IT-Sicherheit beschäftigt sich mit dem Schutz von IT-Systemen gegen Bedrohungen. Informationssicherheit ist umfassender und bezieht sich auf alle analogen und digitalen Informationswerte, deren Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten ist. Informationssicherheit beinhaltet also den Schutz von IT-Systemen, aber umfasst darüber hinaus auch physische und organisatorische Schutzmaßnahmen. Organisatorischen Maßnahmen sind z.B. Richtlinien für die Vergabe von Berechtigungen und die Einrichtung von Zugangskontrollen. Zu den physischen Maßnahmen gehören z.B. die Absicherung und Überwachung von Gebäuden.

Regelungen zu Informationssicherheit sind in über zwanzig Gesetze zu finden. Sie kommen aus den Bereichen Corporate Governance, Datenschutz, Gesetze zur IT-Sicherheit, ergänzt durch strafrechtliche Regelungen zu Einzelaspekten. Alle verfolgen den gleichen Zweck, den verlässlichen Schutz von Daten hinsichtlich Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität sicherzustellen. Ihre Einhaltung ist Voraussetzung dafür, dass Unternehmen regelkonform arbeiten und die IT-Compliance wahren.

Wir führen ein Rechtsregister mit allen geltenden Gesetzen und Verordnungen. Für unsere Kunden prüfen wir, welche Vorgaben gelten und einzuhalten sind.

Darüber hinaus ist ein DSB zu bestellen, wenn Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung unterliegen oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden. In diesen Fällen ist ein DSB zu benennen, unabhängig davon, wie viele Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Für die Bestellung eines Informationssicherheitsbeauftragten (ISB) gibt es keine direkte gesetzliche Verpflichtung. Aus den gesetzlichen Grundlagen lässt sich allerdings die direkte Verantwortung der Geschäftsführung für die IT Sicherheit im Unternehmen ableiten, die unter Umständen auch zu einer persönlichen Haftung führen kann. Da die Leitungsebene in der Regel nicht über die erforderlichen Fachkenntnisse für die Erstellung von Sicherheitskonzepten verfügt ist die Bestellung eines ISB eine empfehlenswerte Lösung.

Unternehmen die Betreiber kritischer Infrastrukturen sind und dem IT-Sicherheitsgesetz unterliegen sind verpflichtet ein Informationssicherheits-Managementsystem (ISMS) einzuführen und sich gemäß ISO 27001 zertifizieren zu lassen. Damit die Anforderungen der Norm erfüllt werden können ist es Best Practice einen ISB zu bestellen.

Um die Geschäftsleitung qualifiziert unterstützen zu können, sollte er die gesetzlichen Grundlagen kennen, über betriebswirtschaftliche Kenntnisse verfügen. Darüber hinaus sollte er Fachkenntnisse und Erfahrungen in der IT besitzen und sich mit risikobasierten Ansätzen auskennen.

Neben diesen Fachkompetenzen spielen Softskills, wie Kommunikationsfähigkeit, Belastbarkeit, ganzheitliches Denken und die Fähigkeit, Probleme zu lösen eine wichtige Rolle.

Der Informationssicherheitsbeauftragte berät die Geschäftsleitung und muss deshalb unabhängig agieren können. Zu beachten ist zusätzlich, dass in Zukunft durch die Digitalisierung der Durchdringungsgrad der IT in allen Unternehmensbereichen steigt. Um Interessenkonflikte zu vermeiden sollte der ISB nicht der IT-Abteilung angehören.

Die Auswirkungen von Informationssicherheitsvorfällen können vielfältig sein. IT-Störungn können z.B. direkt Auswirkungen auf die Geschäftstätigkeit haben, indem sie zu einer Produktionsunterbrechung führen. Gegenüber Geschäftspartner und der Öffentlichkeit kann das Vertrauen beschädigt werden, unter Umständen können auch Vertragsstrafen fällig werden. Bei Verstößen gegen den Datenschutz können Bußgelder und Schadenersatz fällig werden. Untersuchungen zeigen, dass die durchschnittlichen Kosten für einen „verlorenen“ Datensatz 141 Dollar betragen.