Externer Informations­sicherheits­beauftragte (ISB): Aufgaben, Vorteile & Leistungen

Was ist ein externer Informationssicherheitsbeauftragter (ISB)?

Ein externer ISB ist eine natürliche oder juristische Person, die von einem Unternehmen mit der Überwachung und Koordinierung der IT-Sicherheitsstrategie und den dazugehörigen Maßnahmen beauftragt wird, ohne selbst Teil des Unternehmens zu sein.

Zum Verantwortungskreis des ISB gehört es, die Ergreifung angemessener Maßnahmen zum Schutz der IT-Systeme und Unternehmensdaten sicherzustellen. "Extern" bedeutet in diesem Zusammenhang, dass die betreffende Person gerade nicht festangestellt ist, sondern als außenstehender Dienstleister beauftragt wird.

Gibt es eine Pflicht für Unternehmen, einen ISB zu haben?

In Deutschland gibt es keine generelle gesetzliche Pflicht zur Bestellung eines ISB für Unternehmen. Ausnahmen gelten insofern jedoch für Unternehmen, die unter den Begriff der kritischen Infrastruktur (KRITIS) fallen und durch das BSI-Gesetz (BSIG) reguliert werden. Nach § 8a BSIG müssen KRITIS-Betreiber angemessene technische und organisatorische Vorkehrung zur Vermeidung spezifischer Störungen ihrer informationstechnischen Ausstattung treffen.

Um dies zu erfüllen, gibt es verschiedene - teils sektorspezifische - Informationssicherheitsstandards, etwa ISO/IEC 27001, BSI-Grundschutz und TISAX. Da diese Standards die Ernennung eines ISB vorschreiben, besteht für KRITIS-Betreiber somit ein faktisches Erfordernis zur Bestellung.

Welche Vorteile hat es, einen externen ISB im Unternehmen zu haben?

Die Vorteile eines externen ISB liegen vor allem in dessen Qualifikation, Neutralität und der Kostenersparnis für das bestellende Unternehmen. Auch wenn es keine gesetzlich geregelten Kriterien für die Ausbildung zum ISB gibt, muss dieser über ein umfangreiches Fachwissen zur IT-Sicherheit verfügen.

Neben vertieften Kenntnissen für IT-Systeme, Netzwerktechnologien, Software, Hardwarearchitektur u.v.m., muss dieser auch mit sämtlichen branchenrelevanten Sicherheitsstandards und Gesetzen vertraut sein. Der interdisziplinäre Charakter der Rolle eines ISB setzt deshalb in der Regel umfangreiche praktische Erfahrung voraus.

Neben fachlichen Aspekten, sollte ein ISB auch über die entsprechenden soft skills - Durchsetzungsfähigkeit und Kommunikationstalent - verfügen, um den Betriebsangehörigen die Einhaltung von IT-Sicherheitsmaßnahmen auf persönlicher Ebene nahezubringen. Gerade im persönlichen Umgang stellt auch die Neutralität des ISB eine Gratwanderung dar.

Um objektive Einschätzungen zu Risiken und Sicherheitsmaßnahmen zu geben, muss dieser grundsätzlich unabhängig agieren können. Interne Interessenkonflikte führen dabei häufig zu einer Belastungsprobe der neutralen Aufgabenwahrnehmung. Ein externer ISB hat insofern die Möglichkeit seine fachliche Expertise unabhängig von innerbetrieblichen Interessen einzubringen.

Für viele Unternehmen ist die Bestellung eines externen ISB auch deutlich kosteneffizienter als eigens Mitarbeiter zu schulen und abzustellen. Ausbildung und Aufgabenwahrnehmung binden personelle Ressourcen und können innerbetriebliche Abläufe dadurch stören. Die Ernennung eines internen ISB ist zudem deutlich unsicherer, da diese Rolle im Falle einer Kündigung wegfällt und mit erheblichem Aufwand neu besetzt werden muss.

Im Überblick: Interner oder externer ISB?

Welche Aufgaben hat der externe Informationssicherheitsbeauftragte?

Im Alltag nimmt ein externer ISB vielfältige Aufgaben wahr, diese umfassen im Wesentlichen:

Beratung und Berichterstattung an die Geschäftsführung

Der externe ISB agiert praktisch als Vermittler zwischen Geschäftsführung, Nutzern und IT-Betreuung. Er sorgt dafür, dass Probleme und Maßnahmen reibungslos zwischen sämtlichen Beteiligten kommuniziert werden und berichtet regelmäßig an die Geschäftsführung.

Durchführung von Risikoanalysen

Zu den Kernaufgaben des externen ISB zählt die regelmäßige Evaluierung von Risiken und Identifizierung von unternehmensspezifischen Schwachstellen der Informationssicherheit. Dafür muss dieser sämtliche sicherheitsrelevanten Objekte im Blick haben und in regelmäßigen Abständen das Bedrohungspotenzial überprüfen.

Erstellung und Pflege von Sicherheitsrichtlinien

Der externe ISB definiert die Sicherheitsziele einer Organisation und bildet diese in Form von Sicherheitsrichtlinien ab. Um das Sicherheitsniveau des Unternehmens zu gewährleisten, müssen diese stets auf dem aktuellen Stand gehalten werden.

Schulung der Mitarbeiter

Auch die Schulung und Sensibilisierung der Betriebsangehörigen zu Fragen der Informationssicherheit gehört zum Aufgabenspektrum des externen ISB.

Überwachung

Der externe ISB ist zudem dafür verantwortlich, die Einhaltung von Standards und gesetzlichen Rahmenbedingungen zur Informationssicherheit zu überprüfen. Mängel müssen unverzüglich an die Geschäftsführung berichtet und durch Maßnahmen behoben werden.

Reaktion auf Sicherheitsvorfälle

Der externe ISB ist außerdem Ansprechpartner im Rahmen der Koordination und Aufarbeitung von Informationssicherheitsvorfällen. Hierzu zählt auch die Reaktion auf und Prävention von Bedrohungen.

Was ist der Unterschied zwischen einem ISB, einem IT-Sicherheitsbeauftragten und einem CISO?

Die Begriffe ISB, IT-Sicherheitsbeauftragter und CISO werden häufig synonym verwendet, theoretisch unterscheiden sich deren Rollen jedoch in bestimmten Feinheiten.

Ein ISB ist für den Schutz sämtlicher Unternehmensinformationen zuständig. Dafür übernimmt er alltägliche wie praktische Aufgaben, um die technische Umsetzung der Informationssicherheit zu gewährleisten.

Ein CISO agiert eher übergeordnet und nimmt vor allem strategische Aufgaben sowie die Kommunikation mit der Geschäftsführungsebene wahr. Gerade in kleineren bis mittelständischen Betrieben fallen die Aufgaben von CISO und ISB häufig in der Rolle des ISB zusammen. Bei größeren Unternehmen, internationaler Ausrichtung und Konzernstrukturen ist die Unterscheidung zwischen strategischem und operativem Geschäft jedoch häufig sinnvoll, um eine Überlastung des ISB zu vermeiden.

Davon abzugrenzen ist der IT-Sicherheitsbeauftragte. Dieser ist speziell für den Schutz der IT-Systeme samt darin gespeicherter Daten und der strategischen Implementierung von IT-Systemen zuständig. Soweit abgrenzbar, konzentriert sich der IT-Sicherheitsbeauftragte gegenüber ISB und CISO eher auf den Schutz der IT-Systeme. Auch diese Tätigkeiten fallen in der Praxis häufig mit der Rolle des ISB zusammen.

Diese Leistungen erbringt ein externer Informations­sicherheits­beauftragter von ISiCO für Sie

• Entwicklung und Implementierung von Sicherheitsstrategien, die die spezifischen Anforderungen und Risiken Ihres Unternehmens berücksichtigt. Es werden Sicherheitsrichtlinien und –verfahren definiert, um Datenverluste und Sicherheitsverletzungen zu verhindern.
• Aufbau, Ausbau und Pflege des Informationssicherheitsmanagementsystems (ISMS), um sicherzustellen, dass es den aktuellen Anforderungen Ihres Unternehmens entspricht und stetig verbessert wird.
• Regelmäßige Überprüfung und Bewertung der im ISMS beschriebenen Prozesse und Maßnahmen, um sicherzustellen, dass sie den Sicherheitszielen des Unternehmens entsprechen. Bei Bedarf werden Bedarfsanpassungen vorgenommen.
• Risikomanagement, bei dem potenzielle Sicherheitsrisiken und ihre Auswirkungen auf das Unternehmen bewertet werden. Basierend auf dieser Analyse werden Maßnahmen zur Risikominderung und -kontrolle entwickelt.
• Krisenmanagement im Falle eines Sicherheitsvorfalls. Die Reaktion des Unternehmens wird organisiert, die Untersuchung des Vorfalls geleitet, Wiederherstellungsmaßnahmen koordiniert und gegenüber relevanten Stakeholdern kommuniziert, um den Schaden für das Unternehmen zu minimieren.
• Schulungen und Sensibilisierung aller Mitarbeitenden über Sicherheitsrisiken und die entsprechenden Verfahren und Best Practices.
• Kommunikation mit dem Management über den Status der Informationssicherheit im Unternehmen, die Identifizierung potenzieller Risiken sowie Empfehlungen für einzuführende Sicherheitsmaßnahmen.
• Externe Kommunikation mit Partnerinnen und Partnern, Behörden und anderen relevanten Stakeholdern in allen Fragen der Informationssicherheit.
  Sicherheitsaudits und Zertifizierungsprozesse werden koordiniert und Unternehmen so bei der Stärkung ihrer Informationssicherheit unterstützt.

