Erfahrungen & Bewertungen zu 8S IT-Sicherheit e.K.

Teil 1: Der Aufbau einer IT-Sicherheitsorganisation

IT-Sicherheit als Managementaufgabe

IT-Sicherheit ist eine Managementaufgabe – daran führt kein Weg vorbei. Sehr häufig sind es äußere Zwänge, die Unternehmen dazu bewegen, sich verstärkt mit IT-Sicherheit zu befassen. Die IT-Sicherheitsorganisation unterstützt den Unternehmer dabei.

Gesetzliche Verpflichtungen

Auf der einen Seite sind Unternehmer durch gesetzliche Vorgaben zu besonderer Sorgfalt verpflichtet, wenn es um den Schutz von Unternehmenswerten geht. Grundlagen hierzu finden sich unter anderem im HGB, AktG oder dem GmbHG. Auch „Spezialgesetze“ wie zum Beispiel KRITIS, das Gesetz über kritische Infrastrukturen, fordern von den Unternehmen weitreichende Maßnahmen zur IT-Sicherheit.

Andererseits zeigen täglich neue Nachrichten im Fernsehen und sozialen Medien, wie gefährlich es heutzutage ist, digital zu kommunizieren und Daten über das Internet auszutauschen.

Es existiert kein Gesetz, welches explizit die Einrichtung einer Organisationseinheit „Datensicherheit“ verlangt. Im Gegensatz zum Datenschutzbeauftragten ist die Bestellung eines IT-Sicherheitsbeauftragten nicht gesetzlich vorgeschrieben.

Unternehmerische Sorgfalt gefordert

Man geht jedoch bei einem Unternehmer davon aus, dass die geltenden Vorschriften zum ordnungsgemäßen Betreiben eines Unternehmens ausreichen sollten, damit der Unternehmer seine Aufgaben wahrnimmt und entsprechende Maßnahmen auch umsetzt. Schließlich sollte dem Unternehmer selbst daran gelegen sein, den Geschäftsbetrieb nicht durch Diebstahl, die unerlaubte Veränderung oder die Nicht-Verfügbarkeit seines Know-hows, sprich seiner Daten und denen seiner Kunden und Lieferanten zu gefährden.

Aus dieser Situation heraus ist es sicher zu verstehen, warum es die ureigene Aufgabe der Geschäftsführung sein muss, ein geeignetes IT-Sicherheitsmanagement einzurichten und den Schutz der eigenen Daten sicherzustellen.

Die IT-Sicherheitsorganisation

Der Unternehmer ist also verantwortlich für die Organisation der IT-Sicherheit in seinem Unternehmen, gleichwohl kann er die Aufgabe nicht alleine bewältigen: der Aufbau einer IT-Sicherheitsorganisation ist erforderlich.

Je nach Unternehmensgröße kommen hier verschiedene Ausprägungen in Betracht.

In einem kleinen Unternehmen mit 10 bis 20 Mitarbeitern ist es kaum möglich, Stellen zu schaffen, die sich ausschließlich mit dem Thema IT-Sicherheit beschäftigen. Mittlere Unternehmen haben vielleicht die finanziellen Mittel und den Bedarf an einer bis zwei Vollzeitstellen für IT-Sicherheit. Internationale Konzerne kommen nicht ohne eine weit verzweigte IT-Sicherheitsorganisation aus.

Doch wie nun anfangen?

Einige wichtige Dinge gilt es zu beachten:

  • IT-Sicherheit muss vorgelebt werden. Das Management muss die Entscheidungen treffen, präzise Vorgaben machen und natürlich mit gutem Vorbild bei der Umsetzung vorangehen.
  • IT-Sicherheit muss in alle Bereiche des Unternehmens getragen werden. Nicht nur die Angestellten im Büro, sondern JEDER Mitarbeiter ist Teil der IT-Sicherheitsorganisation.
  • Es sollte, auch wenn nicht gesetzlich vorgeschrieben, ein IT-Sicherheitsbeauftragter bestellt werden. Dieses kann ein eigener Mitarbeiter oder ein externer Dienstleister sein.
  • Für Kernaufgaben müssen geeignete Mitarbeiter bestellt und mit ausreichenden Kompetenzen ausgestattet werden. Nur so lassen sich die Vorgaben auch durchsetzen.
  • Selbstverständlich muss sein, dem verantwortlichen Mitarbeiter den notwendigen Freiraum einzuräumen, um die Aufgaben überhaupt ausreichend wahrnehmen zu können.
  • Die Trennung von Funktionen ist unerlässlich. Der IT-Administrator zum Beispiel darf nicht gleichzeitig auch für die Erstellung von IT-Sicherheitsrichtlinien verantwortlich sein.
  • Alle Mitarbeiter und Führungskräfte (einschließlich der Geschäftsführung!) müssen regelmäßig auf die Bedeutung der Einhaltung von Vorgaben hingewiesen werden. Dies kann durch Schulungen, besser aber durch Trainings oder sogar kleine IT-Sicherheits-Wettbewerbe erfolgen.

Fazit

Die IT-Sicherheitsorganisation muss auf das Unternehmen angepasst und von der Geschäftsleitung gedeckt sein. Mitarbeiter aller Hierarchieebenen werden bestellt, um die Aufgaben gemeinsam zu erfüllen. Jeder Mitarbeiter und jede Führungskraft muss die Notwendigkeit für IT-Sicherheit erkennen.

Nur mit dem nötigen Bewusstsein aller Beteiligten ist es überhaupt möglich, IT-Sicherheit im Unternehmen durchzusetzen und ihre Notwendigkeit begreifbar zu machen!

Lesen Sie in Teil 2: Warum ist es so wichtig, Mitarbeiter zu sensibilisieren?

Gerne unterstützen wir Sie bei der Einführung einer IT-Sicherheitsorganisation.

Ebenso schaffen wir einen Überblick über Ihre aktuellen Maßnahmen mit unserem IT-Security Check.

Schreiben Sie uns!

Senden Sie uns einfach eine Mail. Wir antworten Ihnen schnellstmöglich!

mitarbeiter awareness phishing informationen angriffe