DBS und ISB Kontrollinstanzen für die IT-Sicherheit

Von Dr. Stefan Riedl

Der Datenschutzbeauftragte kümmert sich um Datenschutz und ist in ­bestimmten Fällen durch die DSGVO vorgeschrieben. Doch wie ist die Lage beim Informationssicherheitsbeauftragten? Wann dessen Benennung vorgeschrieben ist, erläutert der Netzlink-Chef.

Anbieter zum Thema

Fällt ein Unternehmen in das KRITIS-Segment, muss ein Informationssicherheitsbeauftragter benannt werden.
Fällt ein Unternehmen in das KRITIS-Segment, muss ein Informationssicherheitsbeauftragter benannt werden.
(Bild: Gorodenkoff-stock.adobe.com)

So viel vorab: Eine gesetzliche Anforderung, einen Informationssicherheitsbeauftragten (ISB) zu benennen, besteht zurzeit nur für vergleichsweise wenige Unternehmen. Er wird benötigt, wenn bestimmte Zertifizierung angestrebt werden, wie die nach ISO/IEC 27001 oder wenn ein Unternehmen in den KRITIS-Bereich fällt (kritische Infrastrukturen).

Das Bundesamt für ­Sicherheit in der Informationstechnik (BSI), rät, die Stelle des ISB nicht in die Position des IT-Leiters oder Systemadministrators zu integrieren, weiß Sven-Ove Wähling, Geschäftsführer bei Netzlink. Denn ein ISB soll als Kontrollinstanz fungieren, um seine Aufgaben unabhängig von der IT-Organisation zu erfüllen.

Sven-Ove Wähling, Geschäftsführer bei Netzlink
Sven-Ove Wähling, Geschäftsführer bei Netzlink
(Bild: Netzlink)

Mit mehreren Rollen und überschneidenden Aufgaben seien Interessenskonflikte vorprogrammiert. „Genauso kann eine Personalunion mit dem Datenschutzbeauftragten kritisch sein, besonders was die Aufteilung der zeitlichen und fachlichen Ressourcen angeht“, so Wähling. Auch externe ISB können benannt werden.

Unterschiede und Gemeinsamkeiten

Sowohl der ISB als auch der Datenschutzbeauftragte (DSB) sind nicht lediglich als spezialisierte Berater zu verstehen, auch wenn die unternehmensinterne Beratung einen Teilaspekt ihrer Arbeit darstellt, erläutert der Netzlink-Geschäftsführer. Ein DSB kann man in erster Linie als Hüter der Belange der Betroffenenrechte verstehen. Das heißt, er sorgt unter anderem durch systematische und Stichprobenkontrollen dafür, dass die personenbezogenen Daten von der Erhebung bis zur Löschung rechtskonform und zweckgebunden verarbeitet werden.

Bei Datenschutzvorfällen steht er den Aufsichtsbehörden als Ansprechpartner zur Verfügung und kontrolliert die fristgerechte Umsetzung von Anfragen, beispielsweise wenn es um die Löschung personenbezogener Daten geht.

So gesehen agiert ein Informationssicherheitsbeauftragter auf einer vergleichbaren Ebene, denn auch er kontrolliert, arbeitet zu und unterstützt. Im Zentrum seines Wirkens steht jedoch Aufbau und die Pflege eines Informationssicherheitsmanagementsystems (ISMS).

Mitarbeiter sensibilisieren

In „Awareness-Trainings“ schult der Informationssicherheitsbeauftragte die Mitarbeiter. Diese sollen in Sachen IT-Sicherheit und beim Umgang mit Informationen sensibilisiert und auf mögliche Bedrohungen hingewiesen werden. Meist werden folgende Themen besprochen:

  • Sicherer Umgang mit E-Mails
  • Verwendung von USB-Sticks und mobilen Geräten
  • Arbeitsplatz versus Homeoffice
  • Online-Verhalten
  • Starke Passwörter
  • Computersicherheit

Herausforderungen im Tagesgeschäft

Eine besondere Herausforderung für den ISB stellen Unternehmen dar, die mit veralteter Technik zu kämpfen haben, denn Altsysteme, die als Datenlieferanten für nachgelagerte Systeme dienen, bergen oft Sicherheitsrisiken für das gesamte Netzwerk. „Diese lassen sich jedoch nicht ohne Weiteres austauschen oder stilllegen“, weiß Sven-Ove Wähling aus der Praxis als externer ISB. „Hier müssen die Informationssicherheitsbeauftragten sich diese Systeme im Einzelnen genau anschauen und gemeinsam mit der IT-Abteilung und der Geschäftsführung überlegen, wie sich die Systeme und Informationsflüsse absichern lassen, um die Ziele der Informationssicherheit und die individuellen Unternehmensziele bestmöglich miteinander zu vereinbaren.“

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:47930284)