Durch die COVID-19-Pandemie stellen immer mehr Organisationen aus den verschiedensten Branchen bei ihrem Vertrieb und der Kundenansprache auf Online-Dienste um und konzentrieren sich zunehmend auf ihre Webpräsenz. Plattformen für Lieferdienste, Online-Shops und die Nutzung von Kommunikationstools für digitale Meetings sind nur einige Beispiele. Auf den Unternehmen lastet nun ein besonderer Druck wirtschaftlich zu arbeiten um die Krise unbeschadet zu überstehen. Doch kann unter diesen prekären Umständen mit zeitlichem Druck auch sichergestellt werden, dass ihre personenbezogenen Daten und sensible Unternehmensinformationen ausreichend geschützt sind?
Informationssicherheitsmanagementsystem
Durch die Einführung eines Informationssicherheitsmanagementsystems (ISMS) lässt sich der Schutz der Daten und Informationen deutlich erhöhen. Unabhängig davon, wie groß das Unternehmen ist oder welcher Branche es angehört, wenn Sie sich entscheiden ein ISMS einzuführen, sollte die Benennung eines Informationssicherheitsbeauftragten (ISB) obligatorisch sein. Dieser ist für alle Fragen rund um die Informationssicherheit zuständig und die Gefahr der nicht eindeutig geregelten Aufteilung von Zuständigkeiten wird vermieden. Die übergeordnete Aufgabe ist es durch die Beratung der Unternehmensleitung auf die Erreichung der definierten Ziele der Informationssicherheit hinzuwirken.
Der Informationssicherheitsbeauftragte
Der ISB sollte sowohl auf dem Gebiet der Informationssicherheit und des operationellen Risikomanagements Erfahrung besitzen als auch über nötiges IT-Know-how verfügen. Schon der Titel macht deutlich, dass es sich um die Absicherung aller Informationen handelt und nicht nur um die mit IT-Bezug. Einige Unternehmen greifen auf die naheliegendste Option zurück und benennen den Leiter der IT zum ISB. Diese Wahl kann aber dazu führen, dass Interessenkonflikte entstehen, da beispielsweise die Sicherheitsmaßnahmen nicht unvoreingenommen kontrolliert werden können. Auch die Zusammenlegung des Amtes des ISB mit dem des Datenschutzbeauftragten ist kritisch und es kann zu Rollenkonflikten kommen.
Daher empfiehlt es sich auf einen internen, aber unabhängigen oder einen externen Informationssicherheitsbeauftragten zurückzugreifen, der die entsprechende Expertise mit sich bringt und über ausreichend Zeit und Ressourcen verfügt, denn die Aufgaben des ISB sind vielfältig.
Eine der Hauptaufgaben des ISB ist die Erstellung, Umsetzung und regelmäßige Überprüfung eines umfassenden Informations-Sicherheitskonzeptes für das Unternehmen. Dieses kann dann – wenn von dem Unternehmen gewünscht – auch entsprechend zertifiziert werden (z.B. nach ISO 27001), so dass eine entsprechende Außenwirkung gegenüber Kunden und Lieferanten gegeben ist oder auch regulatorische Anforderungen erfüllt werden.
Zu dem Sicherheitskonzept zählen unter anderem auch die Erstellung von aussagekräftigen Bedrohungs- und Risikoanalysen, der Etablierung und Durchsetzung von Sicherheitsrichtlinien, die Initiierung von Penetrationstests, die Erkennung, Bearbeitung und Überprüfung von Sicherheitsvorfällen sowie die Durchführung von internen Audits.
Außerdem werden Sensibilisierungen und Schulungen der Mitarbeiter zu sicherheitsrelevanten Themen von dem ISB initiiert und durchgeführt.
Der Informationssicherheitsbeauftragte ist ein zentraler Ansprechpartner zum Thema Informationssicherheit und steht im ständigen Austausch mit dem Topmanagement sowie den Fachbereichen und Projektverantwortlichen. Die Benennung sollte wohlüberlegt sein.