IT SICHERHEITSBEAUFTRAGTER
FÜR IHR UNTERNEHMEN
✓ TÜV-geprüft und zertifiziert
✓ Beratung in allen Bereichen der IT-Sicherheit
✓ Überwachung der Security-Prozesse und IT-Projektersönliche Beratung
Was ist ein IT-Sicherheitsbeauftragter?
Der IT-Sicherheitsbeauftragte ist der zentrale Koordinierungspunkt im Unternehmen, wenn es um Informationssicherheit geht.
Er berät bei der Gestaltung von IT-Sicherheitskonzepten und unterstützt die Implementierung der entsprechenden Geschäftsprozesse.
Im Hinblick auf die steigende Zahl von Cyberangriffen auf deutsche Unternehmen ist es auch für private Unternehmen ratsam, einen IT-Sicherheitsbeauftragten zu bestellen.
Gesetzliche Grundlagen
Eine gesetzliche Regelung zur Beschaffungspflicht eines IT-Sicherheitsbeauftragten gibt es nicht.
Im Gegensatz zum Datenschutzbeauftragten, sind Unternehmen grundsätzlich nicht dazu verpflichtet einen IT-Sicherheitsbeauftragten zu bestellen.
Eine Ausnahme besteht jedoch bei Betreibern öffentlicher Telekommunikationsnetze oder öffentlich zugänglicher Telekommunikationsdienste. Diese müssen gemäß des Telekommunikationsgesetz (TGK) § 109 Abs. 4 Satz 1 einen Sicherheitsbeauftragten ernennen und ein Sicherheitskonzept erstellen.
Auch Betreiber von kritischen Infrastrukturen wie beispielsweise in den Bereichen Finanzen, Ernährung, Strom- und Wasserversorgung, sind dazu verpflichtet einen IT-Sicherheitsbeauftragten zu beschäftigen.
Aufgaben eines IT-Sicherheitsbeauftragten
Die grundsätzliche Mission eines IT-Sicherheitsberaters besteht darin, die Unternehmensleitung bei Fragen zur IT-Sicherheit zu beraten und bei der Umsetzung der Aufgaben zu unterstützen.
Damit ist es jedoch noch nicht getan, er hat noch einige weitere Aufgaben welche er erfüllen sollte:
- Durchführung einer grundlegenden Sicherheitsüberprüfung
- Durchführen einer zusätzlichen Sicherheitsanalyse
- Konsolidierung von Maßnahmen
- Schulung der Mitarbeiter
- Bewertung von IT-Sicherheitsvorfällen
- Beratung der Geschäftsführung
- Abhalten von internen Audits
- Ausarbeitung von Sicherheitskonzepten
- Darbieten von Hinweisen zu Sicherheitsstandards nach ISO 27001
- Definition und Aktualisierung von IT-Sicherheitszielen
- Entwicklung eines IT-Managementsystems
- Pflege eines IT-Sicherheitskonzepts
- Durchführung einer IT-Strukturanalyse
- Bewerten der Schutzanforderungen
- Umsetzung technischer und organisatorischer Maßnahmen
- Erstellen eines Aktivitätsberichts des IT-Sicherheitsbeauftragten
- Dokumentation von IT-Sicherheitsmaßnahmen und Zugangsbestimmungen
- Koordination von Sensibilisierungs- und Schulungsmaßnahmen
- Umsetzung von aktuellen Vorschriften
- Beraten bei Fragen und Problemen
Befugnisse des IT-Sicherheitsbeauftragten
Der IT-Sicherheitsbeauftragte …
… ist weisungsbefugt gegenüber IT-Beauftragten und Systemadministratoren.
… ist organisatorisch der Unternehmensleitung unterstellt und hat damit direktes Vortragsrecht.
… hat ein Mitspracherecht bei allen Entscheidungen, die seinen Verantwortungsbereich betreffen.
… kann sich an Dienstberatungen, Projekt- und Leitungsbesprechungen beteiligen.
… hat Zugriff auf alle IT-Systeme und damit verarbeiteten Daten.
… hat Zutritt zu allen Betriebsbereichen.
… ist befugt, IT-Anwendungen ganz oder teilweise einzustellen, wenn die IT-Sicherheit gefährdet ist.
Informationssicherheitssystem (ISMS)
Die Abkürzung ISMS steht für Information Security Management System.
Im Deutschen wird dies als Managementsystem für die Informationssicherheit bezeichnet.
Aufgrund der zunehmenden Digitalisierung wird es für Betriebe immer essenzieller, sich vor Cyberangriffen zu schützen und für Informationssicherheit zu sorgen.
Ein Security Management System ist ein wesentliches Element des unternehmensweiten Risikomanagements und definiert Regeln und Maßnahmen, um die Informationssicherheit gewährleisten zu können.
Wichtige Schritte zur Umsetzung eines ISMS
Die Abkürzung ISMS steht für Information Security Management System.
- Zieldefinition
Der erste Schritt beinhaltet das Festlegen der Ziele des ISMS.
Diese Zielsetzungen definieren, was das Information Security Management System leisten soll und welche Informationen und Werte des Unternehmens geschützt werden müssen.
Ebenfalls eindeutig festzulegen sind die Anwendungsbereiche als auch Grenzen des ISMS. - Risikoanalyse
Im zweiten Schritt muss der aktuelle Stand der Informationssicherheit bestimmt werden, um mögliche Risiken identifizieren und einordnen zu können. Dafür könne verschiedene Methoden herangezogen werden.
Es muss eine Übersicht darüber geschaffen werden, welche Auswirkungen und Folgen die einzelnen Risiken haben können. Ferner braucht es eine Bewertung der Eintrittswahrscheinlichkeit.
Ein Verfahren hierfür könnte die Risikomatrix sein. - Auswahl und Umsetzung
Im dritten Schritt werden die Gegenmaßnahmen ausgearbeitet, welche die Minimierung von Bedrohungsszenarien zum Ziel haben.
Außerdem müssen diese Maßnahmen eine angemessene Reaktion auf Sicherheitsvorfälle ermöglichen.
Diese Gegenmaßnahmen beziehen sich aber nicht nur auf die IT-Abteilung. Sie betreffen alle Bereiche des Unternehmens und damit nicht nur digitale und virtuelle, sondern auch physische Sicherheitsaspekte. - Wartung und Optimierung
Nach der Umsetzung der Gegenmaßnahmen, müssen diese ständig geprüft und optimiert werden.
Sobald in diesem Prozess Mängel bzw. neue Risiken auftreten und erkannt werden, wird der gesamte ISMS-Prozess erneut durchlaufen.
Strategisches Informationsmanagement im Unternehmen
Die Ernennung eines externen Informationssicherheitsbeauftragten hat viele Vorteile.
Für diese Aufgabe sind in der Regel umfangreiche technische und organisatorische Kenntnisse erforderlich.
Interne Dienstleister können dies häufig nicht leisten, da sie nur die Prozesse des eigenen Unternehmens kennen.
Ein externer Informationssicherheitsbeauftragter kann häufig besser beurteilen, welches Konzept für das jeweilige Unternehmen am besten geeignet ist.
- Zertifizierte Expertise
Unsere externen Informationssicherheitsbeauftragten sind zertifizierte Auditoren für ISO 27001 und BSI-Grundschutz.
- Keine Interessenskonflikte
Als Externe können unsere Berater ihre Kontrollfunktion gegenüber IT-Leitung und Geschäftsführung optimal wahrnehmen.
- Keine Betriebsblindheit
Im Gegensatz zu Mitarbeitern als internen Sicherheitsbeauftragten werden externe Beauftragte für Informationssicherheit nicht betriebsblind.
- Vielfältige Erfahrung
Durch die Tätigkeit für unterschiedliche Unternehmen verschiedenster Branchen verfügen unsere Experten über umfassende Erfahrungen, die ein Angestellter meist nicht aufweisen kann.
- Schulungserfahrung
Unsere Sicherheitsbeauftragten sind gleichzeitig Ihre persönlichen Trainer und verfügen über umfassende Schulungserfahrungen im Bereich der Informationssicherheit.
Wie gehen wir vor?
- Schritt
Zunächst erstellen wir ein Inventar mithilfe eines Vor-Ort-Audit, bei dem die IT-Infrastruktur Vorschriften dokumentiert und ausgewertet werden. - Schritt
Danach folgt die Überprüfung des aktuellen Sicherheitsniveaus im Unternehmen. Dabei werden Sicherheitslücken und / oder Sicherheitsrisiken identifiziert und zur weiteren Optimierung der IT-Sicherheit verwendet. - Schritt
Die Tätigkeitsbereiche des externen IT-Sicherheitsbeauftragten werden kurz- oder langfristig in Absprache mit dem Management definiert und umgesetzt. - Schritt
Anschließend fungiert der IT-Sicherheitsbeauftragte als kompetenter Ansprechpartner für alle IT-Sicherheitsfragen.
Exzellente Beratung für Sie

FRANK MÜNS
Dipl. Wirtschaftsingenieur
Externer Datenschutzbeauftragter TÜV zertifiziert
Externer ITSecurity Auditor TÜV zertifiziert