IT-Sicherheitsbeauftragter

Copyright © Pixabay/vishnu vijayan

Was ist ein IT-Sicherheitsbeauftragter?

Ein IT-Sicherheitsbeauftragter (oft genutzte Abkürzung: ISO = Information Security Officer) ist der leitende Angestellte einer Organisation, der für die Festlegung und Aufrechterhaltung der Unternehmensvision und Strategie und des Programms verantwortlich ist, um sicherzustellen, dass Informationsressourcen und -Technologien angemessen geschützt werden. Der IT-Sicherheitsbeauftragte leitet die Mitarbeiter bei der Ermittlung, Entwicklung, Implementierung und Aufrechterhaltung von Prozessen im gesamten Unternehmen ein, um die Risiken der Informations- und Sicherheitstechnologie zu reduzieren. Er reagiert auf Vorfälle, legt geeignete Standards und Kontrollen fest, verwaltet Sicherheitstechnologien und steuert die Festlegung und Umsetzung von Richtlinien und Verfahren. In der Regel ist er auch für die Einhaltung von Informationen verantwortlich.

Aufgaben im Überblick

Ein IT-Sicherheitsbeauftragter erreicht in der Regel mit seinem Einfluss die gesamte Organisation. Untersuchungen haben gezeigt, dass der anfälligste Punkt in den meisten Informationssystemen der menschliche Benutzer ist (ISO/IEC 27002: Verhaltenskodex 2005). So befasst sich ein IT-Sicherheitsbeauftragter mit folgenden Themen:

• Coumptersicherheit
• Onlinesicherheit
• Notfallwiederherstellung und Bsuiness Cotinuity Management
• Identitäts- Zugriffsverwaltung
• Datenschutz der Informationen und Daten
• Einhaltung gesetzlicher Bestimmungen
• Risikomanagement
• Informationssicherheit und Informationssicherung
• Informationstechnische Kontrollen für Finanu- und andere Systeme
• IT-Untersuchungen
• Sicherheits-Frühwarnsystem
• Digitale Forensik

IT-Sicherheit

IT-Sicherheit ist die Praxis, den unbefugten Zugriff, die Verwendung, Offenlegung, Unterbrechung, Änderung, Überprüfung, Aufzeichnung oder Zerstörung von Informationen zu verhindern. Die Informationen oder Daten können jede Form annehmen, zum Beispiel elektronisch oder physisch. Der Schwerpunkt der IT-Informationssicherheit und somit die des IT-Sicherheitsbeauftragten liegen auf dem ausgewogenen Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten, wobei der Fokus auf einer effizienten Richtlinienimplementierung liegt, ohne die Produktivität der Organisation zu beeinträchtigen. Sie wird größtenteils durch einen mehrstufigen Risikomanagement-Prozess erreicht, der Vermögenswerte, Bedrohungsquellen, Schwachstellen, mögliche Auswirkungen und mögliche Kontrollen identifiziert, gefolgt von einer Bewertung der Wirksamkeit des Risikomanagementplans.

Risikomanagement

In dieser Definition existieren zwei Dinge, für die möglicherweise eine Erläuterung erforderlich ist. Erstens umfasst das Risikomanagement die Abwicklung des Risikomanagements als fortlaufender, iterativer Prozess. Es muss unendlich wiederholt werden. Das Geschäftsumfeld ändert sich ständig und es treten täglich neue Bedrohungen und Schwachstellen auf. Zweitens muss die Wahl der Gegenmaßnahmen (Kontrollen), die zur Steuerung der Risiken eingesetzt werden, ein Gleichgewicht zwischen Produktivität, Kosten, Wirksamkeit der Gegenmaßnahme und dem Wert des zu schützenden Informationsgut schaffen.

Risikoanalyse und Risikobewertungsprozesse haben ihre Grenzen, da sie bei Auftreten von Sicherheitsvorfällen in einem Kontext auftreten und ihre Sicherheit und Einzigartigkeit zu unvorhersehbaren Bedrohungen führen. Die Analyse dieser Phänomene, die durch Zusammenbrüche, Überraschungen und Nebenwirkungen gekennzeichnet sind, erfordert einen theoretischen Ansatz, der die Einzelheiten jedes Vorfalls subjektiv untersuchen und interpretieren kann.

Risiko ist die Wahrscheinlichkeit, dass etwas Schlimmes passiert, das einem Informationsasset Schaden zufügt. Eine Sicherheitsanfälligkeit ist eine Schwachstelle, die zur Gefährdung oder Schädigung eines Informationsbestands verwendet werden kann. Eine Bedrohung ist alles, das Schaden anrichten kann.

Die Wahrscheinlichkeit, dass eine Bedrohung eine Sicherheitsanfälligkeit verwendet, um den Schaden zu verursachen, generiert ein Risiko. Wenn eine Bedrohung eine Sicherheitsanfälligkeit verwendet, um Schaden anzurichten, hat dies Auswirkungen.

Die Risikobewertung führt ein IT-Sicherheitsbeauftragter mithilfe seiner Kenntnisse über bestimmte Geschäftsbereiche durch. Ein IT-Sicherheitsbeauftragter bedient sich dabei der Kollegen aus verschiedenen Bereichen, die sich je nach Risikosituation auch ändern können. Bei der Bewertung kann auch eine subjektive qualitative Analyse auf der Grundlage fundierter Meinungen vorgenommen werden.

Schwerpunkte IT-Sicherheitsbeauftragter

Vertraulichkeit

Im Bereich der Informationssicherheit ist Vertraulichkeit die Eigenschaft, dass Informationen nicht für unbefugte Einzelpersonen, Organisationen oder Prozesse verfügbar gemacht oder zugänglich gemacht werden. Obwohl sie der Privatsphäre ähneln, sind die beiden Wörter nicht austauschbar. Vielmehr ist Vertraulichkeit eine Komponente der Privatsphäre, die zum Schutz unserer Daten vor unbefugten Zuschauern eingesetzt wird. Beispiele für die Vertraulichkeit von elektronischen Daten, die gefährdet werden, sind Laptop-Diebstahl, Passwortdiebstal oder sensible E-Mails, die an falsche Personen gesendet werden.

Integrität

Ein IT-Sicherheitsbeauftragter hat auch Integrität als Thema der Informationssicherheit. Datenintegrität bedeutet, dass die Genauigkeit und Vollständigkeit der Daten während ihrer gesamten Lebensdauer aufrecht und sichergestellt werden muss. Das heißt, dass Daten nicht auf unbefugte oder unentdeckte Weise geändert werden können. Dies ist nicht das Gleiche wie die referentielle Integrität in Datenbanken, obwohl dies als Spezialfall der Konsistenz betrachtet werden kann, wie er im klassischen ACID-Modell der Transaktionsverarbeitung verstanden wird. Ein IT-Sicherheitsbeauftragter sorgt mit den Informationssicherheitssystemen in der Regel neben der Vertraulichkeit für die Nachrichtenintegrität.

Verfügbarkeit

Damit ein IT-Sicherheitsbeauftragter den Zweck eines Informationssystems erfüllen kann, müssen die Informationen verfügbar sein, wenn sie benötigt werden. Dies bedeutet, dass die Computersysteme, die zum Speichern und Verarbeiten der Informationen verwendet werden, die Sicherheitskontrollen, die zum Schutz der Informationen verwendet werden und die für den Zugriff verwendeten Kommunikationskanäle ordnungsgemäß funktionieren müssen.

Hochverfügbarkeitssysteme zielen darauf ab, zu jeder Zeit verfügbar zu bleiben, um Serviceunterbrechungen aufgrund von Stromausfällen, Hardware-Ausfällen und System-Upgrades zu verhindern. Zur Sicherstellung der Verfügbarkeit gehört auch das Verhindern von Denial-of-Service-Angriffen, wie zum Beispiel eine Flut eingehender Nachrichten an das Zielsystem, wodurch das Herunterfahren im Wesentlichen erzwungen wird.

Ein IT-Sicherheitsbeauftragter verfolgt diesen Bereich als wesentlichen Bestandteil eines erfolgreichen Informations-Sicherheitsprogramms. Letztendlich müssen Endbenutzer Jobfunktionen ausführen können. Durch die Sicherstellung der Verfügbarkeit kann ein Unternehmen die Standards erfüllen, die die Stakeholder eines Unternehmens erwarten. Dies kann Themen wie Proxy-Konfiguration, Zugriff von außerhalb des Web, Zugriff auf freigebende Laufwerke und das Senden von E-Mails umfassen. Führungskräfte verstehen oft nicht die technische Seite der IT-Sicherheit und sehen die Verfügbarkeit als einfache Lösung an.

Unwiderruflichkeit

Die Unwiderruflichkeit impliziert rechtlich die Absicht, ihre vertraglichen Verpflichtungen zu erfüllen. Dies impliziert auch, dass eine Partei einer Transaktion nicht bestreiten kann, dass sie eine Transaktion erhalten hat und die andere Partei nicht bestreiten kann, dass sie eine Transaktion gesendet hat.

Auch hierauf hat ein IT-Sicherheitsbeauftragter ein großen Augenmerk darauf: Es ist wichtig anzumerken, dass Technologien wie kryptographische Systeme zwar zur Unterstützung der Nicht-Ablehnung beitragen können, das Konzept jedoch im Kern ein rechtliches Konzept ist, das den Bereich der Technologie übersteigt.

Es reicht beispielsweise nicht aus zu zeigen, dass die Nachricht mit einer digitalen Signatur übereinstimmt, die mit dem privaten Schlüssel des Absenders signiert wurde und daher nur der Absender die Nachrichten senden konnten und niemand sonst hätte sie während der Übertragung ändern können (Datenintegrität). Der mutmaßliche Absender könnte im Gegenzug nachweisen, dass der Algorithmus für digitale Signatur anfällig oder fehlerhaft ist oder er kann behaupten oder beweisen, dass sein Signaturschlüssel beschädigt wurde.

Der Fehler bei diesen Verstößen kann beim Absender liegen oder nicht und diese Zusicherungen können den Absender von der Haftung entbinden oder nicht, aber die Behauptung würde die Behauptung aufheben, dass die Unterschrift notwendigerweise Authentizität und Integrität beweist. Daher kann der Absender die Nachricht ablehnen (weil Authentizität und Integrität Voraussetzungen für die Ablehnung sind).

IT-Sicherheitsbeauftragter – Voraussetzungen

Ein IT-Sicherheitsbeauftragter ist der Mittel- oder Verbindungsmann zwischen der Geschäftsleitung, den Mitarbeitern und dem IT-Bereich. Voraussetzung für die Ausübung dieser Rolle ist die fachliche Kenntnis und Kompetenz im IT-Sicherheitsbereich. Wichtig ist, dass er die Themen der Geschäftsleitung transparent machen kann, das heißt in eigenen Worten wiedergeben kann.
Des Weiteren fungiert ein IT-Sicherheitsbeauftragter als Kontrollinstanz, da er seine Tätigkeit unabhängig von anderen Geschäftsbereichen durchführt. Der IT-Sicherheitsbeauftragte kann nicht der IT-Leiter sein, da er ansonsten seine Tätigkeiten selbst überprüfen müsste und somit in einem Interessenskonflikt stünde.

FAQ