Neuigkeiten & Fachwissen
24.10.2019 | DIGITALISIERUNG

Die zunehmende Vernetzung bietet für Unternehmen große Chancen: Effizienzsteigerungen, neue Geschäftsmodelle, innovative Produkte. Doch mit der Digitalisierung entstehen auch neue Herausforderungen: So sind Unternehmen durch diese Entwicklungen mehr denn je auf eine funktionierende IT-Sicherheit angewiesen. Ein umfassendes IT-Sicherheitskonzept kann das Risiko für hohe Schäden reduzieren. Einen wichtigen Baustein in diesem Konzept bildet die Schaffung der Position eines IT-Sicherheitsbeauftragten.

IT Sicherheit Forum Verlag Herkert

Internes Knowhow aufzubauen ist die Voraussetzung für IT-Sicherheit im Unternehmen. (Bild: © Elnur / stock.adobe.com)

Teure Risiken für die IT-Sicherheit

In ihrem Report zur Cybersicherheit 2019 listet die Unternehmensberatung Deloitte zahlreiche Risiken für die IT-Sicherheit auf, die Entscheider aus Politik und Wirtschaft als drängend wahrnehmen:

  • 74 % sehen Beeinflussung durch Fake News in Internet und Social Media als Gefahr an
  • 70 % schätzen Datenbetrug als gefährlich ein
  • 67 % sehen im Diebstahl privater Daten und in Cyberangriffen eine Gefahr
  • 65 % befürchten Angriffe durch Viren und Schadsoftware

Die Kosten eines Datendiebstahls oder -missbrauchs liegen in Deutschland bei durchschnittlich 4,2 Millionen Euro. Funktionierende IT-Sicherheit ist damit nicht zuletzt ein wichtiger Wettbewerbsfaktor.

Zunehmende Vernetzung erzeugt Handlungsdruck beim Thema Cybersicherheit

Die Vernetzung wird weiter steigen: IoT-Technologien und das 5G-Netzwerk werden auch die Risiken für Unternehmen vergrößern. 78 % der Wirtschaftsführer aus dem Bereich der Industrie 4.0 sind deshalb der Meinung, dass IT-Sicherheit ein wichtiges Zukunftsthema für ihr Unternehmen ist. Diesem Wert stehen jedoch nur 28 % der Entscheider gegenüber, die daraus konkrete Maßnahmen für die IT-Sicherheit oder generell ein IT-Sicherheitskonzept ableiten. Trotz steigendem Problembewusstsein folgen demnach nicht zwingend konkrete Aktivitäten. Dies kann für Unternehmen zu einer existenziellen Bedrohung werden.

Was können Unternehmen für die IT-Sicherheit tun?

Entscheidend ist, dass Unternehmen nicht nur die Dringlichkeit der Lage erkennen, sondern auch entsprechende Maßnahmen einleiten. So müssen sie beispielsweise auch von ihren Lieferanten die Einhaltung von IT-Sicherheitsstandards einfordern.
Um die IT-Sicherheit nachhaltig zu fördern, dürfen Unternehmen sich nicht ausschließlich auf externe Dienstleister verlassen, sondern müssen das Knowhow im eigenen Betrieb aufbauen und stärken. Nur so lässt sich bei diesem wichtigen Thema die Kontrolle behalten. Ein IT-Sicherheitsbeauftragter übernimmt im Unternehmen in diesem Zusammenhang wichtige Aufgaben.

Aufgaben eines IT-Sicherheitsbeauftragten

Betreiber kritischer Infrastrukturen sind sogar dazu verpflichtet, einen IT-Sicherheitsbeauftragten zu benennen; doch auch ohne Verpflichtung nimmt die Relevanz der IT-Sicherheit aufgrund von Digitalisierung und Vernetzung zu. Die Hauptaufgabe eines IT-Sicherheitsbeauftragten ist die Beratung der Unternehmensleitung über den Stellenwert der IT-Sicherheit, das anzustrebende Sicherheitsniveau und die IT-Sicherheitsziele im Unternehmen. Die wichtigsten Tätigkeiten eines IT-Sicherheitsbeauftragten sind daher unter anderem:

  • Bericht über den Status quo der IT-Sicherheit im Unternehmen an die Unternehmensleitung,
  • Entwicklung und Formulierung der IT-Sicherheitsleitlinie in Abstimmung mit der Geschäftsleitung,
  • Kommunikation des IT-Sicherheitskonzepts im Gesamtunternehmen,
  • Ausgestaltung der IT-Sicherheitsleitlinie durch konkrete Richtlinien und Regelungen,
  • Festlegung der Aufgaben in der IT-Sicherheit für den nachgeordneten Bereich,
  • Unterstützung der Anwendung des IT-Grundschutzes durch die Erstellung von Risikoanalysen, die die Basis für das IT-Sicherheitskonzept bilden,
  • Überprüfung des IT-Sicherheitskonzeptes auf Korrektheit und Nachvollziehbarkeit, Evaluation und Optimierung desselben sowie Kontrolle der Fortschritte,
  • Verwaltung der Ressourcen,
  • Koordination von Sensibilisierungs- und Schulungsmaßnahmen.

