Datenschutz und IT

IT-Sicherheitsbeauftragter: Aufgaben, Befugnisse und Pflichten

© Gorodenkoff - Fotolia.com

Zwei Drittel der deutschen Unternehmen wurden im vergangenen Jahr Opfer von Cyberangriffen. Diese Zahl zeigt die Notwendigkeit für jedes Unternehmen sowie jede öffentliche Verwaltung, die IT-Sicherheit nicht auf die leichte Schulter zu nehmen. Ein wichtiger Schritt zur Absicherung könnte die Bestellung eines IT-Sicherheitsbeauftragten sein.

IT-Sicherheitsbeauftragter: gesetzliche Grundlage  

Im Gegensatz zum Datenschutzbeauftragten gibt es keine gesetzliche Regelung, die Unternehmen  grundsätzlich dazu verpflichtet, einen IT-Sicherheitsbeauftragten zu bestellen. Lediglich das Telekommunikationsgesetz (TKG) fordert im § 109 Abs. 4 Satz 1, dass Betreiber öffentlicher Telekommunikationsnetze oder öffentlich zugänglicher Telekommunikationsdienste einen Sicherheitsbeauftragten benennen und ein Sicherheitskonzept erstellen. Das IT-Sicherheitsgesetz verpflichtet zudem Betreiber kritischer Infrastrukturen – insbesondere in den Bereichen Strom- und Wasserversorgung, Finanzen und Ernährung – einen IT-Sicherheitsbeauftragten zu beschäftigen. Denn Ausfälle und Beeinträchtigungen des IT-Systems hätten gravierende Folgen für Wirtschaft, Staat und Gesellschaft. 

Im Hinblick auf die steigende Zahl von Cyberangriffen auf deutsche Unternehmen ist es jedoch auch für private Unternehmen ratsam, einen IT-Sicherheitsbeauftragten zu bestellen. Ob diese Stelle von einer einzelnen Person, einer Personengruppe oder in Teilzeit wahrgenommen wird, hängt letztendlich von der Größe des Unternehmens und den vorhandenen Ressourcen ab. 

Aufgaben des IT-Sicherheitsbeauftragten

Die Hauptaufgabe des IT-Sicherheitsbeauftragten liegt darin, die Unternehmensführung in Fragen der IT-Sicherheit zu beraten und bei der Umsetzung zu unterstützen. Des Weiteren hat er u.a. folgende Aufgaben: 

  • Bestandsaufnahme der bisherigen Aktivitäten zur IT-Sicherheit 
  • Abstimmung der IT-Sicherheitszielen mit den Zielen des Unternehmens/der Behörde/der Institution
  • Erstellung einer IT-Sicherheitsleitlinie
  • Aufbau, Betrieb und Weiterentwicklung der IT-Sicherheitsorganisation 
  • Erstellung eines IT-Sicherheitskonzepts und dessen Anpassung an neue gesetzliche Gegebenheiten 
  • Erstellung von Richtlinien und Regelungen zur Informationssicherheit 
  • Unterrichtung der Unternehmensleitung zum Status quo der IT-Sicherheit
  • Sicherstellung des Informationsflusses für das IT-Sicherheitsmanagement
  • Dokumentation der IT-Sicherheitsmaßnahmen sowie Kontrolle dieser Maßnahmen 
  • Durchführung von Schulungsmaßnahmen zum Thema IT-Sicherheit
  • Leitung der Analyse und Nachbearbeitung von IT-Sicherheitsvorfällen
  • Verwaltung der für die IT-Sicherheit zur Verfügung stehenden Ressourcen (Budget, Arbeitszeit) 
  • Funktion als Ansprechpartner auf dem Gebiet der IT-Sicherheit für Kollegen, aber auch für externe Geschäftspartner und Kunden. 

