Noch ein „Beauftragter“? – IT-Sicherheit als Managementaufgabe

Nicht zuletzt seit der Diskussion über das geplante IT-Sicherheitsgesetz stellen sich viele klinische Einrichtungen die Frage, ob sie einen sogenannten „IT-Sicherheitsbeauftragten“ benötigen. Immerhin sind Kliniken als kritische Infrastruktureinrichtungen im Gespräch, die über eine entsprechend robuste IT-Infrastruktur verfügen sollten.

In meinen langjährigen Erfahrungen als interner, Interims- bzw. externer IT-Sicherheitsbeauftragter im In- und Ausland habe ich immer wieder die Erfahrung gemacht, dass es sich bei dieser Aufgabe vor allem um einen Managementjob handelt.

Nicht zuletzt deshalb hat sich im angelsächsischen Raum längst die Führungsposition des „Chief Information Security Officer“ (CISO) etabliert.

Die benötigten Kernkompetenzen

Dabei sind Kommunikationsfähigkeiten, Durchsetzungsvermögen, Empathie und Führungserfahrung die wichtigsten Eigenschaften, die man mitbringen sollte, welche wiederum durch umfassenden Kenntnisse in IT-Sicherheits-Verfahren, Standards, Tools und Methoden ergänzt werden müssen.

Das bedeutet, dass der Erfolg weniger von der Kenntnis allerlei juristischer Details abhängt, sondern vielmehr von handfesten Managementfähigkeiten. Denn schließlich geht es ja in erster Linie darum, den Entscheidungsträgern

  1. Die wirklich relevanten Risiken verständlich zu erklären
  2. Gemeinsam ein anzustrebendes IT-Sicherheitsniveau festzulegen
  3. Gemeinsam einen Kosten- und Personalrahmen festzulegen
  4. Bei allen Betroffenen die Akzeptanz für die Durchsetzung der Maßnahmen zu schaffen
  5. Und schlussendlich die geplanten Maßnahmen auch zügig und pragmatisch umzusetzen!

Abgrenzung zum Datenschutz

Wichtig erscheint mir auch die Abgrenzung zum Datenschutzbeauftragten, dessen Position in erster Linie zwar ähnlich klingt, der aber eine grundlegend andere Aufgabe hat. Er ist nämlich als unabhängiger “Anwalt” derjenigen Personen gedacht, deren Daten verarbeitet werden, sprich er hat sicherzustellen, dass die Rechte der Betroffenen gewahrt bleiben. Typischerweise sind es also gesetzlich vorgegebene Themen wie Einwilligungserklärungen, Verfahrensverzeichnisse, Verwendungszwecke oder Löschung, die den Datenschutzbeauftragten im Alltag beschäftigen.

Hingegen ist der IT-Sicherheitsbeauftragte nur dem Unternehmen selbst verpflichtet und sein Wirken ist auch nicht auf personenbezogene Daten beschränkt. Das heisst er muss alle Daten und Systeme schützen, die als relevant erachtet werden und zwar mit einem Set von freiwilligen Massnahmen, die als wirtschaftlich vernünftig und angemessen akzeptiert sind. Dadurch ergeben sich entsprechende Freiheitsgrade, welche ein Datenschutzbeauftragter, der sich in erster Linie mit der Umsetzung gesetzlicher Vorgaben beschäftigt, typischerweise nicht hat.

Fazit

Ob sich die relative Handlungsfreiheit eines IT-Sicherheitsbeauftragten mit dem geplanten IT-Sicherheitsgesetz ändert, wird die Zukunft zeigen. Meine bisherige Erfahrung ist, dass man das richtige Maß an IT-Sicherheit mit Gesetzen und Vorschriften nur sehr schwer erreicht oder eben in Alibimaßnahmen steckenbleibt.

Ein gutes Beispiel hierfür sind die verschlungenen Sätze, die man aus Compliancegründen häufig am Ende von Emails lesen kann, und die auf die Vertraulichkeit des Inhalts hinweisen, sozusagen der Aufruf an den „ehrlichen Dieb“ doch bitte die Beute zurückzugeben

😉

Wie viel besser wäre es doch gewesen die Mail gescheit zu verschlüsseln, wenn sie denn tatsächlich vertrauliche Daten enthalten hätte!

Daniel Hallen

Executive MBA, CISSP, Dipl.-Math.

 

No tags.
  • Trackbacks
  • Comments
  • Comments are disabled.
  • Trackbacks are disabled.