IT-Sicherheitsbeauftragter

IT-Sicherheitsbeauftragter

Copyright © Shutterstock / Africa Studio

Was ist ein IT-Sicherheitsbeauftragter?

Ein IT-Sicherheitsbeauftragter (oft genutzte AbkĂŒrzung: ISO = Information Security Officer) ist der leitende Angestellte einer Organisation, der fĂŒr die Festlegung und Aufrechterhaltung der Unternehmensvision und Strategie und des Programms verantwortlich ist, um sicherzustellen, dass Informationsressourcen und -Technologien angemessen geschĂŒtzt werden. Der IT-Sicherheitsbeauftragte leitet die Mitarbeiter bei der Ermittlung, Entwicklung, Implementierung und Aufrechterhaltung von Prozessen im gesamten Unternehmen ein, um die Risiken der Informations- und Sicherheitstechnologie zu reduzieren. Er reagiert auf VorfĂ€lle, legt geeignete Standards und Kontrollen fest, verwaltet Sicherheitstechnologien und steuert die Festlegung und Umsetzung von Richtlinien und Verfahren. In der Regel ist er auch fĂŒr die Einhaltung von Informationen verantwortlich.

Aufgaben im Überblick

Ein IT-Sicherheitsbeauftragter erreicht in der Regel mit seinem Einfluss die gesamte Organisation. Untersuchungen haben gezeigt, dass der anfÀlligste Punkt in den meisten Informationssystemen der menschliche Benutzer ist (ISO/IEC 27002: Verhaltenskodex 2005). So befasst sich ein IT-Sicherheitsbeauftragter mit folgenden Themen:

  • Coumptersicherheit
  • Onlinesicherheit
  • Notfallwiederherstellung und Bsuiness Cotinuity Management
  • IdentitĂ€ts- Zugriffsverwaltung
  • Datenschutz der Informationen und Daten
  • Einhaltung gesetzlicher Bestimmungen
  • Risikomanagement
  • Informationssicherheit und Informationssicherung
  • Informationstechnische Kontrollen fĂŒr Finanu- und andere Systeme
  • IT-Untersuchungen
  • Sicherheits-FrĂŒhwarnsystem
  • Digitale Forensik

IT-Sicherheit

IT-Sicherheit ist die Praxis, den unbefugten Zugriff, die Verwendung, Offenlegung, Unterbrechung, Änderung, ÜberprĂŒfung, Aufzeichnung oder Zerstörung von Informationen zu verhindern. Die Informationen oder Daten können jede Form annehmen, zum Beispiel elektronisch oder physisch. Der Schwerpunkt der IT-Informationssicherheit und somit die des IT-Sicherheitsbeauftragten liegen auf dem ausgewogenen Schutz der Vertraulichkeit, IntegritĂ€t und VerfĂŒgbarkeit von Daten, wobei der Fokus auf einer effizienten Richtlinienimplementierung liegt, ohne die ProduktivitĂ€t der Organisation zu beeintrĂ€chtigen. Sie wird grĂ¶ĂŸtenteils durch einen mehrstufigen Risikomanagement-Prozess erreicht, der Vermögenswerte, Bedrohungsquellen, Schwachstellen, mögliche Auswirkungen und mögliche Kontrollen identifiziert, gefolgt von einer Bewertung der Wirksamkeit des Risikomanagementplans.

Risikomanagement

In dieser Definition existieren zwei Dinge, fĂŒr die möglicherweise eine ErlĂ€uterung erforderlich ist. Erstens umfasst das Risikomanagement die Abwicklung des Risikomanagements als fortlaufender, iterativer Prozess. Es muss unendlich wiederholt werden. Das GeschĂ€ftsumfeld Ă€ndert sich stĂ€ndig und es treten tĂ€glich neue Bedrohungen und Schwachstellen auf. Zweitens muss die Wahl der Gegenmaßnahmen (Kontrollen), die zur Steuerung der Risiken eingesetzt werden, ein Gleichgewicht zwischen ProduktivitĂ€t, Kosten, Wirksamkeit der Gegenmaßnahme und dem Wert des zu schĂŒtzenden Informationsgut schaffen.

