IT-Sicherheitsbeauftragter

Home  >>  IT-Sicherheit  >>  IT-Sicherheitsbeauftragter

Fotolia_73748006_S_web
 
Ob nun ein „Ansprechpartner IT-Sicherheit“ oder „IT-Sicherheitsbeauftragter“ benannt werden muss, ist für die Etablierung und den kontinuierlichen Betrieb des ISMS irrelevant. Entscheidend ist, wie diese überaus wichtige Rolle in der IT-Sicherheitsorganisation eines Unternehmens fachlich ausgestaltet ist oder diese zukünftig ausgestaltet wird. Ein gesetzlich gefordertes Anforderungsprofil, wie z.B. beim Datenschutzbeauftragten gibt es weder für den „Ansprechpartner IT-Sicherheit“ noch den „IT-Sicherheitsbeauftragten“.

Allein der BSI Standard 100-2 gibt sehr grob das Anforderungsprofil an einen sogenannten Informationssicherheitsbeauftragten vor. Hiernach soll dieser detaillierte IT-Fachkenntnisse und Kenntnisse im Projektmanagement besitzen. Diese Skills alleine können zur Bewältigung dieser Rolle jedoch nicht ausreichend sein. IT-Sicherheit und das Aufrechterhalten eines ISMS erfordern technisches und organisatorisches Know-how sowie Erfahrungen in dem Themengebiet. Darüber hinaus lässt sich In der Unternehmenspraxis im Bereich der IT-Sicherheit vermehrt eine finanzielle, personelle und/oder zeitliche Ressourcenknappheit feststellen. Häufig werden daher IT-Administratoren zusätzlich zu ihren eigentlichen Aufgaben mit den Aufgaben eines IT-Sicherheitsbeauftragten betraut. Dies führt in der Regel zu einer Überlastung des Mitarbeiters sowie zu deutlichen prozessualen Engpässen.

Externe Bestellung ist effizient und effektiv

War es bereits beim IT-Sicherheitsbeauftragten möglich, diesen durch einen externen Dienstleister zu stellen, besteht diese Variante weiterhin auch beim geforderten „Ansprechpartner IT-Sicherheit“. Dies geht ausdrüklich aus dem Meldeformular der BNetzA hervor.

externerDiennstleister


Die ANMATHO AG stellt bei vielen ihrer Kunden erfolgreich externe IT-Sicherheitsbeauftragte.

Kritische Betrachtung – Ansprechpartner IT-Sicherheit = IT-Sicherheitsbeauftragter?!?

(Aktuell für Energieversorgungsunternehmen)

Hat die Entwurfsfassung des IT-Sicherheitskatalogs noch konkret die Benennung des IT-Sicherheitsbeauftragten gefordert, findet man diese Formulierung im nunmehr veröffentlichten IT-Sicherheitskatalog nicht mehr.

Statt dessen wird hier unter Abschnitt G VII. ein „Ansprechpartner IT-Sicherheit“ zur Bedingung gemacht –der übrigens weiterhin auch von einem externen Dienstleister gewährleistet werden kann. Die Energiewirtschaftsbranche ist erneut verunsichert und es stellt sich daher die berechtigte Frage, ob damit die ursprügliche Forderung nach einem IT-Sicherheitsbeauftragten seitens der Bundesnetzagentur (BNetzA) aufgegeben oder lediglich eine andere Formulierung für diese wichtige Rolle gewählt wurde. Diese Frage könnte sich aus der Gesamtschau des Normen-Kontextes beantworten lassen.

Abkehr vom IT-Grundschutz & neue Intention der ISO-Standards

Der IT-Sicherheitsbeauftragte ist eine Rolle, die primär aus dem IT-Grundschutz resultiert. Aufgrund der Tatsache, dass sich im veröffentlichten IT-Sicherheitskatalog keine direkten Berührungen mehr zum IT-Grundschutz befinden, ist es daher folgerichtig, auf die Bezeichnung „IT-Sicherheitsbeauftragter“ hier zu verzichten. Ferner muss man sich auch die aktuelle Entwicklung sämtlicher ISO-Standards vor Augen halten. Forderten die äteren ISO-Normen noch vor einiger Zeit die Benennung eines „Beauftragten“ (z.B. die ISO 9001 „Qualitäsmanagementbeauftragter), rücken diese in ihren neueren Fassungen davon ab und benennen diese Rolle ebenfalls nicht mehr explizit.

Die ISO-Standards sind allesamt „Managementsysteme“, d.h. die Verantwortung für die Umsetzung, den Betrieb und die Aufrechterhaltung des Systems sowie ggf. die Haftung für diese obliegt einzig der Unternehmensführung. Eine Verlagerung dieser Verantwortung auf einem „Beauftragten“ kann es folglich auch nicht geben. Die Praxis hat in der Vergangenheit jedoch gezeigt, dass mit der Benennung eines „Beauftragten“ gerade dieser Verlagerungseffekt vermehrt in Unternehmen aufgetreten ist und man sich irrigerweise auch von Haftungsfragen exkulpiert glaubte. Dieser Entwicklung wollen die neuen ISO-Standards mit dem Wegfall der „Beauftragten-Funktion“ entgegentreten und vielmehr die Verantwortung des Managements deutlicher hervorheben. Ob dieser Ansatz wirklich gelingt, erscheint jedenfalls fraglich.

Synopse und der Versuch einer teleologischen Reduktion

Vergleicht man darüber hinaus den Wortlaut der Entwurfsfassung des IT-Sicherheitskatalogs mit der veröffentlichten Version, wird man kaum Unterschiede zwischen den Anforderungen an einen „IT-Sicherheitsbeauftragten“ und den „Ansprechpartner IT-Sicherheit“ finden.

wortlaut

Weggefallen ist hier das Wort „Verwaltung (…der IT-Sicherheit)“, also im Wortsinn von „Leitung, Fürung, Lenkung“. Im Zusammenhang der aktuellen Bestrebungen der ISO-Normen ware dieser Wegfall konsequent gewählt, denn Leitung, Fürung und Lenkung der IT-Sicherheit ist originäre Managementaufgabe.

 

Es liegt jedoch auf der Hand, dass die Unternehmensführung nicht alle ihre obliegenden Pfl ichten selbst und persönlich ausfüllen kann. Dementsprechend müssen die aus den Pfl ichten resultierenden Tätigkeiten auf ausgewählte Mitarbeiter delegiert und/oder eine entsprechende Stelle dafür geschaffen werden. Das Betreiben des kontinuierlichen IT-Sicherheitsprozesses und die Steuerung eines ISMS im Unternehmen ist eine komplexe Aufgabe. Hierfür sind ein gewisses Maß an Know-how, Erfahrung sowie zeitliche und personelle Ressourcen erforderlich. Auch die in der ISO 27001 geforderte IT-Sicherheitsorganisation benötigt den aktiven Part und verlässlichen Motor eines zentralen IT-Sicherheitsbeauftragten. Allein die formale Benennung eines Mitarbeiters als „Ansprechpartner IT-Sicherheit“ wird den Anforderungen eines ISMS nicht gerecht. Auch im Hinblick auf die anstehende ISO 27001-Zertfizierung wird die reine Erfülung der Formalie nicht ausreichen könen und im Zweifel zu einem „Finding“ beim Zertifizierungsaudit führen.

 

Was bedeutet dies für die Praxis?

Gegenüber der BNetzA hat der jeweilige Netzbetreiber im Rahmen der Frist bis zum 30.11.2015 gemäß bereitgestelltem Formular einen „Ansprechpartner IT-Sicherheit“ zu benennen und eine Stellvertreterregelung einzurichten. Dieser muss unverzüglich auf Anfragen der BNetzA reagieren könen. Damit sind jedenfalls vordergründig die Formalien erfüllt. Der kontinuierliche und sichere Betrieb eines ISMS wird dadurch jedoch noch nicht gewährleistet. Sinnvollerweise rät die ANMATHO AG ihren Kunden, die Anforderungen an den „Ansprechpartner IT-Sicherheit“ mit denen an einen „IT-Sicherheitsbeauftragten“ zu ergänzen und eine adäquate Rolle im Kontext der aufzubauenden IT-Sicherheitsorganisation zu schaffen. Auch die Vorbereitung des Zertifizierungsaudits und die abschließnde Zertifizierung werden damit erleichtert. Ob im veröffentlichten IT-Sicherheitskatalog die Formulierung „Ansprechpartner IT-Sicherheit“–wenn auch sachlich richtig –glüklich gewählt worden ist, wird seitens der ANMATHO AG kritisch gesehen. Jedenfalls liegt die Gefahr nahe, dass hier ein gewisser Interpretationsspielraum geschaffen wurde, der im Hinblick auf den ordnungsgemäßen sicheren Betrieb eines ISMS nicht zielführend sein kann.

AP IT-Si ToDos