Verantwortlicher für den Bereich IT-Sicherheit

1. Gesetzliche Grundlagen

Anders als bei den Positionen des Datenschutzbeauftragten in bestimmten Fällen (vgl. Art. 37 ff. DS-GVO) und des Sicherheitsbeauftragten im Rahmen der gesetzlichen Unfallversicherung (vgl. § 22 SGB VII) existieren bislang – abgesehen von § 109 Abs. 4 TKG für den Telekommunikationsbereich – für den IT-Sicherheitsbeauftragten („ITSB“) keine allgemeinen gesetzlichen Vorgaben hinsichtlich der Einrichtung und der Ausgestaltung der Stelle.1Schmidl, in: Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28, Rn. 251. Weder die Datenschutzgrundverordnung, noch das Bundesdatenschutzgesetz sehen einen persönlich und explizit für die IT-Sicherheit Verantwortlichen vor. Allerdings ist dabei zu beachten, dass etwaige Schäden, die durch mangelnde IT-Sicherheit entstehen, zu erheblichen Haftungsrisiken für die Unternehmensleitung führen können. Davon betroffen sind in erster Linie die Gesellschafter und Aktionäre aber auch Geschäftsführer (vgl. § 43 Abs. 2 GmbHG), Vorstände (vgl. § 93 Abs. 2 AktG) und Aufsichtsräte (vgl. § 116 AktG).2Schmidl, in: Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28, Rn. 251. Die „übliche Sorgfalt“ bei der Unternehmensführung umfasst auch das Erkennen und Bekämpfen von IT-Risiken.  Gerade weil die Verletzung der üblichen Sorgfalt zur persönlichen Haftung der entsprechenden Führungskräfte führen kann, liegt die Einrichtung effektiver Sicherungsmaßnahmen, beispielsweise durch die Ernennung eines ITSB, im Sinne der Haftungsvermeidung auch in deren Interesse.3Schmidl, in: Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28, Rn. 251.

2. Zuständigkeiten und Aufgaben

Der IT-Sicherheitsbeauftragte ist zuständig für die Wahrnehmung aller Belange der Informationssicherheit innerhalb der Institution. Die Hauptaufgabe des IT-Sicherheitsbeauftragten besteht darin, die Unternehmensleitung bei deren Aufgabenwahrnehmung bezüglich der Informationssicherheit zu beraten und diese bei der Umsetzung zu unterstützen.4Vgl. dazu BSI-Standard 100-2, S. 26 ff.

Seine Aufgaben umfassen unter anderen:

  • den Informationssicherheitsprozess zu steuern und bei allen damit zusammenhängenden Aufgaben mitzuwirken,
  • die Leitungsebene bei der Erstellung der Leitlinie zur Informationssicherheit zu unterstützen,
  • die Erstellung des Sicherheitskonzepts, des Notfallvorsorgekonzepts und anderer Teilkonzepte und System-Sicherheitsrichtlinien zu koordinieren sowie weitere Richtlinien und Regelungen zur Informationssicherheit zu erlassen,
  • die Realisierung von Sicherheitsmaßnahmen zu initiieren und zu überprüfen,
  • der Leitungsebene und dem IS-Management-Team über den Status quo der Informationssicherheit zu berichten,
  • sicherheitsrelevante Projekte zu koordinieren,
  • Sicherheitsvorfälle zu untersuchen und
  • Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit zu initiieren und koordinieren.

Der IT-Sicherheitsbeauftragte ist außerdem bei allen größeren Projekten, die deutliche Auswirkungen auf die Informationsverarbeitung haben, sowie bei der Einführung neuer Anwendungen und IT-Systeme zu beteiligen, um die Beachtung von Sicherheitsaspekten in den verschiedenen Projektphasen zu gewährleisten.

3. Aufbau eines Informationsmanagement-Teams

In größeren Institutionen ist es sinnvoll, ein IS-Management-Team aufzubauen, das den IT-Sicherheitsbeauftragten unterstützt und sämtliche übergreifende Belange der Informationssicherheit regelt und Pläne, Vorgaben und Richtlinien erarbeitet. Die Größe und die Zusammenstellung des IS-Management-Teams sollten in Abhängigkeit vom Umfang des Sicherheitsprozesses und der dafür benötigten Ressourcen und Expertisen definiert werden.

4. Überprüfung, Anpassung und Dokumentation der IT-Organisationsstrukturen

Eine einmal aufgebaute IS-Organisation ist nicht statisch. Geschäftsprozesse und Umfeldbedingungen ändern sich permanent, so dass auch die Organisation immer wieder überdacht werden muss. Dabei sollte beispielsweise beleuchtet werden, ob die Aufgaben und Kompetenzen innerhalb des Sicherheitsprozesses ausreichend klar definiert waren, aber auch, ob vorgesehene Aufgaben wie geplant wahrgenommen werden konnten.5Nach IT-Grundschutz-Kataloge: 13. EL Stand 2013, S. 1888.

Wichtig sind vor allem die folgenden Punkte:

  • Überwachung von Verantwortlichkeiten im laufenden Betrieb. Es muss regelmäßig überprüft werden, ob alle Verantwortlichkeiten und Zuständigkeiten eindeutig zugewiesen wurden und diese praxistauglich sind.
  • Überprüfung der Einhaltung von Vorgaben. Es muss regelmäßig geprüft werden, ob alle Prozesse und Abläufe der IS-Organisation wie vorgesehen angewendet und durchgeführt werden. Gleichzeitig sollte sichergestellt werden, dass die aufgebauten Organisationsstrukturen für Informationssicherheit den Anforderungen gerecht werden.
  • Beurteilung der Effizienz von Prozessen und organisatorischen Regelungen. Es muss regelmäßig überprüft werden, ob Prozesse und organisatorische Regelungen des Sicherheitsmanagements praxistauglich und effizient sind. Sobald Prozesse oder Regelungen, die aus Sicherheitsgründen eingerichtet wurden, zu kompliziert oder zeitaufwendig sind, werden sie trotz der Gefahr von Sicherheitsvorfällen häufig nicht beachtet oder bewusst umgangen.
  • Das Management ist über die Ergebnisse der oben genannten Überprüfungen regelmäßig zu informieren. Die Berichte sind nicht nur notwendig, um dringende oder zeitkritische Probleme zu lösen, sondern enthalten wichtige Informationen, die das Management für die Steuerung des Sicherheitsprozesses benötigt.

 

Die IS-Organisation muss regelmäßig in Bezug auf Effizienz und Effektivität optimiert werden. Haben sich Schwächen in den Prozessen oder Regelungen für die IS-Organisation gezeigt, müssen diese abgestellt werden.

Die Aufgaben, Verantwortungen und Kompetenzen im Sicherheitsmanagement müssen nachvollziehbar dokumentiert sein. Dazu gehören auch die wesentlichen Arbeitsanweisungen und organisatorischen Regelungen.

Referenzen   [ + ]

1. Schmidl, in: Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28, Rn. 251.
2. Schmidl, in: Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28, Rn. 251.
3. Schmidl, in: Hauschka/Moosmayer/Lösler, Corporate Compliance, § 28, Rn. 251.
4. Vgl. dazu BSI-Standard 100-2, S. 26 ff.
5. Nach IT-Grundschutz-Kataloge: 13. EL Stand 2013, S. 1888.