In den letzten Jahren entwickelte sich eine zunehmende IT-Durchdringung und Vernetzung praktisch aller Lebensbereiche. Fast jedes Unternehmen ist heutzutage von dem Funktionieren der digitalen Infrastruktur abhängig.

Durch die zunehmende Digitalisierung entstehen jedoch gleichzeitig neue Gefährdungslagen, auf die konsequent reagiert werden muss. Zahlreiche Unternehmen werden Opfer von Cyberangriffen. Doch auch ein bloßer Ausfall oder eine Störung der digitalen Infrastruktur kann enorme Kosten verursachen. Ein wichtiger Schritt zur Absicherung und zur Minimierung von Gefahren kann die Bestellung eines IT-Sicherheitsbeauftragten sein.

Was ist ein IT-Sicherheitsbeauftragter – gesetzliche Grundlage

Der IT-Sicherheitsbeauftragte sollte ein Bindeglied zwischen der Geschäftsführung, der IT-Abteilung und den Nutzern sein. Es gibt keine gesetzliche Regelung, durch die ein Unternehmen dazu verpflichtet wird, einen IT-Sicherheitsbeauftragten zu bestellen. Eine Ausnahme gilt für die Betreiber öffentlicher Telekommunikationsnetze oder öffentlich zugänglicher Telekommunikationsdienste. Diese werden gemäß § 109 Absatz 4 Satz 1 des Telekommunikationsgesetzes (TKG) dazu verpflichtet, einen IT-Sicherheitsbeauftragten zu benennen und ein Sicherheitskonzept zu erstellen. Des Weiteren verpflichtet das IT-Sicherheitsgesetz Betreiber kritischer Infrastrukturen dazu, einen Sicherheitsbeauftragten zu beschäftigen. Dazu zählen insbesondere die Bereiche der Strom- und Wasserversorgung sowie Finanzen und Ernährung. Auch wenn es gesetzlich nicht vorgeschrieben ist, ist es im Hinblick auf die zahlreichen Risiken ratsam, einen IT-Sicherheitsbeauftragten zu beschäftigen.

Aufgaben: IT-Sicherheitsbeauftragter

Die zentrale Aufgabe eines IT-Sicherheitsbeauftragten besteht darin, die Unternehmensleitung bei Fragen zur IT-Sicherheit zu beraten und bei der Umsetzung der Aufgaben zu unterstützen. Außerdem sollte ein IT-Sicherheitsbeauftragter folgende Aufgaben zu erfüllen:

  • Erstellung und Umsetzung von Regeln und Richtlinien zur Informationssicherheit
  • Durchführung von Schulungen im Bereich der IT-Sicherheit
  • Dokumentierung der Aktivitäten zur IT-Sicherheit
  • Unterrichtung der Unternehmensführung zum Status quo der IT-Sicherheit
  • Aktualisierung und Prüfung der IT-Sicherheitskonzepte und Anpassung an neue gesetzliche Regelungen
  • Funktion als zentraler Ansprechpartner für das Unternehmen, seine Mitarbeiter und Kunden im Bereich der IT-Sicherheit
  • Führung und Weiterentwicklung von der IT-Sicherheitsorganisation
  • Entwicklung und Formulierung einer IT-Sicherheitsleitlinie

Interessenkonflikt: Datenschutzbeauftragter vs. IT-Sicherheitsbeauftragter

Bei den Aufgabenbereichen eines IT-Sicherheitsbeauftragten und eines Datenschutzbeauftragten kann es durchaus zu Überschneidungen kommen. Dennoch sollte es in einem funktionierenden Unternehmen zu keinen Interessenskonflikten kommen. Der wesentliche Unterschied zwischen den beiden Positionen ist, dass die meisten Unternehmen gesetzlich verpflichtet sind, einen Datenschutzbeauftragten zu beschäftigen. Die Beauftragung eines IT-Sicherheitsbeauftragten hingegen ist keine Verpflichtung. Für Unternehmen ist es jedoch ratsam, beide Positionen im Betrieb einzurichten. Der Datenschutzbeauftragte beschäftigt sich ausschließlich mit personenbezogenen Daten in jeglicher Form. Der IT-Sicherheitsbeauftragte beschäftigt sich mit der gesamten IT-Sicherheit. Somit hat der Datenschutzbeauftragte einen kleineren Zuständigkeitsbereich, der ihm eine detaillierte Herangehensweise an seine Aufgaben ermöglicht. Der IT-Sicherheitsbeauftragte hingegen hat einen weitläufigeren Zuständigkeitsbereich. Auch wenn es dadurch zu geringfügigen Überschneidungen kommt, verfolgen beide Positionen grundsätzlich ähnliche Ziele. Sollte es dabei zu Konflikten kommen, ist eine Kommunikation und Kooperation wichtig und kann vorliegende Probleme beseitigen.

Wer kann IT-Sicherheitsbeauftragter werden: Voraussetzung, Ausbildung und Schulung

Wie in den meisten IT-Berufen gibt es keine bestimmte Ausbildung, die einen zur Arbeit als IT-Sicherheitsbeauftragter qualifiziert. Eine Möglichkeit um IT-Sicherheitsbeauftragter zu werden, ist das Studium der Informatik. Neben dem Studium sollte man allerdings Praktika absolvieren und Werkstudentenjobs annehmen, da der Berufseinstig ohne Berufserfahrung im Bereich der IT-Sicherheit oft schwer ist. Eine Alternative dazu sind Weiterbildungen, wie z.B. die Ausbildung zum IT-Sicherheitsbeauftragten (ITSiBe). Bei dem Zertifikatslehrgang werden die Vorschriften der Norm ISO/IEC 27001 beachtet. Durch die Norm werden einheitliche Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen spezifiziert. Dieser Lehrgang wird beispielweise von der Industrie- und Handelskammer (IHK) angeboten.