Der IT-Sicherheitsbeauftragte – Manager in Sachen IT-Sicherheit

Die Digitalisierung schreitet unaufhaltsam voran und stellt Geschäftsleitungen, IT-Abteilungen und Mitarbeiter vor immer größere Herausforderungen. Die Informations- und Kommunikationstechnik (IT) avanciert vom klassischen Unterstützungsprozess zu einem zentralen Element der Wertschöpfungskette. Damit einher gehen wachsende Anforderungen an die Sicherheit von IT-Systemen. Zu den Schutzzielen der IT-Sicherheit gehört neben der Vertraulichkeit und der Integrität auch die Verfügbarkeit der Systeme und der darin befindlichen Informationen. Ein dem Schutzbedarf entsprechendes IT-Umfeld ist Voraussetzung, um den Anforderungen an die Sicherheit gerecht zu werden und zugleich der Gefahr von wirtschaftlichen Schäden durch Systemausfälle oder Datenverluste wirkungsvoll zu begegnen. Die Verantwortung für die IT-Sicherheit kann nicht an die jeweiligen IT-Abteilungen bzw. externen IT-Dienstleister delegiert werden. Vielmehr müssen alle vorhandenen Akteure innerhalb eines Unternehmens, von der Geschäftsleitung bis hin zum Praktikanten, zur IT-Sicherheit beitragen. Voraussetzung ist die Schaffung einer entsprechenden Sicherheitsorganisation mit einer übergeordneten Instanz für die Informationsweiterleitung und Koordination. Diese Funktion im Unternehmen übernimmt der IT-Sicherheitsbeauftragte. Der IT-Sicherheitsbeauftragte ist für alle Fragen rund um die Informationssicherheit in einem Unternehmen zuständig. Er sollte organisatorisch unabhängig und unmittelbar der Unternehmensleitung unterstellt sein. Es empfiehlt sich daher, diese Funktion als Stabsstelle der Unternehmensleitung zuzuordnen (analog z. B. zu einem Datenschutzbeauftragten).

Zu den Aufgaben von IT-Sicherheitsbeauftragten gehört es,

  • den Sicherheitsprozess zu steuern und zu koordinieren,
  • die Unternehmensleitung bei der Erstellung der Sicherheitsleitlinie zu unterstützen,
  • die Erstellung des Sicherheitskonzepts und zugehöriger Teilkonzepte zu koordinieren,
  • den Realisierungsplan für Sicherheitsmaßnahmen zu erstellen und ihre Umsetzung zu überprüfen,
  • der Leitungsebene über den Status der Informationssicherheit zu berichten,
  • sicherheitsrelevante Projekte zu koordinieren,
  • sicherheitsrelevante Vorfälle zu untersuchen und
  • Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit zu initiieren und zu koordinieren.

Obgleich es bislang keine direkten rechtlichen Verpflichtungen zur Bestellung von IT-Sicherheitsbeauftragten für Unternehmen gibt, lassen sich mittelbar Anforderungen an Unternehmen in neuen Verordnungen und Gesetzen finden. Zu nennen sind hier insbesondere das im Juli 2015 in Kraft getretene Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz), die EU-Datenschutzgrundverordnung (DSGVO), welche ab Mai 2018 Anwendung finden wird, sowie im evangelischen Bereich die IT-Sicherheitsverordnung (ITSVO-EKD). Letztere nimmt in § 5 ITSVO-EKD konkret Bezug auf die Option zur Bestellung eines IT-Sicherheitsbeauftragten. Die Anforderungen aus dem IT-Sicherheitsgesetz für sogenannte kritische Infrastrukturen wie zum Beispiel Energieversorger, das Finanzwesen oder auch das Gesundheitswesen (z. B. Krankenhäuser) lassen im Ergebnis keinen anderen Schluss als die Notwendigkeit der Implementierung eines IT-Sicherheitsbeauftragten im Unternehmen zu. Gleiches gilt für die EU-Datenschutzgrundverordnung. In den Artikeln 32 (Sicherheit der Verarbeitung) und 35 (Datenschutz-Folgenabschätzung) der DSGVO wird unter anderem deutlich, dass das Thema IT-Sicherheit gegenüber den bisherigen Regelungen des Bundesdatenschutzgesetzes deutlich an Gewicht gewinnen wird.

Praxis-Hinweis

Nicht zuletzt aufgrund der absehbar weiter steigenden rechtlichen Anforderungen wird die Position eines IT-Sicherheitsbeauftragten mittelfristig nicht mehr aus den Unternehmen wegzudenken sein. Wir unterstützen Sie gerne bei diesem Thema und teilen unsere Erfahrungen und Fachkompetenz mit Ihnen, wenn es darum geht, einen entsprechenden Prozess zu initiieren und zu begleiten.

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Köln
CISA/CISO
Oliver Schikora
+49 (0)2203 8997-228
 
Prokurist der Solidaris Revisions-GmbH WPG STB, Köln, Leiter Geschäftsfeld IT-Beratung/Geschäftsbereich Unternehmensberatung

Solidaris Revisions-GmbH
Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft

Schikora

Bei Solidaris seit 2004

Qualifikationen

  • Certified Information Systems Auditor (CISA)
  • Chief Information Security Officer (CISO) ISO/IEC 27001/BSI-ITGrundschutz
  • IT-Auditor IDW
  • IT-Security Beauftragter (TÜV)
  • Dipl.-Betriebswirt (FH), Fachhochschule Koblenz

Schwerpunkte

  • Systemprüfungen im Rahmen von Jahresabschlussprüfungen, IT-Revision sowie datenanalytische Prüfungen
  • Langjährige Verantwortung als Prüfungsleiter für Jahresabschlussprüfungen und prüfungsnahe Beratungsleistungen bei gemeinnützigen Organisationen
  • Erfahrung in der Prüfung und Optimierung IT-gestützter Geschäftsprozesse
  • Begleitung von Software-MigrationenErfahrung im Auf- und Ausbau informationstechnischer Sicherheitssysteme (z. B. ISMS n. DIN ISO 27001)
  • Referent bei verschiedenen internen und externen Fortbildungsveranstaltungen im Bereich der IT-Revision
  • Autorentätigkeit
  • Leitung des KompetenzTeam Prüfungsnahe IT-Anwendungen der Solidaris

Mitgliedschaften

  • ISACA International/German Chapter
  • Deutsches Institut für Interne Revision e. V. (DIIR)

Veröffentlichungen in der Fachpresse
2020

  • Datenschutz und Informationssicherheit in der Altenhilfe: So schützen Sie sich und die Daten der von Ihnen betreuten Menschen: Pflege Management, 2-3/2020, S. 10.

Veröffentlichungen in der Fachpresse
2019

  • Prüfung jetzt!: Health&Care Management, 4/2019, S. 60-61.
  • IT-Sicherheit 2019: Best Practice und typische Fallstricke im Krankenhaus: Wümek, 5/2019,
    S. 126-127.
  • Wie sichern Sie Ihre Kronjuwelen? Der Umgang mit Informationswerten im digitalen Zeitalter: PflegeManagemet, 10/11/2019, S. 11.