IT-Sicherheitsbeauftragter

Informationssicherheitsbeauftragter

Copyright ┬ę Shutterstock / Africa Studio

Was ist ein IT-Sicherheitsbeauftragter?

Ein IT-Sicherheitsbeauftragter (oft genutzte Abk├╝rzung: ISO = Information Security Officer) ist der leitende Angestellte einer Organisation, der f├╝r die Festlegung und Aufrechterhaltung der Unternehmensvision und Strategie und des Programms verantwortlich ist, um sicherzustellen, dass Informationsressourcen und -Technologien angemessen gesch├╝tzt werden. Der IT-Sicherheitsbeauftragte leitet die Mitarbeiter bei der Ermittlung, Entwicklung, Implementierung und Aufrechterhaltung von Prozessen im gesamten Unternehmen ein, um die Risiken der Informations- und Sicherheitstechnologie zu reduzieren. Er reagiert auf Vorf├Ąlle, legt geeignete Standards und Kontrollen fest, verwaltet Sicherheitstechnologien und steuert die Festlegung und Umsetzung von Richtlinien und Verfahren. In der Regel ist er auch f├╝r die Einhaltung von Informationen verantwortlich.

Aufgaben im ├ťberblick

Ein IT-Sicherheitsbeauftragter erreicht in der Regel mit seinem Einfluss die gesamte Organisation. Untersuchungen haben gezeigt, dass der anf├Ąlligste Punkt in den meisten Informationssystemen der menschliche Benutzer ist (ISO/IEC 27002: Verhaltenskodex 2005). So befasst sich ein IT-Sicherheitsbeauftragter mit folgenden Themen:

  • Coumptersicherheit
  • Onlinesicherheit
  • Notfallwiederherstellung und Bsuiness Cotinuity Management
  • Identit├Ąts- Zugriffsverwaltung
  • Datenschutz der Informationen und Daten
  • Einhaltung gesetzlicher Bestimmungen
  • Risikomanagement
  • Informationssicherheit und Informationssicherung
  • Informationstechnische Kontrollen f├╝r Finanu- und andere Systeme
  • IT-Untersuchungen
  • Sicherheits-Fr├╝hwarnsystem
  • Digitale Forensik

IT-Sicherheit

IT-Sicherheit ist die Praxis, den unbefugten Zugriff, die Verwendung, Offenlegung, Unterbrechung, ├änderung, ├ťberpr├╝fung, Aufzeichnung oder Zerst├Ârung von Informationen zu verhindern. Die Informationen oder Daten k├Ânnen jede Form annehmen, zum Beispiel elektronisch oder physisch. Der Schwerpunkt der IT-Informationssicherheit und somit die des IT-Sicherheitsbeauftragten liegen auf dem ausgewogenen Schutz der Vertraulichkeit, Integrit├Ąt und Verf├╝gbarkeit von Daten, wobei der Fokus auf einer effizienten Richtlinienimplementierung liegt, ohne die Produktivit├Ąt der Organisation zu beeintr├Ąchtigen. Sie wird gr├Â├čtenteils durch einen mehrstufigen Risikomanagement-Prozess erreicht, der Verm├Âgenswerte, Bedrohungsquellen, Schwachstellen, m├Âgliche Auswirkungen und m├Âgliche Kontrollen identifiziert, gefolgt von einer Bewertung der Wirksamkeit des Risikomanagementplans.

Risikomanagement

In dieser Definition existieren zwei Dinge, f├╝r die m├Âglicherweise eine Erl├Ąuterung erforderlich ist. Erstens umfasst das Risikomanagement die Abwicklung des Risikomanagements als fortlaufender, iterativer Prozess. Es muss unendlich wiederholt werden. Das Gesch├Ąftsumfeld ├Ąndert sich st├Ąndig und es treten t├Ąglich neue Bedrohungen und Schwachstellen auf. Zweitens muss die Wahl der Gegenma├čnahmen (Kontrollen), die zur Steuerung der Risiken eingesetzt werden, ein Gleichgewicht zwischen Produktivit├Ąt, Kosten, Wirksamkeit der Gegenma├čnahme und dem Wert des zu sch├╝tzenden Informationsgut schaffen.

