IT SICHERHEITSBEAUFTRAGTER
FÜR IHR UNTERNEHMEN

✓ TÜV-geprüft und zertifiziert

Beratung in allen Bereichen der IT-Sicherheit

Überwachung der Security-Prozesse und IT-Projektersönliche Beratung

Was ist ein IT-Sicherheitsbeauftragter?


Der IT-Sicherheitsbeauftragte ist der zentrale Koordinierungspunkt im Unternehmen, wenn es um Informationssicherheit geht.

Er berät bei der Gestaltung von IT-Sicherheitskonzepten und unterstützt die Implementierung der entsprechenden Geschäftsprozesse.

Im Hinblick auf die steigende Zahl von Cyberangriffen auf deutsche Unternehmen ist es auch für private Unternehmen ratsam, einen IT-Sicherheitsbeauftragten zu bestellen.

Gesetzliche Grundlagen


Eine gesetzliche Regelung zur Beschaffungspflicht eines IT-Sicherheitsbeauftragten gibt es nicht.

Im Gegensatz zum Datenschutzbeauftragten, sind Unternehmen grundsätzlich nicht dazu verpflichtet einen IT-Sicherheitsbeauftragten zu bestellen.

Eine Ausnahme besteht jedoch bei Betreibern öffentlicher Telekommunikationsnetze oder öffentlich zugänglicher Telekommunikationsdienste. Diese müssen gemäß des Telekommunikationsgesetz (TGK) § 109 Abs. 4 Satz 1 einen Sicherheitsbeauftragten ernennen und ein Sicherheitskonzept erstellen.

Auch Betreiber von kritischen Infrastrukturen wie beispielsweise in den Bereichen Finanzen, Ernährung, Strom- und Wasserversorgung, sind dazu verpflichtet einen IT-Sicherheitsbeauftragten zu beschäftigen.

Aufgaben eines IT-Sicherheitsbeauftragten


Die grundsätzliche Mission eines IT-Sicherheitsberaters besteht darin, die Unternehmensleitung bei Fragen zur IT-Sicherheit zu beraten und bei der Umsetzung der Aufgaben zu unterstützen.

Damit ist es jedoch noch nicht getan, er hat noch einige weitere Aufgaben welche er erfüllen sollte:

  • Durchführung einer grundlegenden Sicherheitsüberprüfung
  • Durchführen einer zusätzlichen Sicherheitsanalyse
  • Konsolidierung von Maßnahmen
  • Schulung der Mitarbeiter
  • Bewertung von IT-Sicherheitsvorfällen
  • Beratung der Geschäftsführung
  • Abhalten von internen Audits
  • Ausarbeitung von Sicherheitskonzepten
  • Darbieten von Hinweisen zu Sicherheitsstandards nach ISO 27001
  • Definition und Aktualisierung von IT-Sicherheitszielen
  • Entwicklung eines IT-Managementsystems
  • Pflege eines IT-Sicherheitskonzepts
  • Durchführung einer IT-Strukturanalyse
  • Bewerten der Schutzanforderungen
  • Umsetzung technischer und organisatorischer Maßnahmen
  • Erstellen eines Aktivitätsberichts des IT-Sicherheitsbeauftragten
  • Dokumentation von IT-Sicherheitsmaßnahmen und Zugangsbestimmungen
  • Koordination von Sensibilisierungs- und Schulungsmaßnahmen
  • Umsetzung von aktuellen Vorschriften
  • Beraten bei Fragen und Problemen

Befugnisse des IT-Sicherheitsbeauftragten


Der IT-Sicherheitsbeauftragte …

… ist weisungsbefugt gegenüber IT-Beauftragten und Systemadministratoren.

… ist organisatorisch der Unternehmensleitung unterstellt und hat damit direktes Vortragsrecht.

… hat ein Mitspracherecht bei allen Entscheidungen, die seinen Verantwortungsbereich betreffen.

… kann sich an Dienstberatungen, Projekt- und Leitungsbesprechungen beteiligen.

… hat Zugriff auf alle IT-Systeme und damit verarbeiteten Daten.

… hat Zutritt zu allen Betriebsbereichen.

… ist befugt, IT-Anwendungen ganz oder teilweise einzustellen, wenn die IT-Sicherheit gefährdet ist.

Informationssicherheitssystem (ISMS)


Die Abkürzung ISMS steht für Information Security Management System.

Im Deutschen wird dies als Managementsystem für die Informationssicherheit bezeichnet.

Aufgrund der zunehmenden Digitalisierung wird es für Betriebe immer essenzieller, sich vor Cyberangriffen zu schützen und für Informationssicherheit zu sorgen.

