/

Wer oder was ist Informationssicherheit?

Informationssicherheit steht im Fokus des BSI IT-Grundschutzes. Dieser Begriff wird oft unterschiedlich interpretiert.

Laut Definition hat Informationssicherheit das Ziel, Informationen jeglicher Art und Herkunft zu schützen. Dabei können Informationen auf Papier, in IT-Systemen oder auch in den Köpfen der Benutzer gespeichert sein. IT-Sicherheit als Teilmenge der Informationssicherheit konzentriert sich auf den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung.

Organisation des Sicherheitsprozesses
Das angestrebte Sicherheitsniveau kann nur erreicht werden, wenn der Informationssicherheitspro­
zess für den gesamten Geltungsbereich umgesetzt wird. Dieser übergreifende Charakter des Sicher­
heitsprozesses macht es notwendig, Rollen innerhalb der Institution festzulegen und den Rollen die
entsprechenden Aufgaben zuzuordnen. Diese Rollen müssen dann qualifizierten Mitarbeitern über­
tragen und von diesen ausgeführt werden. Nur so kann gewährleistet werden, dass alle wichtigen
Aspekte berücksichtigt und sämtliche anfallende Aufgaben effizient und effektiv erledigt werden.
Die Aufbauorganisation, die zur Förderung und Durchsetzung des Informationssicherheitsprozesses
erforderlich ist, wird als Informationssicherheitsorganisation oder kurz IS-Organisation bezeichnet.
Wie viele Personen in welcher Organisationsstruktur und mit welchen Ressourcen mit Informations­
sicherheit beschäftigt sind, hängt von der Größe, Beschaffenheit und Struktur der jeweiligen Institu­
tion ab. Auf jeden Fall sollte als zentraler Ansprechpartner für die Koordination, Verwaltung und
Kommunikation des Prozesses „Informationssicherheit“ ein Informationssicherheitsbeauftragter (ISB)
benannt werden. In größeren Institutionen gibt es darüber hinaus typischerweise weitere Personen,
die verschiedene Teilaufgaben für Informationssicherheit wahrnehmen. Um deren Tätigkeiten aufein­
ander abzustimmen, sollte ein IS-Management-Team aufgebaut werden, das sämtliche übergreifen­
den Belange der Informationssicherheit regelt und Pläne, Vorgaben und Richtlinien erarbeitet.
Um den direkten Zugang zur Institutionsleitung sicherzustellen, sollten diese Rollen als Stabsstelle
organisiert sein. Auf Leitungsebene sollte die Aufgabe der Informationssicherheit eindeutig einem
verantwortlichen Manager zugeordnet sein, an den der ISB berichtet.
Unabhängig davon, wie eine optimale Struktur für die eigene IS-Organisation zu gestalten ist, sind die
drei folgenden Grundregeln dabei unbedingt zu beachten.
Grundregeln bei der Definition von Rollen im Informationssicherheitsmanagement
• Die Gesamtverantwortung für die ordnungsgemäße und sichere Aufgabenerfüllung (und damit für
die Informationssicherheit) verbleibt bei der Leitungsebene.
• Es ist mindestens eine Person (typischerweise als Informationssicherheitsbeauftragter) zu benen­
nen, die den Informationssicherheitsprozess fördert und koordiniert.
• Jeder Mitarbeiter ist gleichermaßen für seine originäre Aufgabe wie für die Aufrechterhaltung der
Informationssicherheit an seinem Arbeitsplatz und in seiner Umgebung verantwortlich.
4.1
Integration der Informationssicherheit in organisationsweite Abläufe
und Prozesse
Das Management der Informationssicherheit ist zwar nur eine von vielen wichtigen Managementauf­
gaben, hat jedoch Einfluss auf nahezu alle Bereiche einer Institution. Daher muss das Informationssi­
cherheitsmanagement vernünftig in bestehende Organisationsstrukturen integriert und Ansprech­
partner festgelegt werden. Aufgaben und Zuständigkeiten müssen klar voneinander abgegrenzt sein.
Es muss dabei gewährleistet sein, dass nicht nur bei einzelnen Maßnahmen, sondern bei allen strate­
gischen Entscheidungen die notwendigen Sicherheitsaspekte berücksichtigt werden. Dazu gehören
zum Beispiel Entscheidungen über Outsourcing oder die Nutzung neuer elektronischer Vertriebska­
näle ebenso wie die Anmietung neuer Räumlichkeiten. Daher muss die IS-Organisation bei allen Pro­
jekten, die Auswirkungen auf die Informationssicherheit haben könnten, rechtzeitig beteiligt werden.
364 Organisation des Sicherheitsprozesses
Vor allem in größeren Institutionen existiert bereits häufig ein übergreifendes Risikomanagementsys­
tem. Da Informationssicherheitsrisiken ebenso wie IT-Risiken zu den wichtigsten operationellen Risi­
ken gehören, sollten die Methoden zum Informationssicherheitsmanagement und zum Management
von Risiken mit den bereits etablierten Methoden und Managementsystemen abgestimmt werden,
siehe hierzu auch BSI-Standard 200-3 Risikoanalyse auf der Basis von IT-Grundschutz.
4.2
Aufbau der Informationssicherheitsorganisation
In den nachstehenden Abbildungen werden drei davon aufgezeigt. Die Abbildung 3 zeigt die Struktur
für die IS-Organisation in einer großen Institution. Die Abbildung 4 zeigt den Aufbau in einer mittel­
großen Institution, in der das IS-Management-Team und der Sicherheitsbeauftragte zusammenge­
fasst wurden. Die Abbildung 5 zeigt eine Struktur für die IS-Organisation in einer kleinen Institution,
in der alle Aufgaben vom Informationssicherheitsbeauftragten wahrgenommen werden. Die Abbil­
dung 6 zeigt eine Struktur der IS-Organisation, in der ein ICS-Bereich integriert ist.
