Als externer Informationssicherheitsbeauftragter kümmere ich mich um die Informationssicherheit Ihres Unternehmens. Der Begriff Informationssicherheit fasst hierbei Maßnahmen zusammen, die die Verfügbarkeit, Vertraulichkeit und Integrität von zu schützenden Daten sicherstellen. Ein unkontrollierter Datenzugang wird verwehrt.

Laufende und anlassbezogene Aufgaben des Informationssicherheitsbeauftragten

Aufgrund der dynamischen Entwicklungen in Unternehmen müssen Sie ein hohes Informationssicherheitsniveau sicherstellen und dieses fortlaufend anpassen. Der Informationsbeauftragte

  • berät die Unternehmensleitung zur IT-Sicherheit,
  • analysiert existierende Sicherheitsstandards,
  • etabliert zielführende IT-Sicherheitsprozesse,
  • kontrolliert die Umsetzung,
  • kontrolliert die Einhaltung der Sicherheitsmaßnahmen,
  • erstellt die notwendige Dokumentation,
  • identifiziert Schwachstellen,
  • baut ein Notfallmanagement auf,
  • gewährleistet Verbesserungsmaßnahmen und

fördert das organisationsweite Bewusstsein für Informationssicherheit.

Informationssicherheitsbeauftragter Sachsen: Datenschutz und IT-Sicherheit für Ihr Unternehmen.

Die Aufgaben des ISB gliedern sich also in laufende und anlassbezogene Tätigkeiten: Zu den laufenden Aufgaben gehören zum Beispiel die Beratung und das Coaching der Mitarbeiter sowie die Kontrolle der vereinbarten Sicherheitsmaßnahmen. Risikoanalysen und die Erstellung von Berichten nach einem Sicherheitsvorfall zählen zu den anlassbezogenen Aufgaben. Die tatsächlichen Aufgaben können von Betrieb zu Betrieb sehr unterschiedlich sein. Der ISB ist zu allen Fragen rund um die wichtigen Informationen des Unternehmens der zentrale Ansprechpartner, er entlastet und unterstützt die Geschäftsleitung. Wichtig ist die Rücksprache mit der Unternehmensleitung, damit die Arbeit an den Zielen im Bereich der Informationssicherheit ausgerichtet ist.

Externen Informationssicherheitsbeauftragten (ISB) benennen und die IT-Sicherheit stärken

Mit der „Ernennungsurkunde Informationssicherheitsbeauftragter“ wird der ISB offiziell benannt und ist der Geschäftsführung direkt unterstellt. Für die Implementierung arbeitet der bestellte Informationsbeauftragte im Unternehmen eng mit der Geschäftsführung, IT-Abteilung und dem Datenschutzbeauftragten zusammen. Er ist der Ansprechpartner rund um die Informationssicherheit von analogen und digitalen Daten.

Das realisierte Informationssicherheitsmanagement orientiert sich dabei an nationalen (siehe BSI-Grundschutzkatalog BSI-Standard 200-1) und internationalen (ISO-Norm 27001) Sicherheitsstandards. Diese Standards sind essenzieller Bestandteil der IT-Grundschutz-Methodik, sie spezifizieren die Anforderungen zur Einrichtung, Umsetzung, Aufrechterhaltung und Verbesserung des ISMS. Der nationale IT-Grundschutz ist zu ISO 27001 kompatibel und daher auch international angesehen.

Qualifikationen und Anforderungen des ISB

Die Expertise des externen Informationssicherheitsbeauftragten basiert auf seiner technischen Ausbildung und Berufserfahrung im Bereich der IT- und Informationssicherheit. Er ist zur Teilnahme an Seminaren verpflichtet, die sich inhaltlich an den internationalen Standard nach ISO 27001 und dem IT-Grundschutzstandard des Bundesamts für Sicherheit in der Informationstechnik (BSI) orientieren. Aufgrund der Komplexität des Themas ist ein Zertifizierungs-Lehrgang notwendig, in dem die notwendigen Fachkenntnisse erworben werden. Der erfolgreiche Abschluss der Prüfung dient als Nachweis, dass die Kenntnisse zur Informationssicherheit vorhanden sind.

Als Schnittstelle zwischen dem Management und der IT-Abteilung bringt der externe Informationssicherheitsbeauftragte auch Erfahrung im Projektmanagement mit.

Wie kann ein Unternehmen die Informationssicherheit nachweisen?