Ein Security Management System ist ein wesentliches Element des unternehmensweiten Risikomanagements und definiert Regeln und Maßnahmen, um die Informationssicherheit gewährleisten zu können.

Wichtige Schritte zur Umsetzung eines ISMS


Die Abkürzung ISMS steht für Information Security Management System.

  • Zieldefinition
    Der erste Schritt beinhaltet das Festlegen der Ziele des ISMS.

    Diese Zielsetzungen definieren, was das Information Security Management System leisten soll und welche Informationen und Werte des Unternehmens geschützt werden müssen.

    Ebenfalls eindeutig festzulegen sind die Anwendungsbereiche als auch Grenzen des ISMS.
  • Risikoanalyse
    Im zweiten Schritt muss der aktuelle Stand der Informationssicherheit bestimmt werden, um mögliche Risiken identifizieren und einordnen zu können. Dafür könne verschiedene Methoden herangezogen werden.

    Es muss eine Übersicht darüber geschaffen werden, welche Auswirkungen und Folgen die einzelnen Risiken haben können. Ferner braucht es eine Bewertung der Eintrittswahrscheinlichkeit.

    Ein Verfahren hierfür könnte die Risikomatrix sein.
  • Auswahl und Umsetzung
    Im dritten Schritt werden die Gegenmaßnahmen ausgearbeitet, welche die Minimierung von Bedrohungsszenarien zum Ziel haben.

    Außerdem müssen diese Maßnahmen eine angemessene Reaktion auf Sicherheitsvorfälle ermöglichen.

    Diese Gegenmaßnahmen beziehen sich aber nicht nur auf die IT-Abteilung. Sie betreffen alle Bereiche des Unternehmens und damit nicht nur digitale und virtuelle, sondern auch physische Sicherheitsaspekte.
  • Wartung und Optimierung
    Nach der Umsetzung der Gegenmaßnahmen, müssen diese ständig geprüft und optimiert werden.

    Sobald in diesem Prozess Mängel bzw. neue Risiken auftreten und erkannt werden, wird der gesamte ISMS-Prozess erneut durchlaufen.

Strategisches Informationsmanagement im Unternehmen


Die Ernennung eines externen Informationssicherheitsbeauftragten hat viele Vorteile.

Für diese Aufgabe sind in der Regel umfangreiche technische und organisatorische Kenntnisse erforderlich.

Interne Dienstleister können dies häufig nicht leisten, da sie nur die Prozesse des eigenen Unternehmens kennen.

Ein externer Informationssicherheitsbeauftragter kann häufig besser beurteilen, welches Konzept für das jeweilige Unternehmen am besten geeignet ist.

  • Zertifizierte Expertise

Unsere externen Informationssicherheitsbeauftragten sind zertifizierte Auditoren für ISO 27001 und BSI-Grundschutz.

  • Keine Interessenskonflikte

Als Externe können unsere Berater ihre Kontrollfunktion gegenüber IT-Leitung und Geschäftsführung optimal wahrnehmen.

  • Keine Betriebsblindheit

Im Gegensatz zu Mitarbeitern als internen Sicherheitsbeauftragten werden externe Beauftragte für Informationssicherheit nicht betriebsblind.

  • Vielfältige Erfahrung

Durch die Tätigkeit für unterschiedliche Unternehmen verschiedenster Branchen verfügen unsere Experten über umfassende Erfahrungen, die ein Angestellter meist nicht aufweisen kann.

  • Schulungserfahrung

Unsere Sicherheitsbeauftragten sind gleichzeitig Ihre persönlichen Trainer und verfügen über umfassende Schulungserfahrungen im Bereich der Informationssicherheit.

Wie gehen wir vor?


  1. Schritt
    Zunächst erstellen wir ein Inventar mithilfe eines Vor-Ort-Audit, bei dem die IT-Infrastruktur Vorschriften dokumentiert und ausgewertet werden.
  2. Schritt
    Danach folgt die Überprüfung des aktuellen Sicherheitsniveaus im Unternehmen. Dabei werden Sicherheitslücken und / oder Sicherheitsrisiken identifiziert und zur weiteren Optimierung der IT-Sicherheit verwendet.
  3. Schritt
    Die Tätigkeitsbereiche des externen IT-Sicherheitsbeauftragten werden kurz- oder langfristig in Absprache mit dem Management definiert und umgesetzt.
  4. Schritt
    Anschließend fungiert der IT-Sicherheitsbeauftragte als kompetenter Ansprechpartner für alle IT-Sicherheitsfragen.

Exzellente Beratung für Sie


Frank Muens 1

FRANK MÜNS

Dipl. Wirtschaftsingenieur

Externer Datenschutzbeauftragter TÜV zertifiziert
Externer ITSecurity Auditor TÜV zertifiziert