Sicherheit

Führung und strategisches Design von Sicherheitsabteilungen – Praxisleitfaden für ISB, IT-Sibe, ISO, CISO, vCISO und CSO

©Coloures-Pic - stock.adobe.com

IT-Verantwortlichen (CIOs) und Informationssicherheitsbeauftragten (ISBs) kommt weiterhin eine erheblich zunehmende Rolle bei der sicheren digitalen Transformation zu. Das Berufsbild des ISB entwickelt und verändert sich fortlaufend; was sind konkrete Erfolgsfaktoren für wirksamen und ganzheitlichen Schutz einer Organisation? Wie wird sich das Anforderungsprofil an den ISB in Zukunft verändern? Der vorliegende Beitrag stellt Erfolgsfaktoren für Sicherheitsverantwortliche in Zeiten weitreichender Veränderungen von Technologie und Sicherheitslagebild zusammen, bietet einen Basis-Werkzeugkasten zur internen Umsetzung und gibt einen Ausblick zu künftigen Anforderungen an das Kompetenzprofil des ISB.   

Der Informationssicherheitsbeauftragte in Konzern, Mittelstand und Behörde

Das BSI IT-Grundschutzkompendium 2021 definiert den Informationssicherheitsbeauftragten als „für die operative Erfüllung der Aufgabe Informationssicherheit zuständig“. Die Rolle „sollte von einer Person mit eigener Fachkompetenz zur Informationssicherheit in einer Stabsstelle eines Unternehmens oder einer Behörde wahrgenommen werden“.

Die Benennungen der Rolle unterscheiden sich je nach Organisation; neben der Bezeichnung Informationssicherheitsbeauftragter (ISB) gibt es beispielsweise unter anderem die Bezeichnungen IT-Sicherheitsbeauftragter (IT-Sibe), Information Security Officer (ISO), Chief Information Security Officer (CISO), virtual Chief Information Security Officer (externer CISO; vCISO) oder Chief Security Officer. In der Unternehmenspraxis erfordert die Funktion des ISB häufig neben Vorstandsberichtswegs-, Personalführungs- und Multiprojektleitungskompetenz im internationalen oder gesellschaftsübergreifenden Kontext ein fachliches Kompetenzprofil, das neben ausgeprägtem unternehmerischen Denken Kompetenzen aus einer Reihe verschiedener Disziplinen erfordert; hierzu  gehören insbesondere IT-Strategie, Informationssicherheit, Sicherheitslösungen, Anwendungssicherheit, Forensik, Technik und IT-Betrieb, Unternehmenssicherheit, Risikomanagement, Security Marketing & Awareness, Datenschutz, IT-Revision, Compliance sowie Dienstleister- und Beratungskenntnisse.

Unabhängig davon, ob es sich um eine Vorstandsstabsstelle zur internationalen, organisationsweiten Steuerung von Informationssicherheit in einem börsennotierten Unternehmen einer hochregulierten Branche, einen lokalen ISB einer Landesgesellschaft, eines Geschäftsbereichs, eines einzelnen Standorts oder die Verantwortung für die Informationssicherheit in einem mittelständischen Unternehmen oder einer Behörde handelt; der vorliegende Beitrag soll einen grundlegenden Überblick möglicher Werkzeuge für den Informationssicherheitsbeauftragten zur Verfügung stellen. Viele der in dem vorliegenden Artikel hervorgehobenen Aspekte werden zumindest teilweise auch in den gängigen Standards zur Informationssicherheit wie z.B. ISO 27001, TISAX® oder BSI-Grundschutz gefordert und eine Etablierung kann einen weiteren Beitrag zur Weiterentwicklung eines in grundlegenden Teilaspekten bereits vorhandenen Informationssicherheitsmanagementsystems bilden. Der Fokus soll hier allerdings auch auf teilweise über die Standards hinausgehende Aspekte im Hinblick auch auf Organisation und wirksame organisationsweite Steuerung von Informationssicherheit sowie auf kulturellen Aspekten zur Entwicklung hin zu Best in Class Sicherheitsorganisationen liegen.

Erfolgsfaktoren für organisationsweite Informationssicherheit 

Managementunterstützung und „Tone from the Top“

Die Sicherstellung der Managementunterstützung für das Thema Informationssicherheit von Seiten der Geschäftsführung oder des Vorstands ist unabdingbare Grundvoraussetzung für ein Informationssicherheitsmanagementsystem. Ohne aktive Managementunterstützung ist kein Informationssicherheitsmanagementsystem denkbar. Ein wirksames ISMS erfordert die Übernahme einer Vorbildfunktion, die dokumentierte Unterstützung für das Thema durch die Geschäftsführung in den entsprechenden Regelwerken sowie eine organisatorische Aufhängung des ISB mit Anbindung an die Geschäftsführung und unter Wahrung der notwendigen Funktionstrennungen. Besondere Bedeutung muss insbesondere auch dem Risikomanagement-Reporting an den Vorstand beigemessen werden.

Mehrwert der Etablierung einer organisationsweiten Sicherheitskultur

Verankern Sie Informationssicherheit und Informationssicherheitsprozesse in den Köpfen der Organisation. Wenn Sie erwarten, dass Vorgaben und Verfahren zur Informationssicherheit intern umgesetzt werden, müssen Sie auch die Notwendigkeiten und Hintergründe erklären und Mitarbeitende entsprechend befähigen und schulen. Evaluieren Sie, wie Sie das Thema Informationssicherheit zielgruppengerecht, attraktiv und lebhaft gestalten können.

Monitoring regulatorischer Anforderungen

Die regulatorischen Anforderungen an die Informationssicherheit einer Organisation und somit auch die Legitimation von Sicherheitsaufwendungen und Budgets verändern sich fortlaufend und werden insbesondere in regulierten Branchen und Bereichen weiterhin in erheblichem Umfang zunehmende Anforderungen stellen. Ob IT-Sicherheitsgesetz 2.0, BAIT, VAIT, GoBD, DSGVO, ePrivacy-Verordnung, China Cybersecurity Law, Verbandssanktionengesetz, BSI-KritisV, MaRisk, Compliance mit Informationssicherheits-Standards oder vertragliche Anforderungen von Drittparteien, erfassen Sie regelmäßig die aktuellen rechtlichen Anforderungen an die Informationssicherheit Ihrer Organisation und beobachten Sie Veränderungen der Regulatorik proaktiv, um frühzeitig reagieren zu können. Ein funktionierendes und dem jeweiligen Unternehmen angemessenes Anforderungsmanagement ist eine der elementaren, tragenden Säulen eines jeden Managementsystems.  

Verbesserung der Sichtbarkeit der Informationssicherheit

Evaluieren Sie, wie Sie die Ihnen innerhalb der Organisation zur Verfügung stehenden Kommunikationskanäle, z.B. Intranet, interne Social Media Plattformen, Email, Laufwerke, Flyer oder Plakate zielgruppengerecht zur Förderung der Informationssicherheit nutzen können. Betrachten Sie Formate wie Schulungen, Sensibilisierungen und Nachbesprechungen von Sicherheitsvorfällen auch unter Aspekten des Informationsaustauschs sowie zur Bewerbung von Meldewegen und Beratungsangeboten. Informationssicherheit ist auch zukünftig mehr denn je wesentlicher Business Enabler und zwingender Bestandteil erfolgreicher Geschäftsbeziehungen; machen Sie Sicherheitsaufwände und Informationssicherheitsreifegrade gegenüber Kunden, Partnern, Lieferanten und interessierten Parteien sichtbar.  

Fortlaufende Verbesserung des ISMS

Lassen Sie uns an dieser Stelle noch einmal einen genaueren Blick auf den Aspekt der fortlaufenden Verbesserung werfen. Insbesondere wenn Sie das ISMS derzeit grundlegend aufbauen: Unabdingbar für die Implementierung eines ISMS ist die Abbildung kontinuierlicher Verbesserungsprozesse. In den Teilbestandteilen, bei denen es erforderlich ist, muss das ISMS fortlaufend dokumentiert geprüft und verbessert werden.

Bedeutung von Kennzahlen & Messbarkeit

Gestalten Sie relevante Bestandteile des ISMS messbar und definieren Sie kennzahlengestützte Informationssicherheitsprozesse für das Reporting gegenüber dem Management sowie an relevante Stakeholder.

Wertvolle Indikatoren können unter anderem aus

  • Meldeaufkommen
  • Sensibilisierungen, Schulungen & Teilnahmequoten
  • Erarbeitung von Richtlinien
  • Durchgeführte Sensibilisierungen & Schulungen sowie deren Wirksamkeit
  • Risikomanagement-Kennzahlen
  • Sicherheitsereignisse/ -vorkommnisse
  • Kennzahlen zu Ergebnissen von Wirksamkeitsprüfungen
  • Verbesserung des Reifegrads des ISMS

gewonnen werden.

Berichten Sie über den Entwicklungsfortschritt des Managementsystems und wesentliche Kennzahlen an das Management sowie Gesellschafter/Aufsichtsrat und evaluieren Sie z.B. die Veröffentlichung eines jährlichen Berichts zur Informationssicherheit für relevante Parteien. Kommunizieren Sie den Mehrwert von Informationssicherheit für die Organisation proaktiv und regelmäßig – sei es im Hinblick auf Reputation, Wettbewerbsvorteile, Mitarbeiterzufriedenheit oder Minimierung finanzieller und rechtlicher Risiken.

Informationssicherheit in M&A Prozessen

Die Informationssicherheit wird gerade auch an ihrer Mitwirkung in wichtigen oder kritischen Unternehmensprojekten gemessen. Die sorgfältige Berücksichtigung und Planung ist insbesondere auch im Rahmen von Übernahmeaktivitäten von Bedeutung. Welche IT-Risiken bestehen bei dem Unternehmen? Was hat das zu übernehmende Unternehmen für einen Informationssicherheits-Reifegrad? Wie wird das Unternehmen in die eigene Sicherheitsarchitektur integriert? Welche Lücken müssen adressiert werden?

Leadership & Personalführung

Mit zunehmender Relevanz der Informationssicherheit für den Unternehmenserfolg, steigender Vorstandsrelevanz und Größe von Informationssicherheits-Teams steigt auch die Bedeutung von Führungs-Knowhow der Informationssicherheitsbeauftragten. War das Anforderungsprofil in der Vergangenheit operativer, verfügen Informationssicherheitsbeauftragte inzwischen häufig idealerweise über einen unmittelbaren Vorstandsberichtsweg und steuern aufwachsende Sicherheitsabteilungen in Dachgesellschaft sowie in nachgeordneten Gesellschaften im In- und Ausland. Hiermit steigt auch die Bedeutung von Personalführungs- und Managementfähigkeiten für den ISB.

Multiprojektmanagement

Wirksame, ganzheitliche Informationssicherheit ist komplex und erfordert Projektmanagement-Knowhow sowie die Koordination und Mitwirkung einer Vielzahl unterschiedlicher Teilprojekte und Akteure. Definieren und priorisieren Sie, welche Aktivitäten und Bestandteile des ISMS innerhalb von welchem Zeitrahmen durch wen zu erledigen sind. Halten Sie die Umsetzungsstände zentral nach. 

Interne und externe Kooperationen

Ein funktionierendes ISMS erfordert immer auch verschiedene Formen der Kooperation innerhalb der Organisation oder des Unternehmens. Nutzen Sie Möglichkeiten um innerhalb der Organisation oder Ihres Unternehmens nachhaltige Allianzen mit anderen beteiligten Funktionen und Fachbereichen zu bilden. Auch die externe Kontaktpflege, z.B. zu Fachverbänden und Aufsichtsbehörden sowie zur Aufrechterhaltung von aktuellem Fachwissen wird in den gängigen Standards explizit gefordert.

Praxistauglichkeit

Vermeiden Sie die Schaffung von unnötiger Komplexität. Unverhältnismäßig komplizierte Projekte oder Projektbestandteile binden Ressourcen und führen zu Akzeptanz- und Verständlichkeitsproblemen. Gestalten Sie das ISMS pragmatisch, wirksam, praxisnah und an den Betriebsabläufen ausgerichtet.

Maßnahmentracking, Follow Up & Revision 

Halten Sie durchzuführende Verbesserungsmaßnahmen zentral nach und eskalieren Sie diese gegebenenfalls. Achten Sie auf angemessene, aktuelle und gegebenenfalls toolgestützte Dokumentation. Ein wertvolles, bereits vorhandenes Werkzeug kann z.B. ein bereits im Unternehmen etabliertes Ticketsystem sein, mit welchem sich Workflows und Maßnahmen-Nachverfolgungen abbilden lassen. Jedes Managementsystem ist fortlaufend aufrechtzuerhalten, zu prüfen und zu verbessern.

Das Berufsbild Informationssicherheitsbeauftragter – künftige Anforderungen

CIOs und Informationssicherheitsbeauftragten kommt weiterhin eine zunehmende Rolle bei der sicheren digitalen Transformation zu. Laut einer Vielzahl aktueller Studien steigt neben der Wahrnehmung der Relevanz von Cyber-Security seitens der Unternehmensvorstände und der Anzahl der ISBs mit Vorstandsanbindung vor allem auch die Relevanz von Artificial Intelligence, OT-Security und Regulatory Compliance für das Berufsfeld ISB. Von wesentlicher Bedeutung im Hinblick auf das künftige Anforderungsprofil des ISB dürften somit insbesondere auch Aspekte wie Strategiefähigkeit, C-Level Kommunikationsfähigkeit, Anpassungsfähigkeit im Hinblick auf die Geschwindigkeit technologischer Entwicklungen, Change- und Transformationsexpertise sowie Leadership Aspekte und die Fähigkeit zu Aufbau und Unterhaltung interner und externer Netzwerke sein.