, dass er als IT-Sicherheitsbeauftragter Einspruch gegen Entscheidungen einlegen müsste, die ihm sein Leben als Administrator wesentlich erleichtern würden oder die gar von seinem Fachvorgesetzten stark favorisiert werden. In jedem Fall muss der IT-Sicherheitsbeauftragte das direkte und jederzeitige Vorspracherecht bei der Behörden- bzw. Unternehmensleitung haben, um diese über Sicherheitsvorfälle, -risiken und –maßnahmen informieren zu können. Er muss aber auch über das Geschehen in der Institution, soweit es einen Bezug zu seiner Tätigkeit hat, umfassend und frühzeitig unterrichtet werden.

Es darf nicht vergessen werden, dass auch der IT-Sicherheitsbeauftragte einen qualifizierten Vertreter benötigt.

Quelle: BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise S. 26 ff

BSI IT-Grundschutz-Schulung
Informationssicherheit