IT-Sicherheitsbeauftragter

Anders als für den Datenschutzbeauftragten gibt es für den IT-Sicherheitsbeauftragten keine umfassende Aufgabenbeschreibung und auch keine zwingenden Anforderungen zu seiner Ernennung. Die Erfahrung zeigt jedoch, dass zur Umsetzung der genannten gesetzlichen Anforderungen an die IT-Sicherheit die Einrichtung einer zentralen Stabsstelle für IT-Sicherheit der beste Ansatz ist. Der IT-Sicherheitsbeauftragte ist die zentrale Koordinationsstelle eines Unternehmens für die eigene Informationssicherheit. Ihm kommt eine große Bedeutung bei der Erfüllung der gesetzlichen Anforderung zu. Er berät die Unternehmensleitung bei der Gestaltung der IT-Sicherheit und unterstützt sie bei der Umsetzung und Pflege der zugehörigen Geschäftsprozesse.

Daher sollte jedes Unternehmen einen IT-Sicherheitsbeauftragten benennen. Ob diese Rolle durch eine einzelne Person in Voll- oder Teilzeit wahrgenommen wird und wie der IT-Sicherheitsbeauftragte in die Unternehmensstruktur eingebunden wird, ist von der Größe des Unternehmens, den vorhandenen Ressourcen und dem erforderlichen Sicherheitsniveau abhängig.

Zu den Aufgaben eines IT-Sicherheitsbeauftragten gehören neben dem Aufbau eines Informationssicherheits-Managementsystems (ISMS) und dem Erstellen bzw. Aktualisieren eines IT-Sicherheits- und Notfallkonzepts regelmäßige Penetrationstests zur Prüfung der Netzwerk- und Systemsicherheit sowie Überprüfungen von Sicherheitskonfigurationen. Regelmäßige Koordinierungs- und Abstimmungsgespräche mit den jeweiligen Systemspezialisten runden das Aufgabenspektrum des IT-Sicherheitsbeauftragten ab.

IT-Sicherheitsbeauftragte können ferner die im Jahr 2009 neu in das Datenschutzrecht eingeführten Pflichten wahrnehmen: Das Bundesdatenschutzgesetz (BDSG) enthält seit 2009 eine Kontrollpflicht für Unternehmen, die externe Dienstleister zur Datenverarbeitung einsetzen. Der Auftraggeber muss sich nun zunächst vor Auftragserteilung und dann anschließend in regelmäßigen Abständen von der Einhaltung der technisch-organisatorischen Sicherheitsmaßnahmen beim Auftragnehmer überzeugen und diese Audits entsprechend dokumentieren. Diese Gesetzesänderung ist zum 01.09.2009 in Kraft getreten und bewirkt, dass Unternehmen, die im Auftrag eines Kunden die Daten verarbeiten, nun regelmäßig Auskunft über die umgesetzten technisch-organisatorischen Sicherheitsmaßnahmen geben müssen.

Diese Kontrollen der Auftragnehmer sollte der IT-Sicherheitsbeauftragte für den Auftraggeber durchführen. Aufgrund seiner Sachkunde ist er für die Bewertung von getroffenen IT-Sicherheitsmaßnahmen qualifiziert.

Bei Unternehmen, die als Dienstleister mit der Durchführung der Auftragsdatenverarbeitung beauftragt wurden, ist der IT-Sicherheitsbeauftragte der zentrale Ansprechpartner bei Kontrollen bzw. Audits durch die Auftraggeber. Er ist zur Beantwortung der Kundenfragen qualifiziert und stellt gleichzeitig sicher, dass im Unternehmen die notwendigen Maßnahmen zur Sicherung der Auftragsdatenverarbeitung umgesetzt worden sind.

Wie auch beim Datenschutzbeauftragten kann die Rolle des IT-Sicherheitsbeauftragten durch einen externen Dienstleister wahrgenommen werden, der regelmäßig in beratender Funktion tätig ist und über keine direkte Entscheidungskompetenz verfügt. In der Regel wird dabei sichergestellt, dass der externe IT-Sicherheitsbeauftragte über einen direkten Kontakt zu entsprechend befugten Mitarbeitern verfügt und unmittelbar der Geschäftsführung berichtet. Damit ist sichergestellt, dass auch der externe IT-Sicherheitsbeauftragte die notwendigen Einflussmöglichkeiten hat, um die IT-Sicherheit im Unternehmen zu verbessern.

Die Bestellung eines externen IT-Sicherheitsbeauftragten bietet nicht nur den Vorteil, auf die Sachkunde eines externen Spezialisten zugreifen zu können. Durch die Einbindung eines Dienstleisters kann auch ein möglicher Interessenkonflikt vermieden werden, wenn die Rolle des IT-Sicherheitsbeauftragten z.B. durch den IT-Leiter oder der Datenschutzbeauftragten wahrgenommen werden soll.

• Aufbau und Pflege eines Informationssicherheits-Managementsystems;
• Darstellung des Stellenwertes der Informationstechnik, des anzustrebenden IT-Sicherheitsniveaus und der Sicherheitsziele als Entscheidungsgrundlage für die Geschäftsführung;
• Entwurf einer Security Policy;
• Berichte über den Stand der IT-Sicherheit an die Geschäftsführung;
• Entwurf von Regelungen zur Verbesserung der IT-Sicherheit;
• Unterstützung bei der Auswahl und Umsetzung von Sicherheitsmaßnahmen;
• Regelmäßige interne Audits; technisch-organisatorischer Sicherheitsmaßnahmen; Auswertung von Logfiles;
• Anlassbezogene Analysen und Penetrationstests;
• Begleitung aktueller IT-Projekte;
• Schulungen der Mitarbeiter;
• Untersuchung von evtl. aufgetretenen sicherheitsrelevanten Ereignissen.