Als IT-Sicherheitsbeauftrager im Unternehmen müssen Sie den hohen Anforderungen der IT-Security mit einer fundierten Ausbildung und Weiterbildung gerecht werden.
Von den Grundlagen der IT-Sicherheit bis hin zur regelmäßigen Aktualisierung der erworbenen IT- und EDV-Qualifikationen:
Hier finden Sie zielgerichtete Seminare zur Ausbildung und Weiterbildung der IT-Sicherheitsbeauftragten.
Als Informationssicherheit bezeichnet man die sichere Verarbeitung von Informationen (Daten) in einer Organisation (Unternehmen, Behörde, Verband, Verein, und weitere). Dabei sind Vorsorge-Aufgaben, wie sie z.B. im KonTraG, HGB, AktG vorkommen, essentiell.
Verantwortlich sind hierbei nach außen die Leitung der Organisation und nach innen das Sicherheitsmanagement. In diesem schnell wandelnden Gebiet muss sich der IT-Sicherheitsbeauftragte eines Unternehmens vertraut machen.
Die Zielsetzung der Informationssicherheit besteht in der Einhaltung von Compliance. Dazu zählen zum einen das Einhalten von Vorgaben, Gesetzen, Richtlinien und zum anderen die Sicherstellung von Verträgen und Standards.
Dabei sollten folgende Sicherheitsziele erreicht werden:
Ein IT-Sicherheitsbeauftragter hat folgende Aufgaben und Pflichten innerhalb seiner Rolle zu erledigen:
Abb.: IT-Sicherheitsbeauftragter im Unternehmen - AKodisinghe / thinkstockphotos.de
Je nach Unternehmensgröße unterscheidet sich die Aufstellung einer Sicherheitsorganisation. Das Profil eines IT-Sicherheitsbeauftragten ist immer genau festzulegen und im Rahmen einer Arbeitsplatzbeschreibung oder Tätigkeitsdarstellung schriftlich zu fixieren. Auf diese Weise lassen sich die Zuständigkeiten festlegen.
Lehrgang - Der IT-Sicherheitsbeauftragte
Um seine Aufgaben optimal und effizient umsetzen zu können sollte ausreichend Budget eingeplant werden. Weiterhin müssen die Voraussetzungen im Rahmen der Technik (Büroausstattung, spezielle Werkzeuge etc.) geschaffen werden. Darüber hinaus ist es wichtig, ausreichend Personal für diese Aufgaben einzuplanen. Dabei müssen Vertreter eingeplant werden, die die Aufgaben in Abwesenheit des Rolleninhabers übernehmen können.
Neben der Einführung in die Aufgaben und Pflichten des IT-Sicherheitsbeauftragten sind Leit- und Richtlinien sowie Sicherheitskonzepte relevant. Dabei spielen aktuelle Standards, wie die ISO 27000-Reihe und die Neufassung des IT-Grundschutzes, eine wichtige Rolle. Gleichermaßen zählen Cloud Computing, Identity & Access Management, Mobile Security und Business Continuity (BCM) zu den wesentlichen Prozessen der Informationssicherheit.
Lehrgang - Der IT-Sicherheitsbeauftragte
In seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2015 kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu dem Schluss:
In der Wirtschaft muss sich durchsetzen, dass IT-Sicherheit als Teil des Risikomanagements eine Managementaufgabe ist, die in der Unternehmensleitung verankert ist.
Die Investition in bewährte Basismaßnahmen in den Bereichen Technik, Personal und Organisation sei wirtschaftlich vertretbar und schütze bereits gegen eine Vielzahl heutiger Angriffe, so das BSI weiter. Die außergewöhnlich hohe Innovationsgeschwindigkeit der Informationstechnik werde die IT-Sicherheit aber auch künftig herausfordern. Es ist abzusehen, dass erfolgreiche Angriffe auf Systeme und Dienste immer mehr zunehmen werden! Die Rahmenbedingungen sowie Maßnahmen der Prävention, Detektion und Reaktion müssten sich in gleicher Geschwindigkeit weiterentwickeln.