Um den IT-Grundschutz nachzuweisen, bietet das BSI zwei Möglichkeiten an:

  • Testierung nach Basis-Absicherung
  • Zertifizierung der Standard- bzw. Kern-Absicherung

Die Testierung der Basis-Absicherung – der schnelle Einstieg für grundlegende Absicherung

Der Leitfaden zur Basis-Absicherung konzentriert sich auf die Umsetzung von Grundanforderungen. Das Testat zur Basis-Absicherung bescheinigt eine grundlegende Erst-Absicherung, die alle Geschäftsprozesse im Unternehmen betrifft. Unternehmen zeigen damit die Absicherung der verarbeiteten Daten und Geschäftsprozesse unter organisatorischen, infrastrukturellen, technischen und personellen Aspekten mit einem Mindestmaß an Informationssicherheit. Es stellt die Grundlage für ein späteres Zertifizierungsverfahren dar.

Hinweis: Die Absicherung lässt sich mit relativ geringem personellen und finanziellen Aufwand realisieren. Daher eignet sich die Basis-Absicherung auch gut für KMUs.

Die Basis-Absicherung wirkt sich positiv auf die internen Prozesse aus und verbessert zugleich die Außendarstellung Ihres Unternehmens.

Die Zertifizierung der Kern- bzw. Standard-Absicherung – für umfassenden Schutz

Das ISO-Norm-27001-Zertifikat bescheinigt im Rahmen der Kern-Absicherung den Schutz der wichtigsten Geschäftsprozesse. Mit der Standard-Absicherung können Sie die Informationssicherheit in Ihrem Unternehmen ganzheitlich umsetzen.

Die Entscheidung für einen internen oder externen Informationssicherheitsbeauftragten

Unternehmen können einen internen oder externen Informationsbeauftragten bestellen. Die Entscheidung hängt vom jeweiligen Arbeitsaufwand ab. Lassen sich die verschiedenen Aufgaben mit weniger als 50 Prozent einer Vollzeitstelle umsetzen, ist in der Regel die Bestellung eines externen Informationsbeauftragten sinnvoll.

Vorteile bei der Benennung eines externen Informationsbeauftragten

Im Unternehmen trägt die Unternehmensleitung die Verantwortung für die Informationssicherheit. In den meisten Unternehmen ist die Geschäftsführung jedoch im Bereich der IT-Sicherheit nicht ausreichend  geschult. In der Regel mangelt es sowohl an den Fachkenntnissen als auch an verfügbaren Zeit für die Einarbeitung in das Thema.

Der benannte Informationsbeauftragte ist der Geschäftsleitung direkt unterstellt, handelt in deren Auftrag und agiert als zentraler Ansprechpartner. Er setzt die Aufgaben rund um das Informationssicherheitsmanagement um, berücksichtigt die DSGVO und empfiehlt wirtschaftlich sinnvolle Maßnahmen.

Ein externer Informationsbeauftragter ist für den Nachweis der Informationssicherheit in kleinen und mittelständischen Unternehmen eine kostengünstige Möglichkeit. KMUs reduzieren auf diese Weise den Personalaufwand.

Verschwiegenheit ist für den ISB selbstverständlich. Nach § 5 BDSG und § 88 TKG ist er dazu verpflichtet Datengeheimnisse zu wahren. Wenn Sie einen externen Informationsbeauftragten engagieren, können Sie zusätzlich eine Vertraulichkeitsvereinbarung abschließen.

Externer Informationssicherheitsbeauftragter (Sachsen) & sächsisches Informationssicherheitsgesetz.

Muss ein Unternehmen per Gesetz einen Informationssicherheitsbeauftragten benennen?

Externen Informationssicherheitsbeauftragten (ISB) benennen. Ihr Datenschutz-Experte in Sachsen.

Betreiber von kritischen Infrastrukturen müssen einen Informationsbeauftragten bestellen. Für die Einrichtungen und Organisationen mit entscheidender Bedeutung für das staatliche Gemeinwesen gilt die rechtlich verpflichtete Berichtspflicht nach § 8a BSIG / BSI-KritisV. Dazu gehören unter anderem die Bereiche Telekommunikation, Informationstechnik, Energieversorgung, Ernährung, Wasser, Gesundheit sowie Finanz- und Versicherungswesen. Der Berichtspflicht kann nur der qualifizierte Informationssicherheitsbeauftragte nachkommen.

Für alle anderen Unternehmen ist die Benennung keine Pflicht, sondern eine strategische Entscheidung. Die seit Mai 2018 gültige DSVGO zielt jedoch auf die Implementierung eines ISMS ab. Dieses steigert die Robustheit gegen Störungen und minimiert Risiken, die die gesamte Existenz des Unternehmens gefährden können. Im Angriffsfall bietet dieser bei der Wiederherstellung des normalen Betriebs wertvolle Hilfe.

Betreiber von kritischen Infrastrukturen müssen einen Informationsbeauftragten bestellen. Für die Einrichtungen und Organisationen mit entscheidender Bedeutung für das staatliche Gemeinwesen gilt die rechtlich verpflichtete Berichtspflicht nach § 8a BSIG / BSI-KritisV. Dazu gehören unter anderem die Bereiche Telekommunikation, Informationstechnik, Energieversorgung, Ernährung, Wasser, Gesundheit sowie Finanz- und Versicherungswesen. Der Berichtspflicht kann nur der qualifizierte Informationssicherheitsbeauftragte nachkommen.

Für alle anderen Unternehmen ist die Benennung keine Pflicht, sondern eine strategische Entscheidung. Die seit Mai 2018 gültige DSVGO zielt jedoch auf die Implementierung eines ISMS ab. Dieses steigert die Robustheit gegen Störungen und minimiert Risiken, die die gesamte Existenz des Unternehmens gefährden können. Im Angriffsfall bietet dieser bei der Wiederherstellung des normalen Betriebs wertvolle Hilfe.

Externen Informationssicherheitsbeauftragten (ISB) benennen. Ihr Datenschutz-Experte in Sachsen.

Sächsisches Informationssicherheitsgesetz

2019 wurde das Sächsische Informationssicherheitsgesetz verabschiedet. Ziel des Gesetzes ist es, die Informationssicherheit in Sachsen zu verbessern.

Benennung eines (externen) Informationssicherheitsbeauftragten in Sachsen

Alle sächsischen Kommunen sollten bis zum 31.12.2020 einen Informationssicherheitsbeauftragten benennen. Diese Aufgabe kann von einem internen Mitarbeiter übernommen werden, sofern dieser über die erforderliche Fachkompetenz verfügt. Wenn kein interner Mitarbeiter zur Verfügung steht, kann gemäß dem Sächsischen Informationssicherheitsgesetz auch ein externer Informationssicherheitsbeauftragter bestellt werden.

Was passiert bei einem Informationssicherheitsvorfall?

Wenn ein Informationssicherheitsvorfall (Information Security Incident, IS) eintritt, kann es theoretisch zum Datenverlust oder zur Datenmanipulation kommen. Möglich sind unter anderem DDOS-Angriffe, die den normalen Systembetrieb lahmlegen und unbefugte Zugriffe mit Datendiebstahl.

Der ISB analysiert das Problem und setzt so schnell wie möglich entsprechende Sicherheitsmaßnahmen um. Dazu werden Datenströme geprüft und Bedrohungen neutralisiert. Die Umsetzung erfolgt nach Freigabe durch die Geschäftsleitung. Nach der Beseitigung von Malware und anderen Risiken überwacht der ISB das Netzwerk weiter und optimiert die Systeme für einen besseren Schutz bei zukünftigen Angriffsversuchen.

Was ist der Unterschied zwischen einem IT-Sicherheitsbeauftragten und einem Informationssicherheitsbeauftragten?

In der Vergangenheit war beim Thema IT-Sicherheit häufig vom IT-Sicherheitsbeauftragten die Rede. Dieser hat sich hauptsächlich um die IT-Systeme und den Schutz von Anwendungen im Unternehmen gekümmert. Häufig wurde diese Rolle von einem Mitarbeiter der eigenen IT-Abteilung übernommen.

Der Informationssicherheitsbeauftragte agiert hingegen an der Schnittstelle zwischen der Geschäftsleitung und der vorhandenen IT-Abteilung. Es stehen nicht mehr nur die verwendete Soft- und Hardware des Unternehmen im Fokus, sondern alle Informationen, die erfasst, gespeichert und verarbeitet werden. Dazu gehören neben den Kundendaten und diversen digital erfassten Daten auch manuell erstellte Informationen, wie zum Beispiel die Besucherliste am Empfang eines Unternehmens.

Die Erstellung des Angebotes

Für eine unverbindliche Beratung und eine erste Kostenabschätzung kontaktieren Sie mich bitte per E-Mail, Telefon oder das Kontaktformular.

Idealerweise kann ich mir vor einer Angebotserstellung direkt bei Ihnen vor Ort einen ersten Eindruck vom momentanen Sicherheitsniveau und von den zu erwartenden Anforderungen verschaffen. In den meisten Fällen ist es ohnehin nur auf diese Weise möglich, ein genaues Angebot zu kalkulieren. Dieser erste Besuch erfolgt selbstverständlich kostenfrei.

Mein Honorar richtet sich grundsätzlich nach dem vertraglich vereinbarten Beratungsumfang. Meine Beratung sowie die Umsetzung der Informationssicherheit in Ihrem Unternehmen wird mit einem zu vereinbarenden Kostensatz abgerechnet.

Die Abrechnung der fortlaufenden Tätigkeit als externer Informationssicherheitsbeauftragter erfolgt mit einer Monatspauschale inklusive Reisekosten (zzgl. MwSt.).

Zusätzliche Beratungen und Tätigkeiten werden nur nach gesonderter Beauftragung und Berechnung durchgeführt.

Ich freue mich auf Ihre Anfrage!

Steve Vetter – Ihr Informationssicherheitsbeauftragter für Sachsen