Was ein ISB alles zu tun hat

Manche Unternehmen müssen einen Datenschutzbeauftragten (DBS) beschäftigen, andere einen Informationssicherheitsbeauftragten (ISB). Doch wann ist wer vorgeschrieben? Die Antworten folgen auf dem Fuße.

Für nur wenig Unternehmen ist ein ISB gesetzlich vorgeschrieben. Er ist dann vonnöten, wenn bestimmte Zertifizierungen erreicht werden wollen oder wenn es um den IT-Grundschutz geht. Da der ISB als Kontrollinstanz auftritt, sollte er nicht in die Position des IT-Leiters oder Systemadministrators integriert werden. Selbst Datenschutzbeauftragter sollte er nicht gleichzeitig sein. Er muss seine Aufgaben unabhängig von der IT-Organisation erfüllen, andernfalls sind Interessenskonflikte vorprogrammiert.

Cyber Security

Stichprobenartige Kontrolle

Das Haupttätigkeitsfeld eines ISB ist der Aufbau und die Pflege eines Informationssicherheitsmanagements. Aber er ist auch Hüter der Belange der Betroffenenrechte und nicht nur ein spezialisierter Berater. Er kontrolliert stichprobenartig, ob die personenbezogenen Daten von Beginn an bis zur Löschung rechtskonform sowie zweckgebunden verarbeitet werden. Sollte es ein Problem mit Daten geben, ist er Ansprechpartner für Aufsichtsbehörden. Weiterhin hat er ein Auge auf die fristgerechte Umsetzung von Anfragen aller Art.

Die ISB schult beispielsweise die Mitarbeiter des Unternehmens in Sachen IT-Sicherheit. Im sogenannten „Awareness-Training“ bringt er den Mitarbeitern bei, wie sie mit sensiblen Informationen umgehen und wie sie mögliche Bedrohungen erkennen. Diese Themen werden meist besprochen: Starke Passwörter, Online-Verhalten, Computersicherheit, sicherer Umgang mit E-Mails, Verwendung von USB-Sticks und mobilen Geräten oder Arbeitsplatz versus Homeoffice.

Problem veraltete Systeme

Ein größeres Problem sind Unternehmen, die mit veralteten Systemen arbeiten. Das bedeutet Sicherheitsrisiken für das gesamte Netzwerk. Die vorhandenen Systeme einfach auszutauschen, funktioniert nicht so einfach. Der ISB muss sich die Systeme genau ansehen und sich überlegen, wie sich die Systeme und Informationsflüsse absichern lassen. Dazu sollte er die Unterstützung der IT-Abteilung und der Geschäftsführung in Anspruch nehmen.

Stefan Lanz

Autor:
Stefan Lanz
Stefan Lanz ist IT-Experte für Digitale Transformation, Daten- und IT-Sicherheit. Er ist IT-Sicherheitsbeauftragter, IT-Sachverständiger, Datenschützer, Coach und Berater für Unternehmen seit 1995. Mehr zu ihm finden Sie hier.