Risikoanalyse und Risikobewertungsprozesse haben ihre Grenzen, da sie bei Auftreten von Sicherheitsvorf├Ąllen in einem Kontext auftreten und ihre Sicherheit und Einzigartigkeit zu unvorhersehbaren Bedrohungen f├╝hren. Die Analyse dieser Ph├Ąnomene, die durch Zusammenbr├╝che, ├ťberraschungen und Nebenwirkungen gekennzeichnet sind, erfordert einen theoretischen Ansatz, der die Einzelheiten jedes Vorfalls subjektiv untersuchen und interpretieren kann.

Risiko ist die Wahrscheinlichkeit, dass etwas Schlimmes passiert, das einem Informationsasset Schaden zuf├╝gt. Eine Sicherheitsanf├Ąlligkeit ist eine Schwachstelle, die zur Gef├Ąhrdung oder Sch├Ądigung eines Informationsbestands verwendet werden kann. Eine Bedrohung ist alles, das Schaden anrichten kann.

Die Wahrscheinlichkeit, dass eine Bedrohung eine Sicherheitsanf├Ąlligkeit verwendet, um den Schaden zu verursachen, generiert ein Risiko. Wenn eine Bedrohung eine Sicherheitsanf├Ąlligkeit verwendet, um Schaden anzurichten, hat dies Auswirkungen.

Die Risikobewertung f├╝hrt ein IT-Sicherheitsbeauftragter mithilfe seiner Kenntnisse ├╝ber bestimmte Gesch├Ąftsbereiche durch. Ein IT-Sicherheitsbeauftragter bedient sich dabei der Kollegen aus verschiedenen Bereichen, die sich je nach Risikosituation auch ├Ąndern k├Ânnen. Bei der Bewertung kann auch eine subjektive qualitative Analyse auf der Grundlage fundierter Meinungen vorgenommen werden.

Schwerpunkte IT-Sicherheitsbeauftragter

Vertraulichkeit

Im Bereich der Informationssicherheit ist Vertraulichkeit die Eigenschaft, dass Informationen nicht f├╝r unbefugte Einzelpersonen, Organisationen oder Prozesse verf├╝gbar gemacht oder zug├Ąnglich gemacht werden. Obwohl sie der Privatsph├Ąre ├Ąhneln, sind die beiden W├Ârter nicht austauschbar. Vielmehr ist Vertraulichkeit eine Komponente der Privatsph├Ąre, die zum Schutz unserer Daten vor unbefugten Zuschauern eingesetzt wird. Beispiele f├╝r die Vertraulichkeit von elektronischen Daten, die gef├Ąhrdet werden, sind Laptop-Diebstahl, Passwortdiebstal oder sensible E-Mails, die an falsche Personen gesendet werden.

Integrit├Ąt

Ein IT-Sicherheitsbeauftragter hat auch Integrit├Ąt als Thema der Informationssicherheit. Datenintegrit├Ąt bedeutet, dass die Genauigkeit und Vollst├Ąndigkeit der Daten w├Ąhrend ihrer gesamten Lebensdauer aufrecht und sichergestellt werden muss. Das hei├čt, dass Daten nicht auf unbefugte oder unentdeckte Weise ge├Ąndert werden k├Ânnen. Dies ist nicht das Gleiche wie die referentielle Integrit├Ąt in Datenbanken, obwohl dies als Spezialfall der Konsistenz betrachtet werden kann, wie er im klassischen ACID-Modell der Transaktionsverarbeitung verstanden wird. Ein IT-Sicherheitsbeauftragter sorgt mit den Informationssicherheitssystemen in der Regel neben der Vertraulichkeit f├╝r die Nachrichtenintegrit├Ąt.

Verf├╝gbarkeit

Damit ein IT-Sicherheitsbeauftragter den Zweck eines Informationssystems erf├╝llen kann, m├╝ssen die Informationen verf├╝gbar sein, wenn sie ben├Âtigt werden. Dies bedeutet, dass die Computersysteme, die zum Speichern und Verarbeiten der Informationen verwendet werden, die Sicherheitskontrollen, die zum Schutz der Informationen verwendet werden und die f├╝r den Zugriff verwendeten Kommunikationskan├Ąle ordnungsgem├Ą├č funktionieren m├╝ssen. Hochverf├╝gbarkeitssysteme zielen darauf ab, zu jeder Zeit verf├╝gbar zu bleiben, um Serviceunterbrechungen aufgrund von Stromausf├Ąllen, Hardware-Ausf├Ąllen und System-Upgrades zu verhindern. Zur Sicherstellung der Verf├╝gbarkeit geh├Ârt auch das Verhindern von Denial-of-Service-Angriffen, wie zum Beispiel eine Flut eingehender Nachrichten an das Zielsystem, wodurch das Herunterfahren im Wesentlichen erzwungen wird.

