"Die Lage der IT-Sicherheit in Deutschland war und ist besorgniserregend" - heißt es auf der Website des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum aktuellen Lagebericht zur IT-Sicherheit in Deutschland. Unternehmen kämpfen mit Angriffen aus dem Cyberraum und müssen ihre Systeme und Informationen entsprechend schützen.

Hinzu kommen gesetzliche Vorgaben wie NIS2, Kundenanforderungen nach Zertifizierungen für die ISO 27001 oder branchenspezifische Anforderungen (z. B. TISAX in der Automobilindustrie). Sie fordern von betroffenen Firmen, die Informationssicherheit zu gewährleisten, sprich die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen.

Diese Anforderungen an Informationssicherheit sind nicht nur für große Konzerne relevant, sondern auch für kleine und mittlere Unternehmen (KMU), da große Unternehmen ihre Anforderungen meistens 1:1 an die komplette Lieferkette weitergeben. Doch wie meistern Firmen die gestiegenen Herausforderungen rund um Informationssicherheit möglichst effizient?

Informationssicherheit muss die bereits etablierten Strukturen und Prozesse in Unternehmen unterstützen und einen Mehrwert für die operativen Prozesse liefern - sonst besteht die Gefahr, dass die relevanten Themen nicht wirksam umgesetzt werden können. Ein Treiber für die Umsetzung kann die Bestellung eines Informationssicherheitsbeauftragten, kurz ISB, im Unternehmen sein.

Die Aufgaben eines ISB

Grundsätzlich soll ein ISB dafür sorgen, dass ein Unternehmen Risiken für die Informationssicherheit frühzeitig erkennt und reduziert. Er ist für die Umsetzung und den Betrieb eines Informationssicherheits-Managementsystems (ISMS) oder anderer relevanter Regularien verantwortlich und berät die Geschäftsführung in allen Belangen der Informationssicherheit. Diese Aufgabe muss aber nicht zwangsläufig intern mit einer Stelle geschaffen werden. Gerade im Mittelstand und bei KMU ist das nicht realistisch. Hier bietet es sich für Diesntleister an, als externer Informationssicherheitsbeauftragter aufzutreten.

Ziel ist es, die bestehenden Strukturen im Unternehmen zu nutzen und vor allem das operative Geschäft zu unterstützen. Das "Wie?" und die konkrete Ausgestaltung hängen von vielen unterschiedlichen Faktoren ab. Allgemein ist es wichtig, den Kontext des Unternehmens zu betrachten, bevor man mit der Arbeit als ISB beginnt. Dazu gehören beispielsweise:

Größe des Unternehmens

Branche, in der das Unternehmen tätig ist

Branchen, in der die Kunden des Unternehmens tätig sind

Gesetzliche und regulatorische Anforderungen, von denen das Unternehmen betroffen ist

Unternehmenskultur

Interne Prozesse und Strukturen

Relevante Stakeholder

Als Faustregel gilt: Je größer das Unternehmen, desto mehr politische Arbeit wird der ISB leisten müssen, weil er abteilungsübergreifend agiert und die unterschiedlichen Interessen der einzelnen Bereiche austarieren muss. Bei KMUs spielt die interne Unternehmenspolitik auch eine wichtige Rolle, die fachlichen Grundlagen sind aber wichtiger. Oftmals fehlen bei eher kleineren Unternehmen wesentliche Bestandteile als Basis für ein wirksames Management der Informationssicherheit.

Das sollte ein ISB mitbringen

Basis für eine erfolgreiche Arbeit als ISB sind profunde Kenntnisse der relevanten Regelwerke (z. B. ISO/27001, TISAX, DORA, NIS2), ein tiefes fachliches Verständnis der Wertschöpfungsprozesse des Unternehmens und der dahinterliegenden IT-Infrastruktur. Informationssicherheit ist aber weitaus mehr als "nur" IT. Weitere Themen sind etwa physische Sicherheit, Asset- und Risikomanagement, personenbezogene Maßnahmen wie Security-Awareness-Schulungen oder die Kategorisierung von Lieferanten gemäß ihrer Kritikalität.

Neben dem Fachwissen sind vor allem kommunikative Skills unabdingbar, um Informationssicherheit wirksam in das Unternehmen zu integrieren. Die wichtigste Kernkompetenz eines ISBs ist die Fähigkeit, alle Mitarbeiter im Unternehmen davon zu überzeugen, dass sie selbst die Informationssicherheit im Unternehmen wesentlich verbessern können. Gelingt es dem ISB - quasi als Sahnehäubchen - den Mitarbeitern Prozess- und/oder Strukturverbesserungen aufzuzeigen, welche die tägliche Arbeit erleichtern, kann er sich endgültig auf die Unterstützung verlassen.

Für Mitarbeiter, die sich nicht hauptberuflich mit Informationssicherheit auseinandersetzen, stellt das Thema eine neue, wenn nicht gar fremde Welt dar. Das Thema zu transportieren, bedeutet auch viel Verständnis und Geduld für die Mitarbeiter aufzubringen, für die Informationssicherheit oft auch zusätzliche Arbeit bedeutet. Das gilt insbesondere auch für das C-Level und Führungskräfte.

Direkter Draht zur Geschäftsführung

Der ISB benötigt den direkten Berichtsweg zur Geschäftsführung. Daher sollte er organisatorisch am besten in Form einer Stabsstelle bei der Geschäftsführung angesiedelt sein - nur so hat er den notwendigen Rückhalt, um die Belange der Informationssicherheit abteilungsübergreifend aufzugreifen und durchzusetzen. Der Ansatz, den ISB in der IT einzuordnen (mit Berichtsweg zum IT-Leiter), wird zwar in der Praxis oft gewählt, führt aber eher zu Interessenskonflikten als zu einer höheren Informationssicherheit.

Betrachtet man die Themenfelder und Aufgaben eines ISBs gesamtheitlich, wird schnell klar, dass der ISB nur indirekt zur Wertschöpfung eines Unternehmens beiträgt. Trotzdem verlangt das Thema Investitionen - sowohl finanzieller als auch personeller Natur. Widerstände mit Entscheidern eines Unternehmens sind hier vorprogrammiert. Kreative und pragmatische Lösungen dürfen im Werkzeugkasten eines ISBS daher nicht fehlen.

Option externer ISB

Die Position eines ISB ist anspruchsvoll. Die Anforderungen reichen von fachlicher Expertise und Prozesskenntnissen über kommunikative Kompetenzen bis hin zu langjähriger Erfahrung im Umgang mit komplexen Herausforderungen. Viele Unternehmen, die diese Stelle besetzen müssen, suchen zunächst nach einer internen Lösung.

Oftmals fehlen aber die notwendigen Kompetenzen und Erfahrungen. Mitarbeiter werden auf Schulungen und Workshops geschickt, um innerhalb einer Woche das Handwerk eines ISBs zu lernen. Oftmals werden die betroffenen Mitarbeiter dazu überredet und starten mit entsprechend wenig Motivation, vielen Unsicherheiten und fehlenden Erfahrungswerten.

In der Praxis hat sich daher als sehr gute Alternative das Modell eines externen ISBs bewährt. Dieser kann sowohl als Sparringspartner als auch als befristete Übergangslösung implementiert werden. Das Unternehmen profitiert von den Erfahrungen des externen ISBs und kann das Thema Informationssicherheit effektiv und effizient aufbauen. Weiterhin profitiert das Unternehmen mittel- und langfristig vom Wissenstransfer an interne Mitarbeiter.



