IT-Sicherheitsbeauftragter: Aufgaben, Befugnisse und Pflichten
14.04.2022 | JM/JS – Online-Redaktion, Forum Verlag Herkert GmbH
Zwei Drittel der deutschen Unternehmen wurden im vergangenen Jahr Opfer von Cyberangriffen. Diese Zahl zeigt die Notwendigkeit für jedes Unternehmen sowie jede öffentliche Verwaltung, die IT-Sicherheit nicht auf die leichte Schulter zu nehmen. Ein wichtiger Schritt zur Absicherung kann die Bestellung eines IT-Sicherheitsbeauftragten sein.
IT-Sicherheitsbeauftragter: gesetzliche Grundlage
Im Gegensatz zum Datenschutzbeauftragten gibt es keine gesetzliche Regelung, die Unternehmen grundsätzlich dazu verpflichtet, einen IT-Sicherheitsbeauftragten zu bestellen. Lediglich das Telekommunikationsgesetz (TKG) fordert im § 166, dass Betreiber öffentlicher Telekommunikationsnetze oder öffentlich zugänglicher Telekommunikationsdienste einen Sicherheitsbeauftragten benennen und ein Sicherheitskonzept erstellen. Das IT-Sicherheitsgesetz 2.0 verpflichtet zudem Betreiber kritischer Infrastrukturen – insbesondere in den Bereichen Strom- und Wasserversorgung, Finanzen, Ernährung und Gesundheit – einen IT-Sicherheitsbeauftragten zu beschäftigen. Denn Ausfälle und Beeinträchtigungen des IT-Systems hätten gravierende Folgen für Wirtschaft, Staat und Gesellschaft.
Im Hinblick auf die steigende Zahl von Cyberangriffen auf deutsche Unternehmen ist es jedoch auch für private Unternehmen ratsam, einen IT-Sicherheitsbeauftragten zu bestellen. Ob diese Stelle von einer einzelnen Person, einer Personengruppe oder in Teilzeit wahrgenommen wird, hängt letztendlich von der Größe des Unternehmens und den vorhandenen Ressourcen ab.
Aufgaben des IT-Sicherheitsbeauftragten
Die Hauptaufgabe des IT-Sicherheitsbeauftragten liegt darin, die Unternehmensführung in Fragen der IT-Sicherheit zu beraten und bei der Umsetzung zu unterstützen (ergänzend können Unternehmen einen Informationssicherheitsbeauftragten bestellen). Des Weiteren hat er u.a. folgende Aufgaben:
- Bestandsaufnahme der bisherigen Aktivitäten zur IT-Sicherheit
- Abstimmung der IT-Sicherheitszielen mit den Zielen des Unternehmens/der Behörde/der Institution
- Erstellung einer IT-Sicherheitsleitlinie
- Aufbau, Betrieb und Weiterentwicklung der IT-Sicherheitsorganisation
- Erstellung eines IT-Sicherheitskonzepts und dessen Anpassung an neue gesetzliche Gegebenheiten
- Erstellung von Richtlinien und Regelungen zur Informationssicherheit
- Unterrichtung der Unternehmensleitung zum Status quo der IT-Sicherheit
- Sicherstellung des Informationsflusses für das IT-Sicherheitsmanagement
- Dokumentation der IT-Sicherheitsmaßnahmen sowie Kontrolle dieser Maßnahmen
- Durchführung von Schulungsmaßnahmen zum Thema IT-Sicherheit
- Leitung der Analyse und Nachbearbeitung von IT-Sicherheitsvorfällen
- Verwaltung der für die IT-Sicherheit zur Verfügung stehenden Ressourcen (Budget, Arbeitszeit)
- Funktion als Ansprechpartner auf dem Gebiet der IT-Sicherheit für Kollegen, aber auch für externe Geschäftspartner und Kunden.
Das notwendige rechtliche und fachliche Grundlagenwissen, um diese Aufgaben erfüllen zu können, erhalten angehende IT-Sicherheitsbeauftragte im Zertifikats-Lehrgang „IT-Sicherheitsbeauftragte/r“. In 3 Tagen vermittelt ein erfahrenes Referententeam relevantes Fachwissen sowie Maßnahmen der Informations- und IT-Sicherheit.
IT-Sicherheitsbeauftragter und Datenschutzbeauftragter
Der Unterschied zwischen dem Aufgabengebiet des IT-Sicherheitsbeauftragten und des Datenschutzbeauftragten liegt im Wesentlichen darin, dass sie für verschiedene Arten von Daten zuständig und verantwortlich sind. Es ist möglich, dass sich die Positionen in der alltäglichen Arbeit überschneiden. Während der IT-Sicherheitsbeauftragte jedoch ganzheitlicher arbeitet, kann sich der Datenschutzbeauftragte detailliert auf die personenbezogenen Daten konzentrieren. Im Idealfall finden beide gemeinsame Lösungen. Interessenskonflikte sollten bei professionellen Mitarbeitern nicht auftreten.
Befugnisse des IT-Sicherheitsbeauftragten
Der IT-Sicherheitsbeauftragte
- ist organisatorisch direkt der Unternehmens-/Behördenleitung unterstellt und hat damit direktes Vortragsrecht,
- ist weisungsbefugt gegenüber IT-Beauftragten und Systemadministratoren,
- kann sich an Dienstberatungen, Projekt- und Leitungsbesprechungen beteiligen,
- hat ein Mitspracherecht bei allen Entscheidungen, die seinen Verantwortungsbereich betreffen,
- hat Zugriff auf alle IT-Systeme und damit verarbeiteten Daten,
- ist befugt, IT-Anwendungen ganz oder teilweise einzustellen, wenn die IT-Sicherheit gefährdet ist,
- hat Zutritt zu allen Betriebsbereichen,
- führt Revisionen im Themenbereich der Informationssicherheit durch bzw. veranlasst Revisionen durch unabhängige Dritte und überprüft so das aktuelle Informationssicherheitsniveau in seinem Aufgabenbereich.
Stellung des IT-Sicherheitsbeauftragten
Der IT-Sicherheitsbeauftragte ist ein Bindeglied zwischen der Geschäftsführung, der IT-Abteilung und den Nutzern. Damit er seine Aufgaben erfüllen kann, ist er weisungsfrei und direkt der Unternehmens- oder Behördenleitung unterstellt. Je nach Umfang seiner Aufgaben muss der IT-Sicherheitsbeauftragte von seinen sonstigen dienstlichen Pflichten freigestellt werden. In größeren Organisationen bietet es sich an, den Sicherheitsbeauftragten in Form einer eigenen Stelle zu führen. Sind die Ressourcen knapp, kann alternativ auch ein externer Sicherheitsbeauftragter verpflichtet werden.
Damit der IT-Sicherheitsbeauftragte nicht in einen Interessenskonflikt gerät, sollte er keine Aufgaben innehaben, die mit seiner Funktion kollidieren könnten. So sollte er beispielsweise kein Administrator sein.
IT-Sicherheitsbeauftragter: Pflicht zur Fortbildung
Der IT-Sicherheitsbeauftragte muss die notwendige Fachkunde mitbringen und die Zuverlässigkeit besitzen, um seine Aufgaben ordnungsgemäß ausführen zu können. Er sollte außerdem bereits Erfahrungen auf dem Gebiet der IT-Sicherheit vorweisen können.
Produktempfehlung
Wer sich dazu entschließt IT-Sicherheitsbeauftragter zu werden, muss sich bereit erklären, regelmäßig an Fortbildungen teilzunehmen. So muss er z. B. die Neuregelungen der Europäischen Datenschutz-Grundverordnung (DSGVO) sowie die Bestimmungen des neuen Bundesdatenschutzgesetzes (BDSG-neu) kennen und diese umsetzen können. Alle relevanten Gesetzesgrundlagen und -änderungen zur DSGVO, zum BDSG-neu sowie zur IT-Sicherheit sind im Buch „Datenschutz 2024“ übersichtlich aufbereitet.
Quellen: „Formularmappe Datenschutz in öffentlichen und kirchlichen Einrichtungen“, „Datenschutz 2022“, BSI