Häufige Fragen zum externen ISB

Welche Branchen profitieren besonders von einem externen Informationssicherheitsbeauftragten?

Grundsätzlich bietet ein externer ISB Vorteile für Unternehmen aller Branchen und Sektoren. Besonders Unternehmen, die unter die KRITIS-Regulierung fallen, können sich durch die Bestellung eines externen ISB absichern. Auch Unternehmen im Bereich der Digitalisierung profitieren vom Know-How externer ISB. Neben der Branche sollten auch Größe und Komplexität der Datenströme berücksichtigt werden: größere Unternehmen mit hohen Datenaufkommen (etwa durch Zulieferer) sind in der Regel auf die Expertise externer ISB angewiesen.

Welche Qualifikationen sollte ein externer Informationssicherheitsbeauftragter mitbringen?

Mangels gesetzlich geregelter Ausbildung sollte ein externer ISB zunächst über einen berufsqualifizierenden Abschluss (etwa B.Sc./M.Sc., staatlich anerkannter Techniker, Abschluss in einem anerkannten Ausbildungsberuf) in Richtung Technologie, Informatik oder im juristischen Bereich verfügen. Häufig nehmen auch Voll- oder Wirtschaftsjuristen mit entsprechender Praxiserfahrung die Tätigkeit eines externen ISB wahr. Neben fachlichem Wissen sollte eine externer ISB über umfangreiche praktische Erfahrung verfügen. Auch sehr gute Kommunikations- und Analysefähigkeiten sind für eine erfolgreiche Aufgabenwahrnehmung unabdingbar.

Übernimmt der ISB auch Datenschutz-Aufgaben?

Im Regelfall sollte eine Vermischung von Datenschutzaufgaben und Aufgaben des ISB vermieden werden. Der ISB unterstützt zwar im Rahmen seiner Tätigkeit die Aufrechterhaltung eines angemessenen Datenschutzniveaus, dessen Verantwortung liegt jedoch in der Regel beim Datenschutzbeauftragten (DSB). Sobald ein Unternehmen nach Maßgabe der DSGVO/ des BDSG zur Ernennung eines DSB verpflichtet ist, muss es dessen unabhängige Aufgabenwahrnehmung gewährleisten. Dazu gehört auch, dass der DSB nicht selbst über die Festlegung von Datenverarbeitungsvorgängen entscheiden darf. Da dies im Rahmen der ISB-Tätigkeit jedoch durchaus vorkommt, bestünde insofern eine Interessenkollision. Die Datenschutzaufgaben des ISB beschränken sich somit auf Kooperation und Austausch mit dem DSB sowie entsprechende Zuarbeit.

Welche Rolle spielt der externe ISB bei einem Sicherheitsvorfall?

Der externe ISB spielt bei einem Sicherheitsvorfall eine zentrale Rolle, da er für Koordination, Überwachung und Reaktion auf den Vorfall verantwortlich ist. Dazu zählen ein koordinierter Reaktionsmechanismus sobald ein Vorfall erkannt wurde, dessen Analyse, Kommunikation mit allen beteiligten Stellen und sofortige Behebung. Abschließend müssen die Ursachen des Vorfalls untersucht und nachbereitet werden.

Führt der externe ISB auch IT-Sicherheitsaudits durch?

Ja, die Durchführung interner IT-Sicherheitsaudits gehört zu den grundlegenden Aufgaben eines ISB. Dabei sind verschiedene Schwerpunktsetzungen denkbar. Anhand eines Audits können die implementierten Sicherheitsmaßnahmen überprüft und die Systeme auf Schwachstellen getestet (Penetrationstest) werden. Die Audits können auch zur Vorbereitung auf eine geplante Zertifizierung durchgeführt werden.