IT-Sicherheitsbeauftragter: Welche gesetzliche Grundlage gibt es?

Im Gegensatz zum Datenschutzbeauftragten gibt es keine gesetzliche Regelung, nach der Unternehmen im Allgemeinen einen IT-Sicherheitsbeauftragten ernennen müssen. Nur das Telekommunikationsgesetz (TKG) schreibt in § 109 Abs. 4 Satz 1 vor, dass Betreiber öffentlicher Telekommunikationsnetze oder öffentlich zugänglicher Telekommunikationsdienste einen Sicherheitsbeauftragten benennen und ein Sicherheitskonzept erstellen müssen.  Das IT-Sicherheitsgesetz schreibt außerdem vor, dass kritische Infrastrukturbetreiber, insbesondere in den Bereichen Strom- und Wasserversorgung, Finanzen und Ernährung, einen IT-Sicherheitsbeauftragten einstellen müssen. Denn Ausfälle und Beeinträchtigungen des IT-Systems hätten gravierende Folgen für Wirtschaft, Staat und Gesellschaft. 

Angesichts der zunehmenden Zahl von Cyber-Angriffen gegen deutsche Unternehmen wird auch empfohlen, dass private Unternehmen einen IT-Sicherheitsbeauftragten ernennen. Ob diese Aufgabe von einer einzelnen Person, einer Gruppe von Personen oder in Teilzeit erledigt wird, hängt letztendlich von der Größe des Unternehmens und den verfügbaren Ressourcen ab.

IT-Sicherheitsbeauftragter: Welche Aufgaben müssen ausgeführt werden?

Ein IT-Sicherheitsbeauftragter hat eine zentrale Aufgabe: Sein Ziel sollte es sein, das Management bei der Erfüllung aller zukünftigen IT-Sicherheitsaufgaben zu beraten und bei der Implementierung sowie bei der Umsetzung hilfreich zu unterstützen. Ein IT-Sicherheitsbeauftragter ist verpflichtet, geeignete Vorkehrungen zu treffen, um das Risiko eines IT-Schadens zu verringern. Auf diese Weise trägt ein IT-Sicherheitsbeauftragter aktiv dazu bei, die IT-Sicherheit auf einem hohen Niveau zu halten. Infolgedessen sinkt die Wahrscheinlichkeit, dass Geschäftsführer für IT-Sicherheitsvorfälle mit persönlichem Vermögen haftbar sind.

IT-Sicherheitsbeauftragter: Welche weiteren Aufgaben gibt es?

Um diese beiden Ziele zu erreichen: Unterstützung des Managements und Aufrechterhaltung des IT-Sicherheitsniveaus, muss der IT-Sicherheitsbeauftragte eine Vielzahl von Aufgaben ausführen. Dazu gehören:

  • Bestandsaufnahmen: Um herauszufinden, welche Schwachstellen in der Unternehmens-IT bestehen, muss eine Bestandsaufnahme den aktuellen Status anzeigen. Nur so können die Lücken zwischen der aktuellen Situation und dem Zielzustand geschlossen werden.
  • Koordination der Sicherheitsziele: Nach der Bestandsaufnahme ist es sinnvoll, eigene Sicherheitsziele zu formulieren, um diese Schritt für Schritt umzusetzen.
  • Erstellen von IT-Sicherheitsrichtlinien: Um sicherzustellen, dass das gesamte Unternehmen die Sicherheitsrichtlinien einhält, tragen IT-Sicherheitsrichtlinien dazu bei, dass sie für alle verbindlich sind.
  • Durchführung von Schulungen: Um den Mitarbeitern die Möglichkeit zu geben, IT-Sicherheit in den Alltag zu integrieren, sind Schulungen von großer Bedeutung. 
  • Dokumentation von Sicherheitsmaßnahmen: Um die von der DSGVO geforderte Überprüfbarkeit (Verantwortung) zu erfüllen, müssen alle Sicherheitsmaßnahmen dokumentiert werden.
  • Analyse und Überwachung: IT-Sicherheit ist ein Prozess. Ein IT-Sicherheitsbeauftragter weiß, dass dieser Prozess regelmäßig analysiert und überwacht werden muss, um die IT-Sicherheit weiter zu optimieren. Jeder IT-Sicherheitsvorfall sollte ebenfalls analysiert und im Idealfall die Gründe angesprochen werden.
  • Funktion als Ansprechpartner: Wenn Mitarbeiter oder Management Fragen zum Datenschutz und zur IT-Sicherheit haben, fungiert der IT-Sicherheitsbeauftragte als erster Ansprechpartner. Deshalb sind soziale Kompetenzen genauso wichtig wie Techniken.
  • Unternehmensberater: Ein IT-Sicherheitsbeauftragter berät das Management in allen Fragen der IT-Sicherheit. Auf der Grundlage dieser Konsultationen werden Entscheidungen getroffen. Darüber hinaus überprüft der IT-Sicherheitsbeauftragte Sicherheitsvorfälle, arbeitet an sicherheitsrelevanten Projekten und überwacht Dienstanbieter. Die Aufgaben eines IT-Sicherheitsbeauftragten sind äußerst vielfältig und erfordern umfangreiche Schulungen.

IT-Sicherheitsbeauftragter und Datenschutzbeauftragter: Welche Unterschiede gibt es?

Der Hauptunterschied zwischen den Aufgaben des IT-Sicherheitsbeauftragten und des Datenschutzbeauftragten besteht darin, dass sie für verschiedene Arten von Daten verantwortlich sind. Positionen können sich in der täglichen Arbeit überschneiden. Während der IT-Sicherheitsbeauftragte umfassender arbeitet, kann sich der Datenschutzbeauftragte detailliert auf personenbezogene Daten konzentrieren. Im Idealfall finden beide gemeinsame Lösungen. Es dürfen keine Interessenkonflikte entstehen.

IT-Sicherheitsbeauftragter: Welche Befugnisse sollte er erhalten?

Damit ein IT-Sicherheitsbeauftragter seine Aufgaben ausführen kann, benötigt er mehrere Befugnisse. Dazu gehören:

  • ein IT-Sicherheitsbeauftragter ist berechtigt, Anweisungen an IT-Beauftragte und Systemadministratoren zu erteilen
  • er ist direkt der Geschäftsleitung unterstellt, woraus sich ein direktes Vortragsrecht ergibt
  • er beteiligt sich an Dienstberatungen sowie an Management-Meetings und -Projekten
  • er erhält eine Stimme bei sämtlichen Entscheidungen eingeräumt, die in seine Verantwortung fallen
  • ein IT-Sicherheitsbeauftragter hat Zugriff auf alle IT-Systeme und verarbeiteten Daten
  • er hat die Befugnis, Anwendungen komplett oder zum Teil einzustellen, wenn eine Gefahr für die IT-Sicherheit gegeben ist
  • er erhält Zutritt auf alle Bereiche des Unternehmens.
  • er ist befugt, Überprüfungen durchzuführen. Dadurch wird die Sicherheitsstufe der Informationen überprüft.

Als Verbindung zwischen allen relevanten Positionen (Management, Mitarbeiter, Benutzer) sollte ein IT-Sicherheitsbeauftragter frei von Anweisungen sein, um alle Aufgaben auszuführen. Je nachdem, in welchem Umfang der IT-Sicherheitsbeauftragte arbeitet, muss er von anderen möglichen Verpflichtungen befreit werden. Aus diesem Grund ist es für Organisationen sinnvoll, einen externen Sicherheitsbeauftragten einzustellen. Um Interessenkonflikte zu vermeiden, sollte ein IT-Sicherheitsbeauftragter keine Aufgaben haben, die seiner Rolle widersprechen.