05605 Anforderung an die Qualifikation von IT-Sicherheitsbeauftragten
|
Dieser Beitrag beleuchtet die Anforderungen an die Qualifikation von IT-Sicherheitsbeauftragten in Wirtschaftsunternehmen. Mitarbeiter, die vom Management in der Ausübung ihrer Tätigkeiten als Sicherheitsverantwortliche eingesetzt und unterstützt werden, müssen bestimmte Qualifikationen aufweisen, um Informationssicherheit in ihrem Unternehmen kompetent zu gewährleisten und gewissenhaft zu „leben”. Dazu sind nicht mehr nur tiefgreifende Kenntnisse in der Informationstechnologie nötig, sondern auch konzeptionelles Denken, Managen und Entscheiden in organisatorischen Sicherheitsfragen und unter betriebswirtschaftlichen Aspekten. Der Aufgabenbereich eines Sicherheitsbeauftragten ist vielfältig und kann daher nur von speziell ausgebildeten Mitarbeitern übernommen werden. von: |
1 Allgemeiner Sicherheitsbegriff
Voraussetzungen
Unternehmen, deren Geschäftsprozesse durch die IT gestützt werden, müssen nachweisen, dass sie Informationssicherheit aktiv betreiben und ein angemessenes Sicherheitsniveau aufrechterhalten. Das Bundesdatenschutzgesetz, Basel II, der Sarbanes-Oxley Act (SOX, SOA) und nicht zuletzt das Änderungsgesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verlangen, dass die Unternehmensführung einen dokumentierten Nachweis über den Status und die Funktionen der Informationssicherheit im operativen Bereich erbringt. Der Nachweis erfolgreich implementierter Sicherheitsprozesse erfolgt üblicherweise durch Audits, die Zertifizierungen nach entsprechenden Standards zur Folge haben können. Dabei ist zu bedenken, dass der Begriff des Sicherheitsprozesses nicht nur die technische IT-Sicherheit, sondern auch die Sicherheit organisatorischer Geschäftsabläufe umfasst. Die Verantwortung für die korrekte Implementierung von Sicherheitsprozessen im Rahmen der Umsetzung eines Informationssicherheitsmanagementsystems (ISMS) liegt bei dem durch die Unternehmensleitung installierten Sicherheitsbeauftragten. Die Installation eines Sicherheitsbeauftragten macht allerdings nur Sinn, wenn er sich der vollen Unterstützung der obersten Führungsebene sicher sein kann. Durch die Unterstützung durch die Leitungsebene erreicht seine Arbeit ein Maximum an Effizienz, denn dann werden Berichtswege für ihn kurz und seine Autorität bezüglich Unternehmenssicherheitsfragen wächst.
Unternehmen, deren Geschäftsprozesse durch die IT gestützt werden, müssen nachweisen, dass sie Informationssicherheit aktiv betreiben und ein angemessenes Sicherheitsniveau aufrechterhalten. Das Bundesdatenschutzgesetz, Basel II, der Sarbanes-Oxley Act (SOX, SOA) und nicht zuletzt das Änderungsgesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verlangen, dass die Unternehmensführung einen dokumentierten Nachweis über den Status und die Funktionen der Informationssicherheit im operativen Bereich erbringt. Der Nachweis erfolgreich implementierter Sicherheitsprozesse erfolgt üblicherweise durch Audits, die Zertifizierungen nach entsprechenden Standards zur Folge haben können. Dabei ist zu bedenken, dass der Begriff des Sicherheitsprozesses nicht nur die technische IT-Sicherheit, sondern auch die Sicherheit organisatorischer Geschäftsabläufe umfasst. Die Verantwortung für die korrekte Implementierung von Sicherheitsprozessen im Rahmen der Umsetzung eines Informationssicherheitsmanagementsystems (ISMS) liegt bei dem durch die Unternehmensleitung installierten Sicherheitsbeauftragten. Die Installation eines Sicherheitsbeauftragten macht allerdings nur Sinn, wenn er sich der vollen Unterstützung der obersten Führungsebene sicher sein kann. Durch die Unterstützung durch die Leitungsebene erreicht seine Arbeit ein Maximum an Effizienz, denn dann werden Berichtswege für ihn kurz und seine Autorität bezüglich Unternehmenssicherheitsfragen wächst.
Vor Jahren war der Informationssicherheitsbegriff in Unternehmen noch stark auf die technische Sicherheit ausgerichtet und damit aus heutiger Sicht zu eng gefasst. Die Verantwortlichen wurden vorwiegend aus den IT-Bereichen rekrutiert, hatten einen starken technischen Hintergrund und setzten technische Sicherheitsmaßnahmen gezielt um, sobald sie erforderlich waren.
Heutzutage besitzen viele Berufseinsteiger ein gereiftes IT-Sicherheitsverständnis, das sie bereits in ihrem Studium bzw. ihrer Ausbildung erworben haben und bei Arbeitsantritt vorweisen können. Dies umfasst im Allgemeinen Kenntnisse in der Sicherheit von Netzwerken, der Erstellung von Sicherheitsprotokollen, der auszuwählenden Sicherheitssoftware und ihrer Installation bis hin zu Best-Practice-Erfahrungen in der Konzeption von Sicherheitsmethoden und sicheren Rechnerinfrastrukturen. Um die Unternehmensrisiken möglichst gering zu halten, arbeiten IT-Sicherheitsverantwortliche heutzutage aber nicht nur mit der IT des Unternehmens zusammen, sondern auch mit anderen Geschäftsbereichen wie den Rechts- und Personalabteilungen. Ihre Empfehlungen können und – wenn erforderlich – müssen nachhaltigen Einfluss auf wichtige Unternehmensentscheidungen haben.
