« zurück

CISO – nur eine sinnlose Jobbezeichnung? Wie die Position eines CISO echten Mehrwert in Ihrem Unternehmen schaffen kann

Neues Jahr – neues Gesetz: kurz vor Weihnachten meldeten vor allem die Fachmedien, dass das Bundeskabinett den Gesetzesentwurf „zur Erhöhung der Sicherheit informationstechnischer Systeme“ – auch IT-Sicherheitsgesetz genannt beschlossen hat. Für viele Unternehmen bedeutet das neue Gesetz, dass sie ein Mindestniveau an IT-Sicherheit einhalten, dieses durch Sicherheitsaudits nachweisen und Meldeverfahren für Sicherheitsvorfälle einführen müssen. Bereits jetzt sind sie verpflichtet bei der Einführung neuer Technologien und Verfahren die Kompatibilität mit dem Bundesdatenschutzgesetz, dem Telemediengesetz u.a. prüfen.

Angesichts dieser Erfordernisse stellt sich für Unternehmen die Frage, ob es Sinn macht, eigene Positionen zu schaffen. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) empfiehlt die Ernennung eines Informationssicherheitsbeauftragten/(Chief) Information Security Officer (nachfolgend CISO genannt) – mit der Beschließung des IT Sicherheitsgesetzes könnte dies auch schnell obligatorisch werden. Die Berufung eines Datenschutzbeauftragten (DSB) ist sogar gesetzlich vorgeschrieben. Der geplante Vortrag soll vor allem dazu dienen, Unternehmensleitungen und IT Abteilungen darüber aufzuklären, warum und wann es Sinn macht, IT-Sicherheit im Unternehmen zu institutionalisieren. Weiter soll erörtert werden, welche gesetzlichen, technischen und ökonomischen Maßnahmen zur Einführung eines Informationssicherheitsmanagements erforderlich sind. Weiterhin gibt der Vortrag interessierten Unternehmen eine Entscheidungshilfe an die Hand, welcher Weg für das individuelle Unternehmen der geeignetste ist. In einem ersten Schritt definiert der Referent das Profil des Informationssicherheitsbeauftragten/ CISO sowie sein Aufgabengebiet. Genannt werden hier vor allem die einschlägigen Definitionen aus dem Grundschutzkatalog des BSI sowie weitere Standards (z.B. ITIL), die je nach Unternehmen eine praktikablere Lösung darstellen. Die formalen wie persönlichen Voraussetzungen, die ein CISO erfüllen sollte werden erörtert, wie die Institutionen, die eine entsprechende Aus- oder Weiterbildung anbieten. Angesichts der berechtigten Überlegung, ob denn nicht auch der Datenschutzbeauftragte die Aufgaben des CISO übernehmen kann, werden in der Folge auch dessen Aufgaben und Obliegenheiten genannt. Denn beim Datenschutz handelt es sich um das (verfassungsmäßige) Recht jedes einzelnen Bürgers auf Schutz der Privatsphäre vor missbräuchlicher Datenverarbeitung („Recht auf informationelle Selbstbestimmung“). Datensicherheit hingegen ist der Schutz der Daten, in diesem Fall auch Firmendaten, Patente etc.
vor Missbrauch, unberechtigter Einsicht oder Verwendung durch entsprechende Maßnahmen Dies bedeutet einen Unterschied nicht nur im Aufgabenbereich, sondern auch unterschiedliche Interessen: Während ein Informationssicherheitsbeauftragter z.B. im Falle von (privater) Internetnutzung von Mitarbeitern möglichst viel protokollieren möchte, um ex-post Missbrauch nachweisen zu können, ist es im Interesse des Datenschutzbeauftragten, dass möglichst wenig Daten von Betroffenen gespeichert werden. Bei „Bring-Your-Own-Device“-Lösungen hingegen werden sich DSB und CISO einig sein und eventuell gegen Mitarbeiter und auch Unternehmensführungen angehen, die dies für eine praktikable und günstige Lösung halten. In diesem Zusammenhang werden auch die Vorteile, aber auch das Konfliktpotenzial erläutert, wenn Datenschutz-beauftragten und CISO in einer Personalunion beauftragt werden. Diese Interessenskonflikte werden ebenso Teil des Vortrages sein wie die Einordnung des CISOs in die Unternehmenshierarchie, seine Weisungsbefugnisse und Berichtswege und die praktische Zusammenarbeit mit anderen Abteilungen des Unternehmens, Betriebsrat, Dienstleistern und Kunden.

Der Vortrag schließt seine Agenda, in welchen Schritten ein Unternehmen die Position eines CISO schaffen und ein professionelles Informationssicherheitsmanagement im Unternehmen einführen sollte.

Download