Abbildung 3: Aufbau einer IS-Organisation in einer großen Institution
37
In Abhängigkeit von der Institutionsgröße bieten sich verschiedene Möglichkeiten für die Aufbauor­
ganisation des Informationssicherheitsmanagements an.4.2 Aufbau der Informationssicherheitsorganisation
Abbildung 4: Aufbau der IS-Organisation in einer mittelgroßen Institution
Abbildung 5: Aufbau der IS-Organisation in einer kleinen Institution
384 Organisation des Sicherheitsprozesses
Abbildung 6: Aufbau der IS-Organisation mit integriertem ICS-Bereich
An dieser Stelle sei deutlich darauf hingewiesen, dass die in den Abbildungen dargestellten zentralen
Rollen nicht unbedingt von verschiedenen Personen wahrgenommen werden müssen. Die personelle
Ausgestaltung richtet sich nach der Größe der jeweiligen Institution, den vorhandenen Ressourcen
und dem angestrebten Sicherheitsniveau. Die Ressourcenplanung für die Unterstützung der Informa­
tionssicherheit muss so erfolgen, dass das beschlossene Sicherheitsniveau auch tatsächlich erreicht
werden kann.
4.3
Aufgaben, Verantwortungen und Kompetenzen in der IS-Organisation
Der Informationssicherheitsbeauftragte und das IS-Management-Team müssen klar definierte Auf­
gaben, Verantwortungsbereiche und Kompetenzen haben, die von der Leitungsebene festzulegen
sind. Um ihre Aufgabe wahrnehmen zu können, sollten sie an allen relevanten Verfahren und Ent­
scheidungen beteiligt werden. Die Rollen sind so in die Organisationsstruktur einzubinden, dass alle
Beteiligten untereinander kommunizieren können. Außerdem muss geklärt sein, wer im Rahmen
des Sicherheitsmanagements mit welchen internen und externen Stellen wann worüber kommuni­
ziert sowie welche Kommunikationskanäle für die jeweiligen Ansprechpartner genutzt und wie die­
se geschützt werden (siehe hierzu auch Kapitel 5.2 Informationsfluss im Informationssicherheitspro­
zess).
394.4 Der Informationssicherheitsbeauftragte
Mit der Wahrnehmung der Aufgaben als Sicherheitsbeauftragte bzw. im IS-Management-Team sollte
stets qualifiziertes Personal betraut werden. Bei Bedarf können unterstützend Aufgaben an weitere
Rollen, wie beispielsweise
• Bereichs-ISB (Informationssicherheitsbeauftragter für einen Bereich, Abteilung, Außenstelle, o.Ä.),
• Projekt-ISB sowie
• ICS-ISB (Informationssicherheitsbeauftragter für den Bereich der industriellen Steuerung),
delegiert werden.
4.4
Der Informationssicherheitsbeauftragte
Informationssicherheit wird häufig vernachlässigt, sodass sie hinter dem Tagesgeschäft zurückfällt.
Dadurch besteht bei unklarer Aufteilung der Zuständigkeiten die Gefahr, dass Informationssicherheit
grundsätzlich zu einem „Problem anderer Leute“ wird. Damit wird die Verantwortung für Informati­
onssicherheit so lange hin- und hergeschoben, bis keiner sie mehr zu haben glaubt. Um dies zu ver­
meiden, sollte ein Hauptansprechpartner für alle Aspekte rund um die Informationssicherheit, ein
Informationssicherheitsbeauftragter oder kurz ISB, ernannt werden, der die Aufgabe „Informations­
sicherheit“ koordiniert und innerhalb der Institution vorantreibt. Ob es neben einem solchen weitere
Personen mit Sicherheitsaufgaben gibt und wie die Informationssicherheit organisiert ist, hängt von
der Art und Größe der Institution ab.
Die Rolle des Verantwortlichen für Informationssicherheit wird je nach Art und Ausrichtung der Insti­
tution anders genannt. Häufige Titel sind neben dem Informationssicherheitsbeauftragten auch Chief
Information Security Officer (CISO) oder Informationssicherheitsmanager (ISM). In den IT-Grund­
schutz-Dokumenten wurde bislang die Bezeichnung IT-Sicherheitsbeauftragter (IT-SiBe) verwendet,
da dieser Begriff in Unternehmen und Behörden lange Zeit der am weitesten verbreitete war. Mit dem
Titel „Sicherheitsbeauftragter“ werden dagegen häufig diejenigen Personen bezeichnet, die für Ar­
beitsschutz, Betriebssicherheit oder Werkschutz zuständig sind.
Aus diesen Titeln folgt aber auch häufig ein anderes Rollenverständnis. So macht der Titel des Infor­
mationssicherheitsbeauftragten statt des IT-Sicherheitsbeauftragten deutlich, dass diese Person sich
um die Absicherung aller Arten von Informationen kümmert und nicht nur um IT-bezogene Aspekte.
Informationssicherheit sollte aber immer ein Teil des operationellen Risikomanagements einer Insti­
tution sein. Aus diesem Grund ersetzt die Bezeichnung „Informationssicherheitsbeauftragter“ (ISB)
im IT-Grundschutz in diesem Zusammenhang die Bezeichnung „IT-Sicherheitsbeauftragter“
(IT-SiBe).
Eng damit hängt auch die Frage zusammen, wo der Sicherheitsbeauftragte organisatorisch verankert
ist. Es ist empfehlenswert, die Position des Informationssicherheitsbeauftragten direkt der obersten
Leitungsebene zuzuordnen. Es ist davon abzuraten, den Sicherheitsbeauftragten in der IT-Abteilung
zu verorten, da es hierbei zu Rollenkonflikten kommen kann.
Um einen Sicherheitsprozess erfolgreich planen, umsetzen und aufrechterhalten zu können, müssen
die Verantwortlichkeiten klar definiert werden. Es müssen also Rollen definiert sein, die die verschie­
denen Aufgaben im Hinblick auf das Erreichen der Informationssicherheitsziele wahrnehmen müssen.
Zudem müssen Personen benannt sein, die qualifiziert sind und denen im ausreichenden Maße Res­
sourcen zur Verfügung stehen, um diese Rollen ausfüllen zu können.
404 Organisation des Sicherheitsprozesses
Zuständigkeiten und Aufgaben
Der Informationssicherheitsbeauftragte ist zuständig für die Wahrnehmung aller Belange der Infor­
mationssicherheit innerhalb der Institution. Die Hauptaufgabe des ISB besteht darin, die Behörden­
bzw. Unternehmensleitung bei deren Aufgabenwahrnehmung bezüglich der Informationssicher­
heit zu beraten und diese bei der Umsetzung zu unterstützen. Seine Aufgaben umfassen unter
anderem:
• den Informationssicherheitsprozess zu steuern und an allen damit zusammenhängenden Aufga­
ben mitzuwirken,
• die Erstellung des Sicherheitskonzepts, des Notfallvorsorgekonzepts und anderer Teilkonzepte und
System-Sicherheitsrichtlinien zu koordinieren sowie weitere Richtlinien und Regelungen zur Infor­
mationssicherheit zu erlassen,
• die Realisierung von Sicherheitsmaßnahmen zu initiieren und zu überprüfen,
• der Leitungsebene und dem IS-Management-Team über den Status quo der Informationssicherheit
zu berichten,
• sicherheitsrelevante Projekte zu koordinieren,
• Sicherheitsvorfälle zu untersuchen und
• Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit zu initiieren und koordi­
nieren.
Der ISB ist außerdem bei allen größeren Projekten, die deutliche Auswirkungen auf die Informations­
verarbeitung haben könnten, zu beteiligen, um die Beachtung von Sicherheitsaspekten in den ver­
schiedenen Projektphasen zu gewährleisten. So sollte der ISB bei der Planung und Einführung neuer
Anwendungen und IT-Systeme ebenso beteiligt sein wie bei neuen ICS-Komponenten oder wesent­
lichen Änderungen der Infrastruktur.
Anforderungsprofil
Zur Erfüllung dieser Aufgaben ist es wünschenswert, dass der Informationssicherheitsbeauftragte
über Wissen und Erfahrung auf den Gebieten der Informationssicherheit und IT verfügt. Ebenso sollte
er Kenntnisse hinsichtlich der Geschäftsprozesse der Institution mitbringen. Da diese Aufgabe eine
Vielzahl von Fähigkeiten erfordert, sollte bei der Auswahl des Weiteren darauf geachtet werden, dass
die folgenden Qualifikationen vorhanden sind:
• Identifikation mit den Zielsetzungen der Informationssicherheit, Überblick über Aufgaben und Zie­
le der Institution.
• Kooperations- und Teamfähigkeit, aber auch Durchsetzungsvermögen (Kaum eine Aufgabe erfor­
dert so viel Fähigkeit und Geschick im Umgang mit anderen Personen: Die Leitungsebene muss in
zentralen Fragen des Sicherheitsprozesses immer wieder eingebunden werden. Entscheidungen
müssen eingefordert werden und die Mitarbeiter müssen, eventuell mithilfe des Bereichs-Sicher­
heitsbeauftragten, in den Sicherheitsprozess eingebunden werden).
• Erfahrungen im Projektmanagement, idealerweise im Bereich der Systemanalyse und Kenntnisse
über Methoden zur Risikoanalyse.
• Grundlegende Kenntnisse über die Prozesse und Fachaufgaben innerhalb der Institution und, so­
weit erforderlich, Grundkenntnisse in den Bereichen IT und ICS.
41
• die Leitungsebene bei der Erstellung der Leitlinie zur Informationssicherheit zu unterstützen,4.4 Der Informationssicherheitsbeauftragte
• Ein Informationssicherheitsbeauftragter muss zudem die Bereitschaft mitbringen, sich in neue Ge­
biete einzuarbeiten und Entwicklungen in der IT zu verfolgen. Er sollte sich so aus- und fortbilden,
dass er die erforderlichen Fachkenntnisse für die Erledigung seiner Aufgaben besitzt.
Kooperation und Kommunikation
Die Zusammenarbeit mit den Mitarbeitern ebenso wie mit Externen verlangt viel Geschick, da diese
zunächst von der Notwendigkeit der (für sie manchmal lästigen) Sicherheitsmaßnahmen überzeugt
werden müssen. Ein ebenfalls sehr sensibles Thema ist die Befragung der Mitarbeiter nach sicherheits­
kritischen Vorkommnissen und Schwachstellen. Um den Erfolg dieser Befragungen zu garantieren,
müssen die Mitarbeiter davon überzeugt werden, dass ehrliche Antworten nicht zu Problemen für sie
selbst führen.
Die Kommunikationsfähigkeiten des Informationssicherheitsbeauftragten sind nicht nur gegenüber
den Mitarbeitern gefordert. Genauso wichtig ist es, dass der ISB in der Lage ist, seine fachliche Mei­
nung gegenüber der Behörden- oder Unternehmensleitung zu vertreten. Er muss so selbstbewusst
und kommunikationsstark sein, um gelegentlich auch Einspruch gegen eine Entscheidung einzule­
gen, die mit den Sicherheitszielen nicht vereinbar ist.
Der Informationssicherheitsbeauftragte muss seine Kommunikationsfähigkeit derart einsetzen kön­
nen, dass es in anderen Fachbereichen nicht zu Missverständnissen kommt. Hierzu ist es besonders
wichtig, die jeweils anderen Sprachwelten und Kulturen zu verstehen und zu respektieren. So ver­
wenden beispielsweise Ansprechpartner aus dem Bereich der industriellen Steuerung andere Begriffe
für das IT-Equipment als IT-Experten.
Unabhängigkeit
Es ist empfehlenswert, die Position des Informationssicherheitsbeauftragten organisatorisch als Stabs­
stelle einzurichten, also als eine direkt der Leitungsebene zugeordnete Position, die von keinen ande­
ren Stellen Weisungen bekommt. In jedem Fall muss der ISB das direkte und jederzeitige Vorsprache­
recht bei der Behörden- bzw. Unternehmensleitung haben, um diese über Sicherheitsvorfälle, -risiken
und -maßnahmen informieren zu können. Er muss aber auch über das Geschehen in der Institution,
soweit es einen Bezug zu seiner Tätigkeit hat, umfassend und frühzeitig unterrichtet werden.
Der Informationssicherheitsbeauftragte sollte nicht organisatorisch der IT-Abteilung zugeordnet sein.
Die Erfahrung hat zeigt, dass dies häufig dazu führt, dass die Aufgabe der Informationssicherheit auf
IT-Absicherung reduziert wird und der ganzheitliche Schutz von Informationen in den Hintergrund
gerückt wird. Dadurch kann es vorkommen, dass Informationen so lange angemessen geschützt wer­
den, wie sie ausschließlich auf IT-Systemen verarbeitet werden, aber diese dann beispielsweise nach
dem Ausdrucken ungeschützt beim Drucker liegen bleiben. Ein anderes Problem ist der inhärente
Aufgabenkonflikt. Es ist z. B. problematisch, wenn ein „aktiver“ Administrator die Rolle des Informa­
tionssicherheitsbeauftragten zusätzlich zu seinen normalen Aufgaben wahrnimmt, da es mit hoher
Wahrscheinlichkeit zu Interessenkonflikten kommen wird. Die Personalunion kann dazu führen, dass
er als Informationssicherheitsbeauftragter Einspruch gegen Entscheidungen einlegen müsste, die ihm
sein Leben als Administrator wesentlich erleichtern würden oder die gar von seinem Fachvorgesetzten
stark favorisiert werden (siehe auch Kapitel 4.10 „Zusammenspiel mit anderen Organisationseinhei­
ten und Managementdisziplinen“).
Personalunion mit dem Datenschutzbeauftragten
Eine häufige Frage ist, ob die Position des Informationssicherheitsbeauftragten gleichzeitig vom Da­
tenschutzbeauftragten wahrgenommen werden kann (zu dessen Aufgaben siehe unten). Die beiden
Rollen schließen sich nicht grundsätzlich aus, es sind allerdings einige Aspekte im Vorfeld zu klären:
424 Organisation des Sicherheitsprozesses
• Die Schnittstellen zwischen den beiden Rollen sollten klar definiert und dokumentiert werden.
Außerdem sollten auf beiden Seiten direkte Berichtswege zur Leitungsebene existieren. Weiterhin
sollte überlegt werden, ob konfliktträchtige Themen zusätzlich noch nachrichtlich an die Revision
weitergeleitet werden sollten.
• Es muss sichergestellt sein, dass der Informationssicherheitsbeauftragte über ausreichend freie
Ressourcen für die Wahrnehmung beider Rollen verfügt. Gegebenenfalls muss er durch entspre­
chendes Personal unterstützt werden.
Es darf nicht vergessen werden, dass auch der Informationssicherheitsbeauftragte einen qualifizierten
Vertreter benötigt.
Das IS-Management-Team
Das IS-Management-Team unterstützt den Informationssicherheitsbeauftragten, indem es übergrei­
fende Maßnahmen in der Gesamtorganisation koordiniert, Informationen zusammenträgt und Kon­
trollaufgaben durchführt. Die genaue Ausprägung hängt von der Größe der jeweiligen Institution,
dem angestrebten Sicherheitsniveau und den vorhandenen Ressourcen ab. Im Extremfall besteht das
IS-Management-Team nur aus zwei Personen, dem Informationssicherheitsbeauftragten, dem in die­
sem Fall sämtliche Aufgaben im Sicherheitsprozess obliegen, und seinem Stellvertreter.
Aufgaben des IS-Management-Teams sind insbesondere:
• Informationssicherheitsziele und -strategien zu bestimmen sowie die Leitlinie zur Informationssi­
cherheit zu entwickeln,
• die Umsetzung der Sicherheitsleitlinie zu überprüfen,
• den Sicherheitsprozess zu initiieren, zu steuern und zu kontrollieren,
• bei der Erstellung des Sicherheitskonzepts mitzuwirken,
• zu überprüfen, ob die im Sicherheitskonzept geplanten Sicherheitsmaßnahmen wie beabsichtigt
funktionieren sowie geeignet und wirksam sind,
• die Schulungs- und Sensibilisierungsprogramme für Informationssicherheit zu konzipieren sowie
• die Fachverantwortlichen, den IT-Betrieb, die Bereichs-ISBs, eventuell den ICS-ISB und die Leitungs­
ebene in Fragen der Informationssicherheit zu beraten.
Zusammensetzung des Teams
Um seine Aufgaben erfüllen zu können, sollte sich das IS-Management-Team aus Personen zusam­
mensetzen, die über Kenntnisse in Informationssicherheit und technische Kenntnisse über die in der
Institution eingesetzten IT-, ICS- und IoT-Systeme verfügen sowie Erfahrungen mit Organisation und
Verwaltung haben. Darüber hinaus sollte das IS-Management-Team die unterschiedlichen Aufgaben­
bereiche und Geschäftsprozesse einer Institution kennen. In großen Institutionen ist es sinnvoll, wenn
die verschiedenen Fachbereiche einer Institution jeweils einen Vertreter im IS-Management-Team ha­
ben. Diese Person übernimmt die Vertretung im IS-Management-Team neben ihren Fachaufgaben,
bringt die Expertise aus dem Fachbereich ein und wird dadurch gleichzeitig Ansprechpartner für Si­
cherheitsfragen der Mitarbeiter aus diesem Bereich.
43
4.54.6 Bereichs- und Projekt-Sicherheitsbeauftragte bzw. Beauftragter für IT-Sicherheit
4.6
Bereichs- und Projekt-Sicherheitsbeauftragte bzw. Beauftragter für
IT-Sicherheit
Bei großen Institutionen kann es erforderlich sein, in den verschiedenen Bereichen eigene Sicherheits­
beauftragte einzusetzen.
Bereichs-Sicherheitsbeauftragter
Der Bereichs-Sicherheitsbeauftragte ist für alle Sicherheitsbelange der Geschäftsprozesse, Anwen­
dungen und IT-Systeme in seinem Bereich (z. B. Abteilung oder Außenstelle) verantwortlich. Je nach
Größe des zu betreuenden Bereiches kann die Aufgabe des Bereichs-Sicherheitsbeauftragten von
einer Person übernommen werden, die bereits mit ähnlichen Aufgaben betraut ist, z. B. dem Be­
reichs-Beauftragten (falls vorhanden). Auf jeden Fall ist bei der Auswahl des Bereichs-Sicherheitsbe­
auftragten darauf zu achten, dass er die Aufgaben, Gegebenheiten und Arbeitsabläufe in dem von
ihm zu betreuenden Bereich gut kennt.
Beauftragter für IT-Sicherheit
In großen Institutionen kann es auch einen Beauftragten für die IT-Sicherheit geben, der für die Si­
cherheit der IT zuständig ist. Der ISB gestaltet das Informationssicherheitsmanagement und erstellt die
generellen Sicherheitsziele und -vorgaben, ein Beauftragter für die IT-Sicherheit sorgt dafür, dass diese
technisch umgesetzt werden. Ein Beauftragter für die IT-Sicherheit ist somit typischerweise im IT-Be­
trieb tätig, während der ISB unmittelbar der Leitungsebene zuarbeitet.
Projekt-Sicherheitsbeauftragter
Für große Projekte sollte ein Projekt-Sicherheitsbeauftragter benannt werden, um sowohl den Sicher­
heitsbedarf innerhalb des Projektes zu klären als auch die sichere Einbindung der Projektergebnisse in
die Geschäftsprozesse der Institution zu ermöglichen. Der Projekt-Sicherheitsbeauftragter kann ein
Mitarbeiter des Projektes oder ein Mitglied des IS-Management-Teams sein. Die Verantwortung für die
Informationssicherheit liegt immer beim Projektleiter bzw. bei der Leitungsebene. Der ISB bzw. der
Projekt-Sicherheitsbeauftragte unterstützt die Projektleitung in Fragen der Informationssicherheit.
Dementsprechend müssen auch die erforderlichen Ressourcen für die Informationssicherheit vonsei­
ten der Projektleitung eingeplant und bereitgestellt werden.
Die verschiedenen Geschäftsprozesse, Anwendungen und IT-Systeme einer Institution haben oft ver­
schiedene Sicherheitsanforderungen, die unter Umständen in spezifischen Sicherheitsleitlinien zu­
sammengefasst sind und unterschiedlicher Sicherheitsmaßnahmen bedürfen. Ähnliches trifft für
den Projekt-Sicherheitsbeauftragten zu, mit dem Unterschied, dass es sich bei den Aufgaben um
projektspezifische, nicht jedoch um IT-systemspezifische handelt.
Als Aufgaben der Projekt-, IT- bzw. Bereichs-Sicherheitsbeauftragten sind die folgenden festzuhalten:
• die Vorgaben des ISB umsetzen,
• die Sicherheitsmaßnahmen gemäß der IT-System-Sicherheitsleitlinie oder anderer spezifischer Si­
cherheitsleitlinien umsetzen,
• projekt- oder IT-systemspezifische Informationen zusammenfassen und an den ISB weiterleiten,
• als Ansprechpartner der Mitarbeiter vor Ort dienen,
• an der Auswahl der Sicherheitsmaßnahmen zur Umsetzung der spezifischen Sicherheitsleitlinien
mitwirken,
• Information über Schulungs- und Sensibilisierungsbedarf von Beschäftigten ermitteln,
444 Organisation des Sicherheitsprozesses
• Protokolldateien regelmäßig kontrollieren und auswerten sowie
• eventuell auftretende sicherheitsrelevante Zwischenfälle an den ISB melden.
Folgende Qualifikationen sollten vorhanden sein:
• detaillierte IT-Kenntnisse, da diese die Gespräche mit Mitarbeitern vor Ort erleichtern und bei der
Suche nach Sicherheitsmaßnahmen für die speziellen IT-Systeme von Nutzen sind, sowie
• Kenntnisse im Projektmanagement, die bei der Organisation von Benutzerbefragungen und der
Erstellung von Plänen zur Umsetzung und der Kontrolle von Sicherheitsmaßnahmen hilfreich
sind.
Der ICS-Informationssicherheitsbeauftragte (ICS-ISB)
Institutionen mit industriellen Steuerungskomponenten (ICS) sollten aufgrund gesetzlicher und orga­
nisatorischer Maßnahmen einen Verantwortlichen für die Umsetzung von Anforderungen der Infor­
mationssicherheit für diesen Bereich benennen.
Industrielle Steuerungssysteme bringen zahlreiche Sicherheitsanforderungen mit sich, die sich grund­
legend von denen der allgemeinen Büro-IT unterscheiden. Im ICS-Bereich werden IT-Systeme und
Anwendungen oftmals über einen sehr langen Zeitraum eingesetzt. Der Lebenszyklus dieser Objekte
beträgt häufig mehr als zehn Jahre.
Innerhalb von ICS-Bereichen kommen aber auch vermehrt noch Anwendungen und IT-Systeme aus
dem Bereich der Büro-IT zum Einsatz. Diese werden jedoch für ihren Anwendungszweck länger als die
in Büroumgebungen übliche Zeitdauer verwendet.
Um die speziellen Anforderungen im Bereich der industriellen Steuerung abzudecken und um die
Sicherheitsorganisation aus dem Bereich der industriellen Steuerung in das Gesamt-ISMS einzubin­
den, sollte die Institution einen ICS-Informationssicherheitsbeauftragten (ICS-ISB) benennen. Dieser
sollte Mitglied im IS-Management-Team sein. Außerdem sollte er im IS-Koordinierungsausschuss (sie­
he Kapitel 4.8 IS-Koordinierungsausschuss) vertreten sein. Zwar betrifft das Thema der industriellen
Steuerung nicht alle Bereiche, aber aufgrund möglicher Veränderungen in der Büro-IT können Syner­
gien für die produzierenden Bereiche ausgenutzt werden.
Je nach Größe der Institution kann es sinnvoll sein, die Aufgaben für das Gesamt-ISMS und das ISMS
im ICS-Bereich auf verschiedene personelle Ressourcen aufzuteilen.
Die Sicherheitsorganisation der industriellen Steuerung sollte in die Sicherheitsorganisation der ge­
samten Institution eingebunden und entsprechend betrieben werden. Um Synergien zu nutzen und
Fehlplanungen sowie Risiken zu vermeiden, muss eine enge Kooperation zwischen dem ICS-ISB und
dem ISB stattfinden. Weitere Ansprechpartner innerhalb der Institution sind insbesondere die Mitar­
beiter der Haustechnik und die IT-Experten.
Welche Struktur für eine Sicherheitsorganisation im Bereich ICS geeignet ist, hängt stark von den
vorhandenen Strukturen und eingespielten Prozessen innerhalb einer Institution ab. Grundlegend
muss die Kommunikation zwischen allen beteiligten Parteien sichergestellt werden. Alle Parteien müs­
sen ein grundlegendes Verständnis für die jeweiligen Besonderheiten des anderen Bereichs aufbrin­
gen. Nur durch ein vorangegangenes Verständnis für die Kultur und Sprache der jeweiligen Bereiche
können Missverständnisse vermieden werden.
45
4.74.8 IS-Koordinierungsausschuss
Die Aufgaben des ICS-Informationssi cherheitsbeauftragten sind folgendermaßen festzuhalten:
• die allgemeingültigen Sicherheitsvorgaben der Informationssicherheitsleitlinie und weiterer Richt­
linien im Bereich ICS umsetzen,
• gemeinsame Ziele aus dem Bereich der industriellen Steuerung und dem Gesamt-ISMS verfolgen
und Projekte aktiv unterstützen,
• für den ICS-Bereich Risikoanalysen durchführen, die den Vorgaben des Risikomanagements ent­
sprechen,
• Sicherheitsrichtlinien und Konzepte für den ICS-Bereich unter Einbeziehung der Anforderungen
aus Safety und Security erstellen und schulen,
• eng mit dem Informationssicherheitsbeauftragten kooperieren,
• als Ansprechpartner für ICS-Sicherheit für die Mitarbeiter vor Ort und in der gesamten Institution
dienen,
• ICS-Sicherheitsmaßnahmen erstellen und bei der Umsetzung mitwirken,
• notwendige Dokumente zur ICS-Sicherheit erstellen und diese kommunizieren,
• Informationen über Schulungs- und Sensibilisierungsbedarf der Beschäftigten im ICS-Bereich er­
mitteln und Aktivitäten initiieren sowie
• Sicherheitsvorfälle im ICS-Bereich zusammen mit dem Informationssicherheitsbeauftragten bear­
beiten.
Folgende Qualifikationen sollten beim ICS-ISB vorhanden sein:
• spezielle Kenntnisse zu den Prozessen innerhalb der Institution und der industriellen Steuerung,
• ausreichende IT-Kenntnisse, um Fragen der Mitarbeiter vor Ort, der IT-Experten und weiterer Par­
teien umfassend beantworten zu können,
• Kenntnisse zu Bedrohungen und Schwachstellen innerhalb der industriellen Steuerung,
• Kenntnisse zu Gefährdungen für die Büro-IT, die innerhalb des ICS-Bereichs eingesetzt wird,
• Kenntnisse zum Projektmanagement sowie
• Kenntnisse zu den Themen Change Management und Notfallmanagement.
4.8
IS-Koordinierungsausschuss
Der IS-Koordinierungsausschuss ist in der Regel keine Dauereinrichtung in einer Institution, sondern
wird bei Bedarf (z. B. zur Planung größerer Projekte) einberufen. Er hat die Aufgabe, das Zusammen­
spiel zwischen dem IS-Management-Team, den Fachverantwortlichen, dem Sicherheitsbeauftragten
und der Behörden- bzw. Unternehmensleitung zu koordinieren.
Ebenso wie den IS-Koordinierungsausschuss gibt es in vielen Institutionen einen IT-Koordinierungs­
ausschuss. Auch dieser ist keine Dauereinrichtung, sondern seine Aufgabe besteht darin, das Zusam­
menspiel zwischen den Vertretern der IT-Anwender, dem ISB und der Behörden- bzw. Unternehmens­
leitung zu koordinieren.
Es bietet sich an, die beiden Koordinierungsausschüsse, insoweit dies möglich ist, zusammenarbeiten
zu lassen und sie auch personell weitgehend identisch zu besetzen.
464 Organisation des Sicherheitsprozesses
Zusammensetzung des IS-Koordinierungsausschusses
Der IS-Koordinierungsausschuss sollte die unterschiedlichen Aufgabenbereiche einer Institution wi­
derspiegeln. Im IS-Koordinierungsausschuss sollten mindestens folgende Rollen vertreten sein: ein
IT-Verantwortlicher, der Informationssicherheitsbeauftragte und Vertreter der Anwender. Da häufig
auch personenbezogene Daten betroffen sind, sollte der Datenschutzbeauftragte ebenfalls Mitglied
des IS-Koordinierungsausschusses sein. Wenn die Institution einen ICS-Informationssicherheitsbeauf­
tragten hat, sollte auch dieser im IS-Koordinierungsausschuss vertreten sein. Gibt es in der Institution
bereits ein ähnliches Gremium, könnten dessen Aufgaben entsprechend erweitert werden. Um die
Bedeutung der Informationssicherheit zu unterstreichen, ist es jedoch ratsam, einen IS-Koordinie­
rungsausschuss einzurichten und diesen regelmäßig einzuberufen.
Der Datenschutzbeauftragte
Der Datenschutz wird oft nachrangig behandelt, da er vermeintlich die effektive Informationsverar­
beitung behindert, obwohl er in Deutschland und in vielen anderen Ländern auf gesetzlichen Vor­
schriften beruht und Verletzungen des damit verbundenen informationellen Selbstbestimmungs­
rechts empfindliche Geldbußen und Freiheitsstrafen nach sich ziehen können.
Oft werden die Aufgaben des Datenschutzbeauftragten Personen übertragen, die bereits eine andere
Rolle innehaben, mit der in der neuen Funktion auch eine Interessenkollision auftreten kann, indem
sie sich beispielsweise in ihrer ursprünglichen Funktion selbst kontrollieren (z. B. Leiter IT).
Um dies zu vermeiden, sollte ein kompetenter und qualifizierter Ansprechpartner für Datenschutzfra­
gen ernannt werden, der alle Aspekte des Datenschutzes innerhalb der Institution begleitet und für
eine angemessene Umsetzung und ausreichende Kontrolle sorgt. In dieser Funktion arbeitet er eng
mit dem Informationssicherheitsbeauftragten zusammen, gehört zum IS-Koordinierungsausschuss,
ist weisungsunabhängig und berichtet direkt der Behörden- bzw. Unternehmensleitung.
Bei angemessener Verwirklichung wird der Datenschutz Arbeitsabläufe im Ergebnis eher fördern als
erschweren. Wenn nämlich eine Behörde bzw. ein Unternehmen zu viele personenbezogene Daten
sammelt, personenbezogene Daten zu spät löscht oder unberechtigt übermittelt, verstößt sie nicht
nur gegen Datenschutzrecht, sondern verursacht auch einen erhöhten Verwaltungsaufwand und
Mehrkosten. Vor allem ist der Datenschutz ein wichtiges Element eines bürger- und kundenfreundli­
chen Verhaltens, weil er die Verfahrensabläufe transparent macht.
Jede Institution sollte einen Datenschutzbeauftragten ernennen. In vielen Bereichen ist die Bestellung
eines Datenschutzbeauftragten sogar gesetzlich vorgeschrieben. Auch in Institutionen, die keinen
Datenschutzbeauftragten benannt haben, muss die Einhaltung der datenschutzrechtlichen Anforde­
rungen sichergestellt sein. Dies kann auch durch das IS-Management-Team oder die interne Revision
erfolgen.
Anforderungsprofil
Zum Datenschutzbeauftragten kann nur bestellt werden, wer die zur Erfüllung seiner Aufgaben er­
forderliche Fachkunde und Zuverlässigkeit besitzt. Zur Aufgabenerfüllung gehören technische, orga­
nisatorische und rechtliche Kenntnisse. Als Methodik zur effektiven und vollständigen Aufgabener­
füllung empfehlen die deutschen Datenschutzaufsichtsbehörden die Anwendung des Standard-Da­
tenschutzmodells [SDM]. Der Datenschutzbeauftragte muss die jeweiligen gesetzlichen Regelungen,
bereichsspezifische datenschutzrechtliche Regelungen und die für die Institution einschlägigen Spe­
zialvorschriften kennen und sicher anwenden können. Wichtige Rechtsnormen für den Datenschutz
sind in Deutschland insbesondere das Bundesdatenschutzgesetz und die EU-Datenschutz-Grundver­
47
4.94.9 Der Datenschutzbeauftragte
ordnung. Der Datenschutzbeauftragte sollte ferner gute Kenntnisse der Organisation und vertiefte
Kenntnisse der Informationstechnik besitzen. Soweit ihm die fachliche Qualifikation in Teilbereichen
noch fehlt, ist ihm Gelegenheit zu geben, sich entsprechend weiterzubilden. Mit den Aufgaben und
der Arbeitsweise seiner Behörde bzw. seines Unternehmens sollte der Datenschutzbeauftragte mög­
lichst aus eigener Erfahrung gut vertraut sein, um seinen Kontroll- und Beratungsaufgaben nachkom­
men zu können.
Der Datenschutzbeauftragte muss nicht ausschließlich mit diesen Funktionen betraut sein. Je nach Art
und Umfang der personenbezogenen Datenverarbeitung und der damit verbundenen Datenschutz­
probleme kann es angebracht sein, ihm daneben weitere Aufgaben zu übertragen. Dies wird beson­
ders bei kleineren Institutionen in Betracht kommen. Besonders ist darauf zu achten, dass keine Inter­
essenkonflikte oder Abhängigkeiten entstehen, die seine Aufgabenerfüllung gefährden. Möglich ist
auch die Zusammenlegung der Funktionen des Datenschutzbeauftragten mit denen des Informati­
onssicherheitsbeauftragten (zu den Rahmenbedingungen siehe auch Kapitel 4.4 Der Informationssi­
cherheitsbeauftragte).
Einbeziehungspflicht
Der Datenschutzbeauftragte muss das direkte und jederzeitige Vortragsrecht bei der Behörden- bzw.
Unternehmensleitung haben und über das Geschehen in der Behörde bzw. im Unternehmen, soweit
es einen Bezug zu seiner Tätigkeit hat, umfassend und frühzeitig unterrichtet werden. Er ist an da­
tenschutzrelevanten Vorgängen zu beteiligen und Planungen, die den Umgang mit personenbezo­
genen Daten betreffen, sind ihm bekannt zu geben. Bei Bedarf muss er von anderen Mitarbeitern mit
weitergehenden rechtlichen oder technischen Kenntnissen unterstützt werden.
Zuständigkeiten und Aufgaben
Der Datenschutzbeauftragte soll dazu beitragen, dass seine Institution den Erfordernissen des Daten­
schutzes umfassend Rechnung trägt. Er hat die Einhaltung der Vorschriften des Datenschutzes in allen
Bereichen zu überwachen. Er nimmt seine Aufgaben im Wesentlichen durch Beratung und Kontrollen
wahr. Seine vorrangige Aufgabe ist die Beratung. Für die Mitarbeiter sollte der Datenschutzbeauftrag­
te Ansprechpartner in allen Fragen des Datenschutzes sein, an den sie sich jederzeit vertrauensvoll
wenden können. Bei Schwachstellen und Versäumnissen sollte er zunächst gemeinsam mit den Be­
teiligten nach konstruktiven Lösungen suchen.
Der Datenschutzbeauftragte hilft der Behörden- bzw. Unternehmensleitung, ihre Verantwortung für
die Wahrung des Persönlichkeitsschutzes wahrzunehmen und Zwischenfälle zu vermeiden, die dem
Ansehen der Institution abträglich wären. Er sollte auch Kontakt zum Personal- bzw. Betriebsrat hal­
ten. Eine gute Zusammenarbeit ist nicht nur aufgrund der Sensibilität der Personaldatenverarbeitung
wünschenswert.
Der spezielle Zuschnitt der Aufgaben des Datenschutzbeauftragten richtet sich im Einzelfall nach den
zu erfüllenden Aufgaben, aber auch nach der Größe, dem Aufbau und der Gliederung der jeweiligen
Behörde bzw. des Unternehmens.
484 Organisation des Sicherheitsprozesses
In den meisten Institutionen gibt es neben dem Informationssicherheitsmanagement auch andere
Bereiche, die Aufgaben im Bereich der Informationssicherheit wahrnehmen oder vergleichbare Auf­
gaben haben, sodass es sinnvoll ist, ein koordiniertes Vorgehen und Schnittstellen abzustimmen. Die­
se Bereiche sind häufig als getrennte Disziplinen und teilweise auch in anderen Organisationseinhei­
ten organisiert. Gemeinsam ist diesen Bereichen, dass sie alle unter verschiedenen Blickwinkeln das
Ziel verfolgen, Werte der Institution zu schützen. Daher führen viele dieser Bereiche bereits „Schutz“
im Namen. Beispielsweise gehören hierzu neben dem Informationssicherheitsmanagement die The­
menfelder Datenschutz, Objektschutz, Personenschutz, Geheimschutz, Notfallmanagement oder Ri­
sikomanagement. So kann es neben dem Informationssicherheitsbeauftragten nicht nur einen Da­
tenschutzbeauftragten geben, sondern außerdem noch einen Geheimschutzbeauftragten, einen
Notfallbeauftragten oder einen Revisor. In Institutionen mit einem Produktionsbereich ist auch die
Zusammenarbeit mit den Verantwortlichen für die Produkt- und Anlagensicherheit wichtig.
Zusammenarbeit mit dem IT-Betrieb
Viele Teilaufgaben des Sicherheitsmanagements hängen unmittelbar mit Aufgaben des IT-Betriebs
zusammen. Der ISB erstellt Vorgaben für den sicheren Betrieb von IT-Systemen und Netzen, der IT-Be­
trieb muss diese umsetzen. Daher müssen das Sicherheitsmanagement und der IT-Betrieb eng zusam­
menarbeiten und sich regelmäßig über Vorgehensweisen abstimmen, ebenso wie über aktuelle Ge­
fährdungen und neu umzusetzende Sicherheitsanforderungen. In größeren Institutionen kann es da­
her sinnvoll sein, als Ansprechpartner des ISB im IT-Betrieb einen Beauftragten für IT-Sicherheit zu
ernennen. Dieser wird häufig als IT-Sicherheitsbeauftragter, IT-Sicherheitsmanager oder auch IT-Si­
cherheitskoordinator bezeichnet.
Abbildung 7: IS-Organisation und IT-Betrieb
49
4.10 Zusammenspiel mit anderen Organisationseinheiten und
Managementdisziplinen4.11 Einbindung externer Dienstleister
Rollenkonflikte vermeiden
Bei der Ausgestaltung der Rollen und der Verteilung der Aufgaben ist darauf zu achten, welche Auf­
gaben in Personalunion wahrgenommen werden können und wo es zu Rollenkonflikten kommen
könnte. Aus der Sicht des Informationssicherheitsmanagements ist zu klären, inwieweit der ISB wei­
tere Rollen übernehmen kann, wie z. B. die des Notfallbeauftragten.
Diese Rollen schließen sich nicht grundsätzlich aus. Ausschlaggebend sind jedoch Faktoren wie die
Größe und Ausrichtung der Institution, die Durchdringung der Geschäftsprozesse mit IT und die Aus­
prägung des Sicherheitsmanagements.
Grundsätzlich sind bei der Übernahme weiterer Aufgaben folgende Aspekte im Vorfeld zu klären:
• Die Schnittstellen zwischen den verschiedenen Rollen sollten klar definiert und dokumentiert wer­
den.
• Beim Eintreten konfliktträchtiger Themen sollte eine Instanz benannt sein, die diese klären kann,
z. B. die Innenrevision.
• Es muss sichergestellt werden, dass Personen mit mehreren Rollen ausreichend qualifiziert sind und
genügend Ressourcen für ihre Aufgaben zur Verfügung haben.
Es gibt aber auch Rollen, die sich nicht ohne Weiteres mit den Aufgaben des Informationssicherheits­
managements kombinieren lassen. Dazu können z. B. Rollen wie jene des Revisors oder Auditors ge­
hören, auch das hängt aber immer vom konkreten Aufgabenumfeld ab. Grundsätzlich besteht bei
einer kontrollierenden Tätigkeit immer das Problem, dass die Kontrollierenden nichts überprüfen soll­
ten, was sie selbst konzeptioniert haben.
4.11 Einbindung externer Sicherheitsexperten
Unter Umständen kann es erforderlich sein, externe Sicherheitsexperten in der internen Sicherheits­
organisation einzusetzen. Wenn wesentliche Rollen wie der ISB nicht durch interne Mitarbeiter wahr­
genommen werden können, müssen hierfür qualifizierte Externe beauftragt werden. Die notwendi­
gen Qualifikationen sind in den vorhergehenden Abschnitten dieses Kapitels beschrieben.
Insbesondere in kleinen Unternehmen oder Behörden kann es unter Umständen zweckmäßig sein, die
Rolle des Informationssicherheitsbeauftragten nicht durch einen eigenen Mitarbeiter zu besetzen,
sondern hierfür auf die Dienstleistung eines externen ISB zurückzugreifen.
In der Praxis fehlt den internen Sicherheitsexperten häufig die Zeit, um alle sicherheitsrelevanten Ein­
flussfaktoren und Rahmenbedingungen (z. B. gesetzliche Anforderungen oder technische Fragen) zu
analysieren. Teilweise fehlen ihnen auch die entsprechenden Grundlagen. Auch in diesen Fällen ist es
sinnvoll, auf externe Experten zurückzugreifen. Dies muss von den internen Sicherheitsexperten do­
kumentiert werden, damit die Leitungsebene die erforderlichen Ressourcen bereitstellt.
504 Organisation des Sicherheitsprozesses
Aktionspunkte zu 4 Organisation des Sicherheitsprozesses
• Rollen für die Gestaltung des Informationssicherheitsprozesses festlegen
• Aufgaben und Verantwortungsbereiche den Rollen zuordnen
• Personelle Ausstattung der Rollen festlegen
• IS-Organisation dokumentieren
• Informationssicherheitsmanagement in die organisationsweiten Abläufe und Prozesse integrie­
ren
• Wenn erforderlich, externe Experten hinzuziehen