Abb.: IT-Sicherheitsstrategie - LeoWolfert / thinkstockphotos.de
Die folgenden Aufgaben und Themen sind Teil einer umfassenden IT-Sicherheitsstrategie im Unternehmen und sollen nachfolgend kurz erläutert werden:
IT-Notfallplanung
Die IT-Notfallplanung informiert über aktuelle Standards und gesetzliche Anforderungen der Notfallplanung, die Notfallorganisation sowie Verfahren zur Notfallbewältigung.
IT-Notfallmanagement
Unterbrechungen entscheidender Geschäftsprozesse, die unbemerkte Verfälschung von Daten und Anwendungen, auch die ungewollte Preisgabe sensibler Informationen können zu erheblichen finanziellen Verlusten führen. Um derartige IT-Notfälle effizient behandeln und die Business Continuity erreichen zu können, müssen Unternehmen und Behörden Präventiv-Maßnahmen ergreifen und eine reaktive Notfallorganisation aufbauen.
Aufbau des IT-Notfallmanagements
Das IT-Notfallmanagement kann als Teil des Sicherheitsmanagements (ISMS) aufgebaut sein, hier ist das Sicherheitsziel die Verfügbarkeit. Darüber hinaus kann das IT-Notfallmanagement als Teil des Business Continuity (BCMS) aufgebaut sein, welches dann für kritische IT-Anwendungen zuständig ist. Zudem kann ein Unternehmen das IT-Notfallmanagement auch als eigenständige Aufgabe deklarieren.
IT-Notfallbeauftragter
Unternehmen müssen einen IT-Notfallbeauftragen bestimmen. Die Tätigkeiten unterscheiden sich je nach Unternehmensgröße.
Business Continuity
Business Continuity (BC) ist die Fähigkeit einer Organisation, ihre Service Level selbst unter herausfordernden Umständen aufrechterhalten zu können.
Business Continuity Management
Business Continuity Management (BCM) ist ein Prozess, welcher ein Ziel und verschiedene Aufgaben beinhaltet und über einen entsprechenden Aufbau verfügt Es ist ein unternehmensweiter Prozess zur Minimierung finanzieller, rechtlicher und weiteren Auswirkungen in Folge widriger Umstände. BC-Maßnahmen müssen geplant und umgesetzt werden. Ziel ist es ein normgerechtes Business Continuity Management System (BCMS) aufzubauen.
Verfahren des BCM nach ISO 22301
ISO 22301 legt Anforderungen für ein Krisenmanagementsystem fest, welches Unternehmen vor Störfällen schützt, die Wahrscheinlichkeit dieser Ereignisse verringert und sicherstellt, dass sich das Unternehmen davon erholt. Zudem legt es die Begrifflichkeiten fest und spezifiziert die Anforderungen an das BCMS.
Bedrohungsszenarien
Eine Bedrohung ist ein bestimmter Ablauf, welcher eine Gefährdung hervorruft. Zu jeder Art von Gefährdung gibt es meistens viele Bedrohungen.
Die Management-Ebene in der Organisation müssen alle Betroffenen motivieren und unterstützen, um die Wirksamkeit des BCMS sicherzustellen. Die Risikoermittlung erfolgt nach ISO 27005.
Notfallleitlinie erstellen
Es muss der Geltungsbereich der Notfall-Leitlinie festgelegt werden sowie die Anforderungen und Ziele, aber auch die Risiken dürfen nicht außer Acht gelassen werden. Zudem sollte der Stellenwert sowie die grundsätzliche Regelung des Notfallmanagements klar gemacht werden. Dazu gehören auch präventive Maßnahmen, die im Rahmen eines Notfallvorsorgekonzeptes erstellt werden müssen.
Business Impact Analysis (BIA)
Verfahren und Kriterien zur Analyse der Risiken und des Business Impacts sollten folgende Aspekte enthalten:
Seminar - IT-Notfallplanung
Informationssicherheit liegt in der Verantwortung der Leitungsebene. Sie delegiert die Verantwortung intern in einem bestimmten Umfang an das Sicherheitsmanagement. Im Eigeninteresse eines IT-Verantwortlichen liegt die klare Definition der eigenen Verantwortlichkeit.
