IT-Sicherheitsbeauftragter STRATEGISCHER BERATER

I. IT-Grundschutzhandbuch 1999

Das Bundesamt für Sicherheit in der Informationstechnik hat bereits im Jahr 1999 ein IT-Grundschutzhandbuch mit Handlungsempfehlungen herausgegeben, in welchem von der Existenz des sogenannten IT-Sicherheitsbeauftragten ausgegangen wird. Dieser soll bei jeder Stelle ernannt werden, die für ihre Aufgabenerledigung Informationstechnik einsetzt und die Unternehmensleitung bei der Wahrnehmung ihrer Aufgaben bezüglich der IT-Sicherheit beraten und unterstützen. Die Aufgabenbeschreibung des IT-Sicherheitsbeauftragten sah Stand 1999 folgendermaßen aus:

Der IT-Sicherheitsbeauftragte:

  • bereitet die Auffassung der Unternehmensleitung über Stellenwert der IT, anzustrebendes IT-Sicherheitsniveau und die unternehmensweiten IT-Sicherheitsziele vor, formuliert sie aus und führt eine Entscheidung herbei
  • berichtet der Unternehmensleitung über den Status Quo zur IT-Sicherheit
  • berät die Unternehmensleitung zu Fragen der IT-Sicherheit
  • entwickelt und formuliert die IT-Sicherheitsleitlinie und holt danach die Zustimmung der Unternehmensleitung ein
  • gibt die abgestimmte IT-Sicherheitsleitlinie allen betroffenen Mitarbeitern des Unternehmens bekannt
  • erlässt Richtlinien und Regelungen, auf welche Weise IT-Sicherheit im Unternehmen erreicht werden soll
  • unterstützt die Anwendung des IT-Grundschutzes und die Durchführung von Risikoanalysen zur Erstellung des IT-Sicherheitskonzeptes
  • koordiniert die IT-Sicherheitsziele mit den Unternehmenszielen zum IT-Einsatz und stimmt sie mit den IT-Strategien der einzelnen Unternehmensbereiche ab
  • legt die Aufgaben für IT-Sicherheit für den nachgeordneten Bereich fest
  • überprüft die erstellten IT-Sicherheitskonzepte auf Korrektheit und Nachvollziehbarkeit
  • bereitet die Unternehmensentscheidung über zu treffende, kostenträchtige IT-Sicherheitsmaßnahmen vor und führt eine Entscheidung herbei
  • verwaltet die für IT-Sicherheit zur Verfügung stehenden Ressourcen an Geld und Arbeitszeit
  • kontrolliert den Fortschritt der Realisierung von IT-Sicherheitsmaßnahmen
  • koordiniert Kontrollen der Effektivität von IT-Sicherheitsmaßnahmen im laufenden Betrieb
  • koordiniert Sensibilisierungs- und Schulungsmaßnahmen zum Thema IT-Sicherheit

Die Aufgaben des IT-Sicherheitsbeauftragten ähneln auf den ersten Blick denen des Datenschutzbeauftragten und beinhalten insbesondere die Prüfung und Beurteilung von Sachverhalten, Kontrollen und die Beratung im Hinblick auf IT-sicherheitsrelevante Fragestellungen. Es gibt jedoch keine dem Bundesdatenschutzgesetz vergleichbaren Vorschriften, welche die Stellung des IT-Sicherheitsbeauftragten und dessen Aufgaben regeln. In der Gestaltung der Stellenbeschreibung und der Festlegung der Aufgaben besteht daher ein großer Spielraum. Insbesondere können dem IT-Sicherheitsbeauftragten weitergehende Pflichten als dem Datenschutzbeauftragten übertragen werden, was eine größere Verantwortung und damit auch Haftung zur Folge hat.

II. IT-Grundschutzkataloge Stand 2016

Die IT-Grundschutzkataloge des Bundesministeriums für Sicherheit in der Informationstechnik beinhalten organisatorische, technische und personelle und infrastrukturelle Empfehlungen zur Verbesserung der IT-Sicherheit in Unternehmen. Mit steigender Komplexität der Systeme müssen auch vorhandene Sicherheitsmechanismen angepasst und neue Bereiche eingebunden werden, daher werden stetig neue Bausteine entwickelt und veröffentlicht.

Der IT-Sicherheitsbeauftragte taucht in den IT-Grundschutzkatalogen auf und wird als personeller Baustein quasi vorausgesetzt. Im Rahmen der Rollenbeschreibung einzelner Personen findet sich die folgende Definition:

Ein IT-Sicherheitsbeauftragter ist eine von der Behörden- bzw. Unternehmensleitung ernannte Person, die im Auftrag der Leitungsebene die Aufgabe Informationssicherheit koordiniert und innerhalb der Behörde bzw. des Unternehmens vorantreibt.

Der Abschnitt Glossar und Begriffsdefinitionen gibt detailliertere Auskunft darüber, was das Bundesministerium für Sicherheit in der Informationstechnik unter dem Begriff des IT-Sicherheitsbeauftragten versteht:

Person mit eigener Fachkompetenz zur Informationssicherheit in einer Stabsstelle eines Unternehmens oder einer Behörde, der für alle Aspekte rund um die Informationssicherheit, Mitwirkung im Sicherheitsprozess und IS-Management-Team zuständig ist, die Leitlinie zur Informationssicherheit, das Sicherheitskonzept und andere Konzepte z.B. für Notfallvorsorge koordinierend erstellt und deren Umsetzung plant und überprüft. Die Rolle des Verantwortlichen für Informationssicherheit wird je nach Art und Ausrichtung der Institution anders genannt. Häufige Titel sind IT-Sicherheitsbeauftragter oder kurz IT-SiBe, Chief Security Officer (CSO), Chief Information Security Officer (CISO) oder Information Security Manager. Mit dem Titel „Sicherheitsbeauftragter“ werden dagegen häufig die Personen bezeichnet, die für Arbeitsschutz, Betriebssicherheit oder Werkschutz zuständig sind.

Auch die aktuellen Handlungsempfehlungen gehen also davon aus, dass es den IT-Sicherheitsbeauftragten gibt. Eine gesetzliche Grundlage oder eine Vorschrift, die eine Ernennung vorschreibt, gibt es jedoch nicht. Jedes Unternehmen ist selbst dafür verantwortlich, bei Bedarf einen IT-Sicherheitsbeauftragten zu ernennen.

III. IT-Sicherheitsgesetz und Verordnungen

Vor allem nach Inkrafttreten des IT-Sicherheitsgesetzes und der dazugehörigen Verordnungen ist das Amt des IT-Sicherheitsbeauftragten weiter in den Fokus gerückt. Betreiber sogenannter Kritischer Infrastrukturen sind nach den neuen gesetzlichen Anforderungen verpflichtet, eine Kontaktstelle zu benennen, IT-Störungen zu melden, den Stand der Technik umzusetzen und dies alle 2 Jahre gegenüber dem Bundesamt für Sicherheit in der Informationstechnik nachzuweisen.

Welche Unternehmen aus dem Bereich der Kritischen Infrastrukturen genau von den im IT-Sicherheitsgesetz beschlossenen Regelungen betroffen sind, wird durch die Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung) festgelegt (§ 10 BSI-Gesetz). Das zuständige Bundesministerium des Innern hat die Rechtsverordnung bereits veröffentlicht. Sie umfasst die KRITIS-Sektoren Energie, Informationstechnik und Telekommunikation, Ernährung und Wasser und regelt, welche Unternehmen aus diesen Sektoren unter das IT-Sicherheitsgesetz fallen.

Gerade für diese Unternehmen ist die Ernennung eines IT-Sicherheitsbeauftragten sinnvoll, um die neuen Pflichten im Blick zu behalten und die gesetzlichen Anforderungen umzusetzen. Idealerweise arbeiten der Datenschutzbeauftragte und der IT-Sicherheitsbeauftragte Hand in Hand.

Beratung anfordern

Wir beraten Sie gerne - persönlich und individuell

+49 (0)6232 100119-44