Schulung zum IT-Sicherheitsbeauftragten

Um die Position eines IT-Sicherheitsbeauftragten kompetent besetzen zu können, sollten Unternehmen Mitarbeiter zum IT-Sicherheitsbeauftragten ausbilden. Eine solche Schulung umfasst verschiedene Bereiche der Cybersicherheit.

1. Rechtliche Grundlagen

Die Teilnehmer werden über rechtliche, organisatorische und technische Herausforderungen informiert. So sind beispielsweise das IT-Sicherheitsgesetz, die Datenschutz-Grundverordnung sowie die Umsetzung und Einhaltung der Gesetze Inhalte der Schulung. Sie lernen aber auch Angriffsszenarien kennen und erfahren, wann rechtliche Grenzen überschritten werden und Handlungen als Straftaten einzustufen sind. Auch die Haftungsfrage ist ein Thema der Schulung: In diesem Zusammenhang erfahren die Teilnehmer, welche Befugnisse, Rechte und Pflichten sie als IT-Sicherheitsbeauftragte haben – und wann sie haftbar gemacht werden können.

2. Grundlagen eines Informationssicherheitsmanagementsystems

Ein weiterer Schritt für mehr IT-Sicherheit ist die Einführung und Optimierung eines Informationssicherheitsmanagementsystems. Denn Unternehmen müssen Informationssicherheit garantieren, indem sie vertrauliche Daten sicher verwalten und übertragen, unberechtigte Zugriffe vermeiden und das Risiko von Systemausfällen verhindern. Dies fällt in den Zuständigkeitsbereich des IT-Sicherheitsbeauftragten, der hier als Multiplikator innerhalb des Unternehmens fungiert: Seine Aufgabe ist es, einerseits bei der Unternehmensleitung Bewusstsein für die Themen Informations- und Datensicherheit zu schaffen und andererseits Mitarbeiter beim Thema Cybersicherheit zu schulen.

3. Maßnahmen

Teilnehmer der Schulung zum IT-Sicherheitsbeauftragten lernen zudem typische Angriffsszenarien kennen und welche Absicherungsmaßnahmen sich dagegen ergreifen lassen. Diese reichen von technischen Maßnahmen wie Firewalls und Proxy-Systemen über infrastrukturelle Barrieren wie Zutrittskontrollen bis hin zu differenzierten Berechtigungserteilungen. Auch Notfallpläne wie Back-up-Konzepte und Maßnahmen, die bei Sicherheitsvorfällen zu ergreifen sind, sind Thema der Schulung. So lassen sich Ausfallzeiten und Schäden minimieren.

 

Risikobewusstsein für Cybersicherheit schaffen

Ein IT-Sicherheitsbeauftragter kann aber nur effektiv zum Schutz der IT-Sicherheit beitragen, wenn das entsprechende Risikobewusstsein auf allen Ebenen des Unternehmens vorhanden ist. Dazu bedarf es der fortlaufenden Information aller Mitarbeiter. Insbesondere die Führungsebene muss IT-Sicherheit sowohl als drängendes Thema anerkennen als auch entsprechende Maßnahmen ergreifen beziehungsweise unterstützen.

Ein IT-Sicherheitsbeauftragter ist also nicht nur als Umsetzer von Maßnahmen gefragt – seine Aufgabe ist es auch, Kollegen und Vorgesetzte von der Dringlichkeit des Themas überzeugen. Nur wenn er mit der Geschäftsleitung Hand in Hand arbeitet, kann es gelingen, ein effektives und effizientes Sicherheitskonzept auf die Beine zu stellen. Dabei ist neben technischem Knowhow auch der Blick fürs große Ganze gefragt: Der IT-Sicherheitsbeauftragte muss gemeinsam mit der Geschäftsführung sowohl die Ziele des Unternehmens als auch die Ziele der IT-Sicherheit im Blick haben und diese optimal miteinander vereinbaren und verfolgen.

Augsburg, 24.10.2019
Online-Redaktion AKADEMIE HERKERT

Newsletter
aktuelle Neuigkeiten
wertvolles Fachwissen
verschiedene Themengebiete