Sicherheit bezeichnet die Abwesenheit unvertretbarer Risiken. Jedes Unternehmen muss für sich selbst festlegen, welche Risiken relevant sind und wie hoch das erforderliche Sicherheitsniveau ist. In der Informationssicherheit gilt es folglich, die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität zu gewährleisten, indem entsprechende Risiken auf ein akzeptables Mass reduziert werden. Dies erfordert die Umsetzung organisatorischer und technischer Massnahmen.

Aufgaben des Informationssicherheitsbeauftragten
In einer Aktiengesellschaft ist der Verwaltungsrat für die Informationssicherheit verantwortlich. Er erlässt entsprechende Weisungen und kann bestimmte Aufgaben einem Dritten übertragen. In kleinen Firmen ist dies typischerweise ein Mitarbeiter, der zusätzlich zu seinem normalen Aufgabengebiet die Rolle des Informationssicherheitsbeauftragten übernimmt. Seine Aufgaben sind es, den Sicherheitsprozess zu steuern und die Geschäftsleitung beim Erlassen von Weisungen zu unterstützen. Dazu erstellt er Sicherheits- und Notfallvorsorgekonzepte, initiiert und überprüft Sicherheitsmassnahmen, untersucht Sicherheitsvorfälle und koordiniert sicherheitsrelevante Projekte. Er berichtet der Leitungsebene regelmässig über den Stand der Informationssicherheit und führt Sensibilisierungs- und Schulungsmassnahmen durch.

IT-Grundschutz-Kompendium als Arbeitsinstrument
Methodisch helfen dem Informationssicherheitsbeauftragten verschiedene Frameworks, aus denen er anhand der Unternehmensgrösse, der Strategie und des Risikoappetits das passende auswählt. Von regelmässigen Reviews mit Checklisten über das Vorgehen gemäss IT-Grundschutz-Kompendium des deutschen Bundesamtes für Sicherheit in der Informationstechnik bis hin zu zertifizierbaren Managementsystemen nach dem ISO-27001-Standard gibt es für die unterschiedlichen Anforderungen passende Herangehensweisen. Für Betreiber von kritischen Infrastrukturen hat das Bundesamt für wirtschaftliche Landesversorgung letztes Jahr einen Minimalstandard zur Verbesserung der IKT-Resilienz veröffentlicht. Dieser darf von jedermann genutzt werden. Alle Methoden helfen, Lücken zu erkennen, den Stand der umgesetzten Massnahmen zu überwachen und Risiken zu bewältigen.

Zu klein für eigenen Sicherheitsbeauftragten?
Die Aufgaben des Informationssicherheitsbeauftragten erfordern eine ständige Weiterbildung in Methodik, aktueller Gefahrenlage und neuen Bewältigungstechniken. Das Engagement eines externen Sicherheitsbeauftragten hat vor allem für kleine Firmen Vorteile. Sie profitieren von Experten mit aktuellen Weiterbildungen, die durch ihren Einsatz bei verschiedenen Mandaten passende Massnahmen kennen. Die first frame networkers ag bietet zertifizierte Mitarbeiter des Security-Consulting-Teams als externe Informationssicherheitsbeauftragte an. Wer mehr darüber wissen will, wie es um die Informationssicherheit in seinem Unternehmen steht und welche Schritte notwendig sind, findet unter https://www.secnovum.ch/wie-resistent-ist-ihre-it-checkliste-zur-it-sicherheit/ eine Checkliste, die eine erste Einschätzung ermöglicht. Zur Beantwortung weiterer Fragen oder für eine Zweitmeinung stehen die Security Consultants der first frame networkers ag gerne zur Verfügung.

Lukas Studer

Nach einer Lehre als Chemielaborant, der Arbeit im Lehrberuf und dem fliessenden Wechsel in die Informatik absolvierte Lukas Studer die Technikerschule Informatik und Netzwerktechnik. Er war als Informatiker bei verschiedenen Outsourcing-Anbietern für Industriebetriebe, Banken und Versicherungen sowie betriebsintern tätig. Mit dem MAS Information Security wechselte er in die interne Revision als IT-Prüfer und erlangte die Zertifizierung zum Certified Information Systems Auditor und das Zertifikat CAS Datenanalyse. Zudem ist er Certified SCADA Security Engineer (CSSE) und als CISO für die ISO-Zertifizierungen der first frame networkers ag zuständig.

Lukas Studer