Das Aufgabenfeld umfasst Aufbau und Pflege eines IT-Sicherheitskonzepts sowie die Pflicht, den Arbeitgeber auf mögliche Risiken hinzuweisen. Sollten die arbeitsvertraglichen Pflichten verletzt werden kann das Sicherheitsmanagement haftbar und im schlimmsten Fall sogar strafbar gemacht werden.
Man unterscheidet zwischen zivilrechtlicher und öffentlich-rechtlicher Haftung. Zudem muss man eine Unterscheidung in Innenverhältnis und Außenverhältnis treffen. Im Innenverhältnis gibt es einen IT-Verantwortlichen und vertragliche Regelungen sind von besonderer Bedeutung. Gegenüber Dritten haftet der IT-Verantwortliche in erster Linie aus allgemeinen gesetzlichen Vorschriften. Außerdem haften auch Arbeitnehmer und Geschäftsführung auf unterschiedliche Art und Weise.
Seminar - IT-Notfallplanung
Nachfolgend finden Sie eine kleine Auswahl wichtiger Gesetze, Normen und Standards mit entsprechender Bedeutung im Rahmen der IT-Sicherheit im Unternehmen.
Abb.: IT-Sicherheit und Datensicherheit im Unternehmen - Bastian Weltjen / fotolia by Adobe
Das neue IT-Sicherheitsgesetz wurde im Juli 2015 verabschiedet. Das Gesetz dient zur Erhöhung der Sicherheit informationstechnischer Systeme. Die Anforderungen des ITSG sind wie folgt:
Betroffene Unternehmen sind insbesondere die sogenannten kritischen Infrastrukturen (KRITIS). Dazu zählen Unternehmen aus folgenden Bereichen:
Somit spielt die Sicherheit der IT-Systeme, besonders im Bereich der kritischen Infrastrukturen, eine enorm wichtige Rolle. Für die Umsetzung des ITSG müssen organisatorische und technische Vorkehrungen getroffen werden. Für diese Vorkehrungen müssen branchenspezifische Standards mit aufgeführt sein, insofern diese nach Feststellung des BSI (Bundesamt zur Sicherheit in der Informationstechnik) zur Einhaltung des ITSG geeignet sind.
Fragt man die Unternehmen, welche IT-Sicherheitszertifizierung sie haben oder planen, wird an erster Stelle die ISO-27001-Zertifizierung genannt. Ziel ist es, Unternehmen bei der Definition ihrer Anforderungen für geeignete IT-Sicherheitsmechanismen und beim Aufbau eines dokumentierten Informationssicherheits-Managementsystems zu unterstützen.
Die internationale Norm ISO 27001 stellt das Rahmenwerk für das Management der Informationssicherheit (ISMS) dar. Es beschreibt die Anforderung an ein Informationssicherheits-Managementsystem (ISMS). Die ISO 27001 ist die Vorgabe für eine mögliche Zertifizierung.
Dabei sind nationale und internationale Strukturen vorhanden:
Zunehmende Bedeutung hat die ISO 27001 in Deutschland mit der Einführung der BSI-Grundschutz-Zertifizierung erfahren. Mit ihr kann nachgewiesen werden, dass die IT-Infrastruktur die Vorgaben der ISO 27001 erfüllt und dass diese unter Anwendung der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2) und ggf. einer IT-Risikoanalyse (BSI-Standard 100-3) umgesetzt wurden. Die Risikoanalyse ist bei IT-Systemen mit hohem oder sehr hohem Schutzbedürfnis erforderlich. Hier wird die ergänzende Norm ISO 27005 herangezogen. Zusätzlich stellt das BSI mit dem Standard 100-4 einen Standard für ein unternehmensweites Notfallmanagement zur Verfügung.
Voraussetzung für das ISO-27001-Zertifikat auf Basis von IT-Grundschutz ist die Überprüfung durch einen vom BSI zertifizierten ISO-27001-Grundschutz-Auditor.
Eine weitere Basis stellt der IT-Grundschutz in der Informationssicherheit dar. Dieser Grundschutz dient zur Identifikation und Umsetzung relevanter Sicherheitsmaßnahmen. Dazu hat das BSI konkrete Anforderungen festgelegt, die es zu beachten gilt. Die Informationen zum IT-Grundschutz sind für jedes Unternehmen zugänglich.
Die BSI-Standards enthalten Empfehlungen für Methoden, Prozesse, Verfahren, Vorgehensweisen und Maßnahmen zur Informationssicherheit. Behörden und Unternehmen können die Empfehlungen des BSI nutzen und an ihre eigenen Anforderungen anpassen. Herstellern von Informationstechnik oder Dienstleistern helfen die Empfehlungen dabei, ihre Angebote sicherer zu machen.
COBIT ist ein international anerkannter Rahmen für ein internes Kontrollsystem. Es dient zur Strukturierung von IT und IT-Prozessen und betrachtet folgende Ziele:
COBIT definiert hierbei nicht, wie die Anforderungen umzusetzen sind, sondern was umzusetzen ist.
Information Technology Infrastructure Library (ITIL) ist eine Darlegung festgelegter Prozesse, die in jeder IT-Infrastruktur von mittleren und großen Unternehmen vorkommen. Leitgedanke ist das IT-Service-Management, welches in die Phasen
gegliedert ist. Hierzu werden in Form von Best Practices die notwendigen Prozesse, die Organisation und die Werkzeuge beschrieben. Ebenso werden Risiken, kritische Erfolgsfaktoren und die Überwachung der Prozesse behandelt.
IT-Controller
IT-Controller gestalten und unterstützen den Managementprozess der betrieblichen Informationsverarbeitung und tragen damit eine Mitverantwortung für die Zielerreichung des Informationsmanagements. Zudem überbrücken sie Kommunikations- und Kulturbarrieren zwischen technischen und betriebswirtschaftlichen Perspektiven und tragen somit zu einer passenden Kultur im Umgang mit der Ressource Information bei.
Darüber hinaus agieren sie als Dienstleister an den Schnittstellen von Informationsmanagement, Unternehmenscontrolling und Unternehmensführung. Sie unterstützen den Prozess der Planung, Steuerung und Kontrolle für das Informationsmanagement.
Abb.: IT-Controller im Unternehmen - Anthony Leopold / fotolia by Adobe
IT-Kennzahl
Folgende Beispiele sind u.a. für IT-Kennzahlen festgelegt:
IT-Kennzahlensystem
Auch im IT-Bereich sind Kennzahlen die Koordinaten des Steuerungsobjektes im jeweiligen Zustandsraum. Ein Kennzahlensystem ist grundsätzlich eine Liste von Kennzahlen. Es gibt Tägliche Kennzahlen der IT-Organisation und Langzeit-Kennzahlen sowie noch weitere Kennzahlen.
Balanced Scorecard
Die Balanced Scorecard ist ein Instrument für die strategische Steuerung von Unternehmensorganisationen. Mithilfe dieses Tools soll die operative Umsetzung der Zielsetzungen optimal unterstützt werden. Die IT-Balanced Scorecard weist darüber hinaus spezielle Anforderungen in der IT auf.
IT Benchmarking-Methode
Die IT-Benchmarking-Methode, im Rahmen eines effektiven IT-Controllings ist geeignet, um die relative Position der eigenen Organisation im Teilnehmerfeld abzuschätzen und zu ermitteln, ob realistische Optimierungspotenziale vorhanden sind. Zudem lässt sich herausfinden, in welchen Prozessen und Funktionen hohe Potenziale zu erwarten sind. Es wird aufgezeigt, wie groß das Optimierungspotenzial ist. IT-Controller sollten mit dieser Methode Ziele für Kostenoptimierungsprogramme definieren.
IT-Reporting
Berichte sind standardisierte, periodische oder fallweise Präsentationen von Controllingergebnissen, die entsprechende Zusammenhänge aufzeigen. Reports enthalten Kennzahlen sowie Kommentare und Empfehlungen, die zur Kennzahlen Optimierung beitragen. Das Reporting geht immer an die IT-Führung, kann aber auch an IT-Kunden oder IT-Lieferanten gehen.
Seminar - IT-Controlling in der Praxis
