Rollenspiele: Organisation von Informationssicherheit

Die in vorangegangenen Blog-Artikeln angesprochene technische Maßnahme „Serverhärtung" ist üblicherweise nur ein Teil eines weitaus umfassenderen Informationssicherheitsprozesses. Dieser Informationssicherheitsprozess, seine Organisation und insbesondere die darin auftauchenden Rollen sollen hier eingehender beschrieben werden.

Maßgeblich für den Erfolg des Informationssicherheitsprozesses ist seine Legitimierung und volle Unterstützung durch die oberste Leitungsebene einer Organisation. Er ist somit personell im Vorstand oder in der Geschäftsführung verankert, die damit die Verantwortung trägt. Dies ist notwendig, da eine anlassgetriebene Umsetzung von Sicherheitsmaßnahmen aus Teams oder Abteilungen heraus schnell am Widerstand anderer scheitern kann und selten die Belange der Organisation im ganzheitlichen Bild sieht.

Informationssicherheitsbeauftragte (ISB)

Die Geschäftsführung kann Aufgaben delegieren, indem sie Informationssicherheitsbeauftragte (ISB) benennt, die den Informationssicherheitsprozess koordinieren und fördern. Im englischen Sprachgebrauch wird diese Rolle auch Chief Information Security Officer (CISO) genannt. Diese Personen kümmern sich um alle Aspekte der Informationssicherheit, im Gegensatz zu IT-Sicherheitsbeauftragten, die eher für IT-bezogene, also technisch orientierte Aspekte zuständig sind. Da sie für eine unternehmensweite Umsetzung von Sicherheitsmaßnahmen zuständig sind, ist die organisatorische Aufhängung an die oberste Leitungsebene verpflichtend. Eine Bindung bspw. an die IT-Abteilung ist im Sinne der auftretenden Rollenkonflikte kontraproduktiv.

Aufgaben des ISB

Die Aufgabe des ISB besteht in der Wahrnehmung aller Belange der Informationssicherheit im Unternehmen. Sie oder er ist demnach beratend und unterstützend tätig. Die Person hilft der Leitungsebene bei der Erstellung der Leitlinie für Informationssicherheit (IS), schreibt in Zusammenarbeit mit den Fachabteilungen Sicherheits- und Notfallvorsorgekonzepte und koordiniert die Schaffung weiterer Richtlinien und Regelungen zur IS. Da Papier geduldig ist, muss dafür gesorgt werden, dass die Richtlinien und Vorgaben umgesetzt und überprüft und die Ergebnisse abschließend an die Auftraggeber berichtet werden. Und da Informationssicherheit eine Aufgabe aller Beschäftigten in einem Unternehmen ist, initiiert und führt er Schulungs- und Awareness-Maßnahmen durch.

Da der ISB auch die Aufgabe hat, Sicherheitsvorfälle zu untersuchen, ist es für ihn notwendig, unabhängig zu sein und ein direktes Vorspracherecht in der Führungsebene zu besitzen.

Spielarten des ISB

In größeren Organisationen gibt es auch den ISB, der sich um Sicherheitsbelange in der Ausführung einzelner Projekte kümmert und dann die Rolle des Projektsicherheitsbeauftragten (PSB) ausfüllt. An dieser Stelle unterstützt er bei der Planung und Einführung neuer Anwendungen oder IT-Komponenten.

Weitere „Spezialisierungen" des ISB als Bereichs-ISB (Entwicklung, IT-Betrieb, …) oder der technologischen Komponenten als IT-Sicherheitsbeauftragter sind möglich.

ISB vs. DSB

Eine weitere zentrale Rolle spielt in Unternehmen oftmals der Datenschutzbeauftragte (DSB). Der DSB an sich hat die Aufgabe, alle Aspekte des Datenschutzes (zur Erinnerung, das sind die Regeln zur Erfassung, Verarbeitung, Aufbewahrung, Übermittlung und Löschung persönlicher und personenbezogener Daten) zu bearbeiten und sorgt für angemessene Umsetzung und Kontrolle. In vielen Bereichen ist die Bestellung eines DSB gesetzlich vorgeschrieben. Eine Personalunion von ISB und DSB schließt sich zwar nicht aus, jedoch sollte bedacht werden, dass für die Rollen unterschiedliche Schnittstellen und Berichtswege existieren. Zudem sollte ein ISB auch ressourcentechnisch die Aufgabe als DSB bewältigen können. Dabei ist darauf zu achten, dass der DSB keine weitere Rolle innehat, die zu einem Interessenkonflikt führen kann, d.h. dass er sich nicht selbst kontrolliert.

Fazit

Die Rolle des Informationssicherheitsbeauftragten hat in großen Unternehmen verschiedene Spielarten. Es muss zur Vermeidung von Interessenskonflikten darauf geachtet werden, dass Sicherheit ein Zusammenspiel verschiedener und unabhängiger Instanzen ist. Eine Instanz sondiert gesetzliche Vorgaben und erstellt auf Basis der Unternehmensziele und des Schutzbedarfs der Daten Sicherheitsleitlinien. Die Leitlinien werden in den Bereichen praktisch umgesetzt, was meistens der IT-Betrieb übernimmt. Eine andere Instanz hat die Einhaltung der Richtlinien zu prüfen und an die Geschäftsleitung zu berichten.