Artikel

Wer ist in meinem Unternehmen für die IT-Sicherheit verantwortlich?

Der IT Security in Unternehmen und Organisationen kommt immer mehr Bedeutung zu. Einerseits ist die steigende Zahl an Cyberangriffen ein Grund dafür. Andererseits trägt auch die zunehmende Digitalisierung dazu bei. Die Komplexität der Netzwerke nimmt immer weiter zu, digitale Systeme sind in allen Unternehmensbereichen im Einsatz und private Endgeräte sind im Unternehmensnetzwerk aktiv. Diese dynamische Sicherheitslage erfordert ein Umdenken in der IT Security.

Benötigt werden Verantwortliche, die die Gesamtlage im Blick haben, ein Konzept für die IT-Sicherheit entwerfen und als Bindeglied zwischen Mitarbeitern, der IT-Abteilung sowie der Geschäftsleitung dienen.

Grundsätzlich wird je nach Unternehmensgröße unterschieden. Während große Unternehmen viele verschiedene Rollenbezeichnungen in den letzten Jahren etabliert haben, liegt die Verantwortung der IT-Sicherheit bei kleineren Unternehmen oft bei der Geschäftsführung selbst.

Denn Fakt ist: Als Geschäftsführer* bleiben Sie für die IT-Sicherheit Ihres Unternehmens verantwortlich – unabhängig davon, ob sich Ihre persönliche Expertise auf diesen Bereich erstreckt oder nicht. Damit haften Sie auch eventuell persönlich gegenüber geschädigten Dritten.

Sicherheitsbeauftragte nehmen eine Brückenfunktion in Unternehmen ein

Die Position des IT-Sicherheitsbeauftragten ist aktuell in vielen Unternehmen noch unbesetzt. Gerade kleine und mittlere Unternehmen vernachlässigen diesen Aufgabenbereich beziehungsweise sind der Meinung, dass andere Mitarbeiter der IT-Abteilung gleichwertig mit dem IT-Sicherheitsbeauftragten sind und den Job übernehmen. Dies ist jedoch eine Fehleinschätzung.

So übernimmt der IT-Sicherheitsbeauftragte Aufgaben, die in jedem Unternehmen das Sicherheitsniveau steigern. Dies ist vor allem ein kontinuierlicher Prozess, beispielsweise durch die laufende Fortbildung der Mitarbeiter sowie die Überwachung der Einhaltung von Sicherheitsrichtlinien. Mit seinem Wissen und den Fähigkeiten schließt der Sicherheitsbeauftragte die Lücke, die zwischen dem Management und der IT-Abteilung besteht.

Ist ein IT-Sicherheitsbeauftragter gesetzlich vorgeschrieben?

Es ist für die meisten Unternehmen gesetzlich nicht vorgeschrieben, einen IT-Sicherheitsbeauftragten Job zu besetzen. Anbieter von öffentlichen Telekommunikationsnetzen oder öffentlich zugänglichen Telekommunikationsdiensten sind jedoch dazu verpflichtet, einen solchen Mitarbeiter zu beschäftigen. Dies ist in § 109 Abs. 4 Satz 1 des Telekommunikationsgesetzes (TKG) geregelt. Darüber hinaus schreibt das IT-Sicherheitsgesetz für bestimmte Branchen ebenfalls die Schaffung eines IT-Sicherheitsbeauftragten Jobs vor. Dies betrifft Betreiber von kritischen Infrastrukturen wie Strom- und Wasserversorger, Banken oder Versicherungen sowie Unternehmens der Lebensmittelbranche.

Die Aufgaben eines IT-Sicherheitsbeauftragten

Der Sicherheitsbeauftragte übernimmt weitreichende Funktionen innerhalb eines Unternehmens. So arbeitet er sowohl im organisatorischen als auch dem operativen Bereich. Die zentrale Aufgabe eines IT-Sicherheitsbeauftragten ist es, die Gefahren für IT-Sicherheitsvorfälle zu reduzieren und das Niveau der IT-Sicherheit anzuheben.

So übernimmt der IT-Sicherheitsbeauftragte Aufgaben, die in einem Unternehmen das Sicherheitsniveau steigern. Dies ist vor allem ein kontinuierlicher Prozess, beispielsweise durch die laufende Fortbildung der Mitarbeiter/innen sowie die Überwachung der Einhaltung von Sicherheitsrichtlinien.

Mit seinem Wissen und den Fähigkeiten schließt der Sicherheitsbeauftragte die Lücke, die zwischen dem Management und der IT-Abteilung besteht. Größere Organisationen erfordern einige Schlüsselpersonen, die für die Cyber-Sicherheit verantwortlich sind. Dazu gehören der Chief Information Security Officer (CISO), der Chief Information Officer (CIO), der Chief Technology Officer (CTO), der Chief Information Security Officer (CSO) und der Chief Security Officer (CSO).

In kleineren Unternehmen kann ein externer IT-Sicherheitsbeauftragter diese Aufgaben übernehmen. Somit haben auch KMUs die Möglichkeit, über Dienstleistungen diese wichtige Position zu besetzen.

Das Präventionsparadox

Geschäftsführer sind ständig mit der Frage konfrontiert, wie viel sie in die Cyberabwehr investieren sollen. Auf der einen Seite stehen die Kosten für die Implementierung und den Betrieb einer Cyberabwehrlösung, auf der anderen Seite die Kosten, die durch einen erfolgreichen Cyberangriff entstehen können. Die Entscheidung, in die Cyberabwehr zu investieren oder nicht, ist oft eine Frage des Präventionsparadoxes.

Man sieht ein Ereignis nicht, das durch eine präventive Maßnahme verhindert wurde – und stellt die Maßnahme selbst in Frage. Denn ein vereitelter Angriff wird nur selten sichtbar – niemand sieht den verheerenden Schaden, der verhindert werden konnten. Doch es gibt glücklicherweise auch die andere Seite der Medaille: Den Erfolg, ein Problem zu lösen und den Kollegen so zu ermöglichen, ihren Job einfacher und sicherer zu erledigen, beispielweise die erfolgreiche Identifizierung und Detonation einer Phishing-E-Mail.

Fazit

IT-Sicherheitsbeauftragte sind aktuell jedem Unternehmen zu empfehlen, denn sie verbessern kontinuierlich die IT Security und sorgen für einheitliche Standards. Im Hinblick auf die zukünftige Entwicklung in der IT-Sicherheit und die fortschreitende Digitalisierung ist es wichtig, einheitliche und hohe Sicherheitsstandards in Unternehmen zu etablieren. Aus diesem Grund kommen Unternehmen im 21. Jahrhundert nicht mehr ohne einen IT-Sicherheitsbeauftragten aus.

*Aus Gründen der besseren Lesbarkeit wird auf die gleichzeitige Verwendung der Sprachformen männlich, weiblich und divers (m/w/d) verzichtet. Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.