Ein IT-Sicherheitsbeauftragter verfolgt diesen Bereich als wesentlichen Bestandteil eines erfolgreichen Informations-Sicherheitsprogramms. Letztendlich m├╝ssen Endbenutzer Jobfunktionen ausf├╝hren k├Ânnen. Durch die Sicherstellung der Verf├╝gbarkeit kann ein Unternehmen die Standards erf├╝llen, die die Stakeholder eines Unternehmens erwarten. Dies kann Themen wie Proxy-Konfiguration, Zugriff von au├čerhalb des Web, Zugriff auf freigebende Laufwerke und das Senden von E-Mails umfassen. F├╝hrungskr├Ąfte verstehen oft nicht die technische Seite der IT-Sicherheit und sehen die Verf├╝gbarkeit als einfache L├Âsung an.

Unwiderruflichkeit

Die Unwiderruflichkeit impliziert rechtlich die Absicht, ihre vertraglichen Verpflichtungen zu erf├╝llen. Dies impliziert auch, dass eine Partei einer Transaktion nicht bestreiten kann, dass sie eine Transaktion erhalten hat und die andere Partei nicht bestreiten kann, dass sie eine Transaktion gesendet hat.

Auch hierauf hat ein IT-Sicherheitsbeauftragter ein gro├čen Augenmerk darauf: Es ist wichtig anzumerken, dass Technologien wie kryptographische Systeme zwar zur Unterst├╝tzung der Nicht-Ablehnung beitragen k├Ânnen, das Konzept jedoch im Kern ein rechtliches Konzept ist, das den Bereich der Technologie ├╝bersteigt. Es reicht beispielsweise nicht aus zu zeigen, dass die Nachricht mit einer digitalen Signatur ├╝bereinstimmt, die mit dem privaten Schl├╝ssel des Absenders signiert wurde und daher nur der Absender die Nachrichten senden konnten und niemand sonst h├Ątte sie w├Ąhrend der ├ťbertragung ├Ąndern k├Ânnen (Datenintegrit├Ąt). Der mutma├čliche Absender k├Ânnte im Gegenzug nachweisen, dass der Algorithmus f├╝r digitale Signatur anf├Ąllig oder fehlerhaft ist oder er kann behaupten oder beweisen, dass sein Signaturschl├╝ssel besch├Ądigt wurde.

Der Fehler bei diesen Verst├Â├čen kann beim Absender liegen oder nicht und diese Zusicherungen k├Ânnen den Absender von der Haftung entbinden oder nicht, aber die Behauptung w├╝rde die Behauptung aufheben, dass die Unterschrift notwendigerweise Authentizit├Ąt und Integrit├Ąt beweist. Daher kann der Absender die Nachricht ablehnen (weil Authentizit├Ąt und Integrit├Ąt Voraussetzungen f├╝r die Ablehnung sind).

IT-Sicherheitsbeauftragter – Voraussetzungen

Ein IT-Sicherheitsbeauftragter ist der Mittel- oder Verbindungsmann zwischen der Gesch├Ąftsleitung, den Mitarbeitern und dem IT-Bereich. Voraussetzung f├╝r die Aus├╝bung dieser Rolle ist die fachliche Kenntnis und Kompetenz im IT-Sicherheitsbereich. Wichtig ist, dass er die Themen der Gesch├Ąftsleitung transparent machen kann, das hei├čt in eigenen Worten wiedergeben kann.
Des Weiteren fungiert ein IT-Sicherheitsbeauftragter als Kontrollinstanz, da er seine T├Ątigkeit unabh├Ąngig von anderen Gesch├Ąftsbereichen durchf├╝hrt. Der IT-Sicherheitsbeauftragte kann nicht der IT-Leiter sein, da er ansonsten seine T├Ątigkeiten selbst ├╝berpr├╝fen m├╝sste und somit in einem Interessenskonflikt st├╝nde.

FAQ

Was verdient ein Informationssicherheitsbeauftragter

Ein Informationssicherheitsbeauftragter hat ein Jahreseinkommen von ungef├Ąhr 67.000 ÔéČ bis zu 77.800ÔéČ

Hinweis

Wenn Sie noch weitere Informationen bez├╝glich Online Marketing ben├Âtigen, k├Ânnen Sie dann gerne unserem Glossar besuchen und sich ├╝ber das Thema informieren, wo Sie noch speziell Fragen haben.┬á


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte