DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Was sind die Auf­gaben eines IT-Sicher­heits­be­auf­tragter und wer braucht diesen?

IT-Sicher­heits­­be­auf­­tragter – Must have oder nice to have?

Nach der DSGVO und auch nach dem BDSG waren Unter­nehmen in gewissen Grenzen ver­pflichtet, einen Daten­schutz­be­auf­tragter zu stellen. Doch wie sieht dies bei einem IT-Sicher­heits­­be­auf­­tragten aus? Wer braucht einen und was sind dessen Auf­gaben?

Gesetz­liche Grundlage für einen IT-Sicher­heits­­be­auf­­tragten?

Eine gesetz­liche Pflicht, die jedes Unter­nehmen dazu ver­pflichtet, einen IT-Sicher­heits­­be­auf­­tragten im Unter­nehmen zu haben – in Ana­logie zum Daten­schutz­be­auf­tragten – exis­tiert nicht. Vielmehr gibt es ein­zelne Regu­larien für bestimmte Branchen, die eine solche Pflicht sehen:

  • Das IT-Sicher­heits­­gesetz hat zum Ziel, die Sicherheit zum einen der infor­ma­ti­ons­tech­ni­schen Systeme und zum anderen der digi­talen Infra­struk­turen in Deutschland zu erhöhen. Die dort ent­hal­tenen Vor­gaben ver­ändern und ergänzen dabei andere Gesetze. Unter­nehmen – welche dem Ener­gie­wirt­schafts­gesetz unter­liegen – müssen gemäß den gesetz­lichen Vor­gaben ein Infor­­ma­­ti­on­s­­si­cher­heits-Mana­ge­­men­t­­system (ISMS) nach ISO 27001 imple­men­tieren. Und genau daraus geht die For­derung und damit quasi die Pflicht nach einem IT-Sicher­heits­­be­auf­­tragten hervor.
  • Im Ban­ken­be­reich gelten die MaRisk (Min­dest­an­for­de­rungen an das Risi­ko­ma­nagement der Banken) und seit November 2018 auch die BAIT (Ban­ken­auf­sich­tiche Anfor­de­rungen an die IT). In den BAIT wird ein­deutig gefordert, dass jedes Institut die Funktion eines IT-Sicher­heits­­be­auf­­tragten ein­zu­richten hat.

Auf­gaben eines IT-Sicher­heits­­be­auf­­tragten

Die Aufgabe eines IT-Sicher­heits­­be­auf­­tragten ist klar umrissen: Er berät und unter­stützt die Unter­neh­mens­leitung bei der Wahr­nehmung ihrer Aufgabe bezüglich der IT-Sicherheit. Er soll vor allem das Scha­dens­risiko innerhalb der IT durch das Treffen ent­spre­chender Vor­keh­rungen im Unter­nehmen senken. Wie ein IT-Sicher­heits­­be­auf­­tragter dies konkret umsetzen kann, dazu hat das BSI eine ent­spre­chende Auf­ga­ben­liste (Quelle: www.bsi.de) zusam­men­ge­stellt, die hier kurz wie­der­ge­geben wird:

  • Er bereitet die Auf­fassung der Unter­neh­mens­leitung über Stel­lenwert der IT, anzu­stre­bendes IT-Sicher­heits­­­niveau und die unter­neh­mens­weiten IT-Sicher­heits­­ziele vor, for­mu­liert sie aus und führt eine Ent­scheidung herbei.
  • Er berichtet der Unter­neh­mens­leitung zum aktu­ellen Stand zur IT-Sicherheit.
  • Er berät die Unter­neh­mens­leitung zu Fragen der IT-Sicherheit.
  • Er ent­wi­ckelt und for­mu­liert die IT-Sicher­heits­­­leit­­linie und holt die Zustimmung der Unter­neh­mens­leitung ein. Danach wird diese Leit­linie allen Mit­ar­beitern bekannt­ge­geben.
  • Er erlässt Richt­linien und Rege­lungen, auf welche Weise IT-Sicherheit im Unter­nehmen erreicht werden soll.
  • Er führt Risi­ko­ana­lysen zur Erstellung von IT-Sicher­heits­­­kon­zepten durch.
  • Er über­prüft die erstellten IT-Sicher­heits­­­kon­zepte auf Kor­rektheit und Nach­voll­zieh­barkeit.
  • Er bereitet die Unter­neh­mens­ent­scheidung über zu tref­fende, kos­ten­träch­tigte IT-Sicher­heits­­­ma­ß­­nahmen vor und führt eine Ent­scheidung herbei.
  • Er kon­trol­liert den Fort­schritt der Rea­li­sierung von IT-Sicher­heits­­­ma­ß­­nahmen.
  • Er koor­di­niert Kon­trollen der Effek­ti­vität von IT-Sicher­heits­­­ma­ß­­nahmen im lau­fenden Betrieb.
  • Er koor­di­niert Sen­­si­­bi­­li­­sie­­rungs- und Schu­lungs­maß­nahmen zum Thema „IT-Sicherheit”.

Fazit

Direkte gesetz­liche For­de­rungen nach einem IT-Sicher­heits­­be­auf­­tragten gibt es nur indirekt und wenn, dann eher für spe­zielle Branchen oder Bereiche.

Kleine und mit­tel­stän­dische Unter­nehmen sollten dies aber nicht als Frei­brief sehen keinen IT-Sicher­heits­­be­auf­­tragten zu benennen. Denn: IT-Sicherheit ist ein wesent­licher Bau­stein für die Wirt­schaft­lichkeit und Zukunfts­fä­higkeit eines Unter­nehmens, denn er kann dazu bei­tragen, Unter­nehmen vor Risiken zu schützen die aus der IT resul­tieren und damit letzt­endlich auch eine per­sön­liche Haftung im Scha­denfall zu ver­hindern. Es muss ja auch nicht immer eine Voll­zeit­stelle sein. In einem ersten Schritt kann es sinnvoll sein einen erfah­renen Mit­ar­beiter mit dieser Aufgabe zu betrauen oder einen externen IT-Sicher­heits­­be­auf­­tragten zu beauf­tragen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dr. Thomas Lohre, DATEV eG

Seit 2003 bei der DATEV eG tätig. Zuerst als IT-Revisor, beschäftigt er sich nunmehr schwer­punkt­mäßig mit dem Infor­ma­ti­ons­si­cher­heits- und Not­fall­ma­nagement der DATEV eG. Daneben ist er noch als Referent für die ibs Schreiber GmbH zu unter­schied­lichen Themen tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.