Risikoanalyse und Risikobewertungsprozesse haben ihre Grenzen, da sie bei Auftreten von SicherheitsvorfĂ€llen in einem Kontext auftreten und ihre Sicherheit und Einzigartigkeit zu unvorhersehbaren Bedrohungen fĂŒhren. Die Analyse dieser PhĂ€nomene, die durch ZusammenbrĂŒche, Überraschungen und Nebenwirkungen gekennzeichnet sind, erfordert einen theoretischen Ansatz, der die Einzelheiten jedes Vorfalls subjektiv untersuchen und interpretieren kann.

Risiko ist die Wahrscheinlichkeit, dass etwas Schlimmes passiert, das einem Informationsasset Schaden zufĂŒgt. Eine SicherheitsanfĂ€lligkeit ist eine Schwachstelle, die zur GefĂ€hrdung oder SchĂ€digung eines Informationsbestands verwendet werden kann. Eine Bedrohung ist alles, das Schaden anrichten kann.

Die Wahrscheinlichkeit, dass eine Bedrohung eine SicherheitsanfÀlligkeit verwendet, um den Schaden zu verursachen, generiert ein Risiko. Wenn eine Bedrohung eine SicherheitsanfÀlligkeit verwendet, um Schaden anzurichten, hat dies Auswirkungen.

Die Risikobewertung fĂŒhrt ein IT-Sicherheitsbeauftragter mithilfe seiner Kenntnisse ĂŒber bestimmte GeschĂ€ftsbereiche durch. Ein IT-Sicherheitsbeauftragter bedient sich dabei der Kollegen aus verschiedenen Bereichen, die sich je nach Risikosituation auch Ă€ndern können. Bei der Bewertung kann auch eine subjektive qualitative Analyse auf der Grundlage fundierter Meinungen vorgenommen werden.

Schwerpunkte IT-Sicherheitsbeauftragter

Vertraulichkeit

Im Bereich der Informationssicherheit ist Vertraulichkeit die Eigenschaft, dass Informationen nicht fĂŒr unbefugte Einzelpersonen, Organisationen oder Prozesse verfĂŒgbar gemacht oder zugĂ€nglich gemacht werden. Obwohl sie der PrivatsphĂ€re Ă€hneln, sind die beiden Wörter nicht austauschbar. Vielmehr ist Vertraulichkeit eine Komponente der PrivatsphĂ€re, die zum Schutz unserer Daten vor unbefugten Zuschauern eingesetzt wird. Beispiele fĂŒr die Vertraulichkeit von elektronischen Daten, die gefĂ€hrdet werden, sind Laptop-Diebstahl, Passwortdiebstal oder sensible E-Mails, die an falsche Personen gesendet werden.

IntegritÀt

Ein IT-Sicherheitsbeauftragter hat auch IntegritĂ€t als Thema der Informationssicherheit. DatenintegritĂ€t bedeutet, dass die Genauigkeit und VollstĂ€ndigkeit der Daten wĂ€hrend ihrer gesamten Lebensdauer aufrecht und sichergestellt werden muss. Das heißt, dass Daten nicht auf unbefugte oder unentdeckte Weise geĂ€ndert werden können. Dies ist nicht das Gleiche wie die referentielle IntegritĂ€t in Datenbanken, obwohl dies als Spezialfall der Konsistenz betrachtet werden kann, wie er im klassischen ACID-Modell der Transaktionsverarbeitung verstanden wird. Ein IT-Sicherheitsbeauftragter sorgt mit den Informationssicherheitssystemen in der Regel neben der Vertraulichkeit fĂŒr die NachrichtenintegritĂ€t.

VerfĂŒgbarkeit

Damit ein IT-Sicherheitsbeauftragter den Zweck eines Informationssystems erfĂŒllen kann, mĂŒssen die Informationen verfĂŒgbar sein, wenn sie benötigt werden. Dies bedeutet, dass die Computersysteme, die zum Speichern und Verarbeiten der Informationen verwendet werden, die Sicherheitskontrollen, die zum Schutz der Informationen verwendet werden und die fĂŒr den Zugriff verwendeten KommunikationskanĂ€le ordnungsgemĂ€ĂŸ funktionieren mĂŒssen. HochverfĂŒgbarkeitssysteme zielen darauf ab, zu jeder Zeit verfĂŒgbar zu bleiben, um Serviceunterbrechungen aufgrund von StromausfĂ€llen, Hardware-AusfĂ€llen und System-Upgrades zu verhindern. Zur Sicherstellung der VerfĂŒgbarkeit gehört auch das Verhindern von Denial-of-Service-Angriffen, wie zum Beispiel eine Flut eingehender Nachrichten an das Zielsystem, wodurch das Herunterfahren im Wesentlichen erzwungen wird.

Ein IT-Sicherheitsbeauftragter verfolgt diesen Bereich als wesentlichen Bestandteil eines erfolgreichen Informations-Sicherheitsprogramms. Letztendlich mĂŒssen Endbenutzer Jobfunktionen ausfĂŒhren können. Durch die Sicherstellung der VerfĂŒgbarkeit kann ein Unternehmen die Standards erfĂŒllen, die die Stakeholder eines Unternehmens erwarten. Dies kann Themen wie Proxy-Konfiguration, Zugriff von außerhalb des Web, Zugriff auf freigebende Laufwerke und das Senden von E-Mails umfassen. FĂŒhrungskrĂ€fte verstehen oft nicht die technische Seite der IT-Sicherheit und sehen die VerfĂŒgbarkeit als einfache Lösung an.

Unwiderruflichkeit

Die Unwiderruflichkeit impliziert rechtlich die Absicht, ihre vertraglichen Verpflichtungen zu erfĂŒllen. Dies impliziert auch, dass eine Partei einer Transaktion nicht bestreiten kann, dass sie eine Transaktion erhalten hat und die andere Partei nicht bestreiten kann, dass sie eine Transaktion gesendet hat.

Auch hierauf hat ein IT-Sicherheitsbeauftragter ein großen Augenmerk darauf: Es ist wichtig anzumerken, dass Technologien wie kryptographische Systeme zwar zur UnterstĂŒtzung der Nicht-Ablehnung beitragen können, das Konzept jedoch im Kern ein rechtliches Konzept ist, das den Bereich der Technologie ĂŒbersteigt. Es reicht beispielsweise nicht aus zu zeigen, dass die Nachricht mit einer digitalen Signatur ĂŒbereinstimmt, die mit dem privaten SchlĂŒssel des Absenders signiert wurde und daher nur der Absender die Nachrichten senden konnten und niemand sonst hĂ€tte sie wĂ€hrend der Übertragung Ă€ndern können (DatenintegritĂ€t). Der mutmaßliche Absender könnte im Gegenzug nachweisen, dass der Algorithmus fĂŒr digitale Signatur anfĂ€llig oder fehlerhaft ist oder er kann behaupten oder beweisen, dass sein SignaturschlĂŒssel beschĂ€digt wurde.

Der Fehler bei diesen VerstĂ¶ĂŸen kann beim Absender liegen oder nicht und diese Zusicherungen können den Absender von der Haftung entbinden oder nicht, aber die Behauptung wĂŒrde die Behauptung aufheben, dass die Unterschrift notwendigerweise AuthentizitĂ€t und IntegritĂ€t beweist. Daher kann der Absender die Nachricht ablehnen (weil AuthentizitĂ€t und IntegritĂ€t Voraussetzungen fĂŒr die Ablehnung sind).

IT-Sicherheitsbeauftragter – Voraussetzungen

Ein IT-Sicherheitsbeauftragter ist der Mittel- oder Verbindungsmann zwischen der GeschĂ€ftsleitung, den Mitarbeitern und dem IT-Bereich. Voraussetzung fĂŒr die AusĂŒbung dieser Rolle ist die fachliche Kenntnis und Kompetenz im IT-Sicherheitsbereich. Wichtig ist, dass er die Themen der GeschĂ€ftsleitung transparent machen kann, das heißt in eigenen Worten wiedergeben kann.
Des Weiteren fungiert ein IT-Sicherheitsbeauftragter als Kontrollinstanz, da er seine TĂ€tigkeit unabhĂ€ngig von anderen GeschĂ€ftsbereichen durchfĂŒhrt. Der IT-Sicherheitsbeauftragte kann nicht der IT-Leiter sein, da er ansonsten seine TĂ€tigkeiten selbst ĂŒberprĂŒfen mĂŒsste und somit in einem Interessenskonflikt stĂŒnde.

FAQ

Was verdient ein Informationssicherheitsbeauftragter

Ein Informationssicherheitsbeauftragter hat ein Jahreseinkommen von ungefĂ€hr 67.000 € bis zu 77.800€

Hinweis

Wenn Sie noch weitere Informationen bezĂŒglich Online Marketing benötigen, können Sie dann gerne unserem Glossar besuchen und sich ĂŒber das Thema informieren, wo Sie noch speziell Fragen haben. 


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte