Informationssicherheitsbeauftragter

300 Millionen Dollar ÔÇô┬ádiesen Betrag sch├Ątzt die Unternehmensgruppe A.P. M├Şller-M├Žrsk hat der Angriff im Juni 2017 mit einer Erpressersoftware den Reederei-Konzern gekostet. Weltweit hatten Angreifer die gr├Â├čte Container-Reederei der Welt zeitweise lahmgelegt. Wichtige Daten lie├čen sich nur wiederherstellen, weil ein einziges Back-up in Ghana damals zuf├Ąllig durch einen Stromausfall vom Netz getrennt war und daher nicht ├╝berschrieben wurde.1, 2 Was ist Informationssicherheit ├╝berhaupt und brauchen Organisationen das?

Informationssicherheit im Unternehmen darf kein optionales Feature sein, sondern ist ab sofort Chefsache!

Wenn es um Aufbau und Einf├╝hrung eines Informationssicherheitsmanagementsystems (ISMS), den Ma├čnahmen zur Informationssicherheit oder die Vorbereitung auf ein externes Informationssicherheitsaudit geht, macht die Unterst├╝tzung durch echte Experten den Unterschied. Der Standard ist dabei schwer ohne Unterst├╝tzung umzusetzen, egal ob VdS 10000, ISO 27001, TISAX oder BSI IT-Grundschutz. Die Anforderungen sind oft so abstrakt, dass Unternehmen Schwierigkeiten haben, sie richtig anzuwenden.

Wir stellen f├╝r Ihr Unternehmen den externen Informationssicherheitsbeauftragten; zu unseren Aufgaben z├Ąhlen beispielsweise:

  • den Sicherheitsprozess zu steuern und zu koordinieren,
  • die Leitung bei der Erstellung der Sicherheitsleitlinie zu unterst├╝tzen,
  • die Erstellung des Sicherheitskonzepts und zugeh├Âriger Teilkonzepte und Richtlinien zu koordinieren,
  • Realisierungspl├Ąne f├╝r Sicherheitsma├čnahmen anzufertigen sowie ihre Umsetzung zu initiieren und zu ├╝berpr├╝fen,
  • der Leitungsebene und anderen Sicherheitsverantwortlichen ├╝ber den Status der Informationssicherheit zu berichten,
  • sicherheitsrelevante Projekte zu koordinieren,
  • sicherheitsrelevante Vorf├Ąlle zu untersuchen sowie
  • Sensibilisierung und Schulungen zu initiieren und zu koordinieren.

Als externer Informationssicherheitsbeauftragter f├╝hren wir Ihre Organisation zur erfolgreichen Zertifizierung nach ISO 27001, IT-Grundschutz, VdS 10000 oder TISAX┬« (siehe Abschnitt Standards). Gemeinsam mit Ihrer IT-Leitung und der Gesch├Ąftsf├╝hrung errichten wir ein Informationssicherheitsmanagementsystem (ISMS). Damit optimieren wir die organisationsinternen Prozesse um technische, organisatorische sowie juristische Ma├čnahmen der Informations- und IT-Sicherheit und sch├╝tzen das, was Ihnen am wichtigsten ist.

Dem externen Informationssicherheitsbeauftragten (ISB) obliegen dabei die technische und organisatorische Kontrolle. Hierzu z├Ąhlen insbesondere auch Schulungen der Mitarbeiter, Beratung der Gesch├Ąftsf├╝hrung und die Durchf├╝hrung interner Audits.

Externer Informationssicherheitsbeauftragter und Datenschutzbeauftragter in einer PersonÔÇŽ geht das?

Gelegentlich ist es unerl├Ąsslich, dass der externe Informationssicherheitsbeauftragter und externe Datenschutzbeauftragte durch ein und diesselbe Person ausgef├╝llt werden. Ein Datenschutzbeauftragter kann und darf nach Art. 38 Abs. 6 Satz 1 DSGVO ÔÇ×andere Aufgaben und PflichtenÔÇť (z.B. als externer Informationssicherheitsbeauftragter) wahrnehmen, doch es muss gleichzeitig sichergestellt sein, dass ÔÇ×derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt f├╝hren,ÔÇť so Art. 28 Abs. 6 Satz 2 DSGVO. Der Datenschutzbeauftragte hat eine Kontrollfunktion und darf daher nicht in die Situation kommen, dass er sich selbst kontrollieren muss.

Doch genau dieser Interessenkonflikt entsteht, wenn der externe Informationssicherheitsbeauftragte und Datenschutzbeauftragte in Personalunion auftreten. Daher ist auch bei der Bestellung des externen Informationssicherheitsbeauftragten, wenn dieser zugleich als Datenschutzbeauftragter ist, darauf zu achten, dass die Kontrollfunktionen durch Dritte, sei des durch einen externen Auditor oder intern durch die interne Revision oder den QM-B ausgef├╝hrt werden.

Externer Informationssicherheitsbeauftragter: Voraussetzungen

Voraussetzung ist, dass der externe Informationssicherheitsbeauftragte (wie auch ein interner) ├╝ber alle erforderlichen Fachkenntnisse verf├╝gt und diese zuverl├Ąssig anwenden kann. F├╝r die Erf├╝llung der kommmunikativen Aufgaben ist au├čerdem eine Sozial-, F├╝hrungs- und unternehmerische Kompetenz notwendig.

Was sind Schutzziele der Informationssicherheit?

Die Schutzziele kann man sich gut merken: Confidentiality (Vertraulichkeit), Integrity (Integrit├Ąt) und Availability (Verf├╝gbarkeit). Es gibt noch weitere IT-Schutzziele wie Authentizit├Ąt, Verl├Ąsslichkeit und Nichtabstreitbarkeit. Dieser sogenannten CIA-Triade kommt im Informationssicherheitsmanagement aber stets ein hoher Stellenwert zu. Auch im Datenschutzmanagement finden sich diese Schutzziele wieder, k├Ânnen aber andere Ziele verfolgen.

Standards, Standards, Standards

Es gibt zahlreiche nationale und internationale Standards. Die Entscheidung f├╝r oder gegen einen Standard ist eine strategische Unternehmensentscheidung, die von vielen Faktoren abh├Ąngig ist, wie z.B. internationales Gesch├Ąft, bestimmte Branchen oder Sektoren, KRITIS, Unternehmensgr├Â├če. Relevante Standards sind beispielsweise

  • ISO 27001 auf Basis BSI IT-Grundschutz als nationaler Standard insbesondere f├╝r KRITIS.
  • ISO 27001 als internationaler Standard f├╝r ISMS.
  • TISAX┬« ist ein Akroym f├╝r Trusted Information Security Assessment und ist ein spezieller Standard f├╝r die Autobilindustire. Jeder Zulieferer wird ein sog. TISAX┬«-Label nachweisen m├╝ssen, will das Unternehmen weiter dem Automobilhersteller zuliefern.
  • VdS 10000 ist als Nachfolger von VdS 3473 speziell f├╝r KMU sowie f├╝r kleinere und mittlere Organisationen ausgelegt mit der Zielsetzung, ein gutes Schutzniveau zu gew├Ąhrleisten, ohne sie organisatorisch oder finanziell zu ├╝berfordern.
  • VdS 10005 ist ein speziell f├╝r Klein- und Kleinstunternehmen und Handwerksbetriebe zugeschnittener reduzierter Standard.
  • Spezielle Branchenstandards wie z.B. PCI DSS, MaRisk, VAIT, BAIT, KAIT f├╝r die Finanzindustrie
  • NIST CSF (Cyber Security Framework) bietet eine umfassende Taxonomie von Zielen der Cybersicherheit und eine Methodik zur Bewertung und Verwaltung dieser Ziele“. Sie soll Organisationen des privaten Sektors, die kritische Infrastrukturen bereitstellen, als Leitfaden f├╝r deren Schutz dienen, zusammen mit den entsprechenden Datenschutzma├čnahmen..
  • NAS9933: Die Luft- und Raumfahrt- sowie die Verteidigungsindustrie sind bestrebt, Cyber-Bedrohungen stets einen Schritt voraus zu sein und die Widerstandsf├Ąhigkeit im komplexen Cyber-Sicherheitssystem. Es braucht dynamische, risikobasierte L├Âsungen zur Bew├Ąltigung von Cyber-Bedrohungen. Die statische Einhaltung von „Checklisten“, wie sonst ├╝blich in der Luft- und Raumfahrt, reicht nicht aus.

Informationssicherheit und Datenschutz

Was unterscheidet Datenschutz von Informationssicherheit und was ist das genau? H├Ąufig werden die beiden Begriffe synonym verwendet, oft durcheinander gebracht und verwechselt. Den Datenschutz aber von der IT-Sicherheit zu unterscheiden, ist in der Praxis schwierig.

Datenschutz an sich ist aber eine strenge gesetzliche Anforderung. Jeder Unternehmer, jedes Unternehmen muss diese Anforderungen umsetzen und korrekt anwenden. Dabei geht es um den Schutz von ÔÇ×personenbezogenen DatenÔÇť, also alle Daten und Informationen, die einen eindeutigen R├╝ckschluss auf eine konkret bestimmbare Person erlauben. Das ist bei Kunden-, Mandanten- oder Patientendaten so, wobei letztere strenger gesch├╝tzt werden m├╝ssen.
Informationssicherheit hingegen liegt im eigenen Interesse des Unternehmens. So werden Lieferanten h├Ąufig von Key Accounts aufgefordert, ein Zertifikat nach ISO 27001, VdS 10000 oder IT-Grundschutz nachzuweisen. Oder Versicherer fordern dies bei Abschluss einer Cyber-Risk-Versicherung. Sie soll gew├Ąhrleisten, dass unternehmensinterne Informationen jederzeit vertraulich, integer und verf├╝gbar sind.

Manchmal kommt es zu einem Interessenkonflikt zwischen Datenschutz und Cyber-Sicherheit, z.B. bei der Protokollierung von Zugangsdaten. Hier k├Ânnen Experten wie firstbyte digital consulting e.K. aber gute L├Âsungen etablieren.

├ťbersicht Cyber-Angriffe

2015 Angriff auf deutschen Bundestag
2016 Router der Deutschen Telekom
2017 Reederei A.P. M├Şller-M├Žrsk
2018 Krauss-Maffei GmbH, M├╝nchen
2019 Kammergericht (= OLG) Berlin
2019 Klinikum F├╝rth
2019 DRK S├╝dwest
2020 Uniklinik D├╝sseldorf
2021 Coronavirus
2022 Wuppertaler Schwebebahn
2022 Sixt Autovermietung
2022 Nordex SE
2022 Bundesministerium der Verteidigung, mehrere Polizeibeh├Ârden und den Deutschen Bundestag
2022 Bauking-Gruppe
2022 79 Industrie- und Handelskammern bundesweit

Sch├Ąden durch Cyber-Angriffe

Der Heise-Verlag (cÔÇÖt) wurde von Emotet befallen. Zwar wurde der Angriff rechtzeitig bemerkt, dennoch war der Schaden immens: 14 Tage keine nutzbare IT-Infrastruktur, 50.000 Euro f├╝r externe Hilfen, 500.000 Euro Investitionen in die Ert├╝chtigung der IT-Sicherheit (technisch und organisatorisch).

Das Kammergericht Berlin war lange Zeit nur noch auf analogem Wege zu erreichen: die gesamte IT-Infrastruktur musste ersetzt werden. Unter Umst├Ąnden k├Ânnen zudem noch Meldepflichten nach Art. 33 und Art. 34 DSGVO ausgel├Âst werden ÔÇô und zwar binnen 72 Stunden ab bekannt werden.

Versicherer bieten einen vermeintlichen ÔÇ×einfachenÔÇť Ausweg: Cyber-Risk-Versicherungen. Der Abschuss einer solchen Versicherung erscheint grunds├Ątzlich angezeigt, doch ein Blick in die Versicherungsbedingung tut Not: oftmals werden dem Versicherungsnehmer Pflichten auferlegt, die ein Informationssicherheits- und/oder Datenschutz-Managementsystem in Grundz├╝gen voraussetzen. Neben den zu treffenden technischen und organisatorischen Ma├čnahmen sollte vom Versicherungsnehmer vorher ├╝berlegt werden, wie Dokumentationen und Nachweis erbracht werden k├Ânnen.

Stillstand ist Bedrohung

Daher engagiert sich firstbyte digital consulting in namhaften Verb├Ąnden und Projekten wie im Cyber Security Cluster Bonn, der Allianz f├╝r Cyber-Sicherheit, nrw┬Ěunits oder auch dem IT-Forum Oberberg.

 

Datenschutz Informationssicherheit Business Continuity Digitalisierung
Datenschutz Informationssicherheit Business Continuity Digitalisierung
Digital Consulting, TISAX®, Datenschutz, Cyber-Sicherheit, Cybersecurity

Kostenloses Erstgespr├Ąch: Informationssicherheit

Lassen Sie sich heute noch beraten, wie Sie Ihr Unternehmen in der digitalen Weltt
absichern und resilient bleiben. Kostenlos, unverbindlich und hochprofessionell!

Sie sehen gerade einen Platzhalterinhalt von Standard. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfl├Ąche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen