IT-Sicherheitsbeauftragter in Unternehmen (Muss oder Kann..)
Eine gesetzliche Pflicht, die jedes Unternehmen dazu verpflichtet, einen IT-Sicherheitsbeauftragten im Unternehmen zu haben – in Analogie zum Datenschutzbeauftragten – existiert nicht. Vielmehr gibt es einzelne Regularien für bestimmte Branchen, die eine solche Pflicht sehen:
- Das IT-Sicherheitsgesetz hat zum Ziel, die Sicherheit zum einen der informationstechnischen Systeme und zum anderen der digitalen Infrastrukturen in Deutschland zu erhöhen. Die dort enthaltenen Vorgaben verändern und ergänzen dabei andere Gesetze. Unternehmen – welche dem Energiewirtschaftsgesetz unterliegen – müssen gemäß den gesetzlichen Vorgaben ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 implementieren. Und genau daraus geht die Forderung und damit quasi die Pflicht nach einem IT-Sicherheitsbeauftragten hervor.
- Im Bankenbereich gelten die MaRisk (Mindestanforderungen an das Risikomanagement der Banken) und seit November 2018 auch die BAIT (Bankenaufsichtiche Anforderungen an die IT). In den BAIT wird eindeutig gefordert, dass jedes Institut die Funktion eines IT-Sicherheitsbeauftragten einzurichten hat.
Aufgaben eines IT-Sicherheitsbeauftragten
Die Aufgabe eines IT-Sicherheitsbeauftragten ist klar umrissen: Er berät und unterstützt die Unternehmensleitung bei der Wahrnehmung ihrer Aufgabe bezüglich der IT-Sicherheit. Er soll vor allem das Schadensrisiko innerhalb der IT durch das Treffen entsprechender Vorkehrungen im Unternehmen senken. Wie ein IT-Sicherheitsbeauftragter dies konkret umsetzen kann, dazu hat das BSI eine entsprechende Aufgabenliste (Quelle: www.bsi.de) zusammengestellt, die hier kurz wiedergegeben wird:
- Er bereitet die Auffassung der Unternehmensleitung über Stellenwert der IT, anzustrebendes IT-Sicherheitsniveau und die unternehmensweiten IT-Sicherheitsziele vor, formuliert sie aus und führt eine Entscheidung herbei.
- Er berichtet der Unternehmensleitung zum aktuellen Stand zur IT-Sicherheit.
- Er berät die Unternehmensleitung zu Fragen der IT-Sicherheit.
- Er entwickelt und formuliert die IT-Sicherheitsleitlinie und holt die Zustimmung der Unternehmensleitung ein. Danach wird diese Leitlinie allen Mitarbeitern bekanntgegeben.
- Er erlässt Richtlinien und Regelungen, auf welche Weise IT-Sicherheit im Unternehmen erreicht werden soll.
- Er führt Risikoanalysen zur Erstellung von IT-Sicherheitskonzepten durch.
- Er überprüft die erstellten IT-Sicherheitskonzepte auf Korrektheit und Nachvollziehbarkeit.
- Er bereitet die Unternehmensentscheidung über zu treffende, kostenträchtigte IT-Sicherheitsmaßnahmen vor und führt eine Entscheidung herbei.
- Er kontrolliert den Fortschritt der Realisierung von IT-Sicherheitsmaßnahmen.
- Er koordiniert Kontrollen der Effektivität von IT-Sicherheitsmaßnahmen im laufenden Betrieb.
- Er koordiniert Sensibilisierungs- und Schulungsmaßnahmen zum Thema „IT-Sicherheit”.
Fazit
Direkte gesetzliche Forderungen nach einem IT-Sicherheitsbeauftragten gibt es nur indirekt und wenn, dann eher für spezielle Branchen oder Bereiche.
Kleine und mittelständische Unternehmen sollten dies aber nicht als Freibrief sehen keinen IT-Sicherheitsbeauftragten zu benennen. Denn: IT-Sicherheit ist ein wesentlicher Baustein für die Wirtschaftlichkeit und Zukunftsfähigkeit eines Unternehmens, denn er kann dazu beitragen, Unternehmen vor Risiken zu schützen die aus der IT resultieren und damit letztendlich auch eine persönliche Haftung im Schadenfall zu verhindern. Es muss ja auch nicht immer eine Vollzeitstelle sein. In einem ersten Schritt kann es sinnvoll sein einen erfahrenen Mitarbeiter mit dieser Aufgabe zu betrauen oder einen externen IT-Sicherheitsbeauftragten zu beauftragen.