IT-Sicherheitsbeauftragter und Datenschutzbeauftragter

Der Unterschied zwischen dem Aufgabengebiet des IT-Sicherheitsbeauftragten und des Datenschutzbeauftragten liegt im Wesentlichen darin, dass sie für verschiedene Arten von Daten zuständig und verantwortlich sind. Es ist möglich, dass sich die Positionen in der alltäglichen Arbeit überschneiden. Während der IT-Sicherheitsbeauftragte jedoch ganzheitlicher arbeitet, kann sich der Datenschutzbeauftragte detailliert auf die personenbezogenen Daten konzentrieren. Im Idealfall finden beide gemeinsame Lösungen. Interessenskonflikte sollten bei professionellen Mitarbeitern nicht auftreten. 

Alle relevanten Gesetzesgrundlagen und -änderungen im Bereich Datenschutz, insbesondere durch die DSGVO und das BDSG-neu für das Jahr 2018 kompakt auf einen Blick zusammengefasst. Jetzt bestellen!

Befugnisse des IT-Sicherheitsbeauftragten 

Der IT-Sicherheitsbeauftragte

  • ist organisatorisch direkt der Unternehmens-/Behördenleitung unterstellt und hat damit direktes Vortragsrecht
  • ist weisungsbefugt gegenüber IT-Beauftragten und Systemadministratoren,
  • kann sich an Dienstberatungen, Projekt- und Leitungsbesprechungen beteiligen, 
  • hat ein Mitspracherecht bei allen Entscheidungen, die seinen Verantwortungsbereich betreffen, 
  • hat Zugriff auf alle IT-Systeme und damit verarbeiteten Daten, 
  • ist befugt, IT-Anwendungen ganz oder teilweise einzustellen, wenn die IT-Sicherheit gefährdet ist, 
  • hat Zutritt zu allen Betriebsbereichen,
  • führt Revisionen im Themenbereich der Informationssicherheit durch bzw. veranlasst Revisionen durch unabhängige Dritte und überprüft so das aktuelle Informationssicherheitsniveau in seinem Aufgabenbereich.

Stellung des IT-Sicherheitsbeauftragten  

Der IT-Sicherheitsbeauftragte ist ein Bindeglied zwischen der Geschäftsführung, der IT-Abteilung und den Nutzern. Damit er seine Aufgaben erfüllen kann, ist er weisungsfrei und direkt der Unternehmens- oder Behördenleitung unterstellt. Je nach Umfang seiner Aufgaben muss der IT-Sicherheitsbeauftragte von seinen sonstigen dienstlichen Pflichten freigestellt werden. In größeren Organisationen bietet es sich an, den Sicherheitsbeauftragten in Form einer eigenen Stelle zu führen. Sind die Ressourcen knapp, kann alternativ auch ein externer Sicherheitsbeauftragter verpflichtet werden. 

Damit der IT-Sicherheitsbeauftragte nicht in einen Interessenskonflikt gerät, sollte er keine Aufgaben innehaben, die mit seiner Funktion kollidieren könnten. So sollte er beispielsweise kein Administrator sein. 

IT-Sicherheitsbeauftragter: Pflicht zur Fortbildung 

Der IT-Sicherheitsbeauftragte muss die notwendige Fachkunde mitbringen und die Zuverlässigkeit besitzen, um seine Aufgaben ordnungsgemäß ausführen zu können.  Er sollte außerdem bereits Erfahrungen auf dem Gebiet der IT-Sicherheit vorweisen können. 

Wer sich dazu entschließt IT-Sicherheitsbeauftragter zu werden, muss sich bereit erklären, regelmäßig an Fortbildungen teilzunehmen. So muss er z. B. die Neuregelungen der Europäischen Datenschutz-Grundverordnung (DSGVO) sowie die Bestimmungen des neuen Bundesdatenschutzgesetzes (BDSG-neu), die am 25. Mai 2018 in Kraft treten, kennen und diese umsetzen können. Alle relevanten Gesetzesgrundlagen und -änderungen zur DSGVO, zum BDSG-neu sowie zur IT-Sicherheit sind im Buch „Datenschutz 2018“ übersichtlich aufbereitet. 

Quellen: „Formularmappe Datenschutz in öffentlichen und kirchlichen Einrichtungen“, BSI  

Kommentar schreiben
Captcha

Bitte geben Sie die Zahlenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.
Mehr zum Thema Datenschutz und IT: