Manipulation, Diebstahl und Zerstörung – jedes Unternehmen sieht sich heutzutage vor der Herausforderung, sensible Informationen vor Dritten zu schützen. Je mehr Daten gesammelt und gespeichert werden, desto wichtiger ist ein lückenloses Informationssicherheitsmanagementsystem (ISMS). Doch viele Unternehmen unterschätzen das Sicherheitsrisiko. Gerade in Zeiten von Datenklau und Ausspähaffären gewinnt die Rolle des Information Security Officer (ISO) immer mehr an Bedeutung. Was genau dieser macht und welche Funktion er in Unternehmen hat, erklärt Peter Herrmann, Informationssicherheitsberater und Auditor bei TÜV Informationstechnik (TÜViT), einem Unternehmen der TÜV Nord Group.
Die Sicherung von sensiblen Daten und wichtigen Geschäftsprozessen ist ein kritischer Erfolgsfaktor für die Wettbewerbsfähigkeit von Unternehmen. Dennoch unterschätzen viele Unternehmen immer noch die Bedeutung eines einwandfreien Sicherheitssystems für ihre Informationen. „Dabei können der Verlust oder die Manipulation von Kundendaten oder Unternehmens-Know-how neben finanziellen Einbußen auch das Vertrauen von Kunden und Öffentlichkeit gefährden – ein Schaden, der weitaus schwerer zu beheben ist“, sagt Peter Herrmann. Laut einer Studie von Bitkom stellten 58 Prozent der befragten Unternehmen fest, dass es bei ihnen IT-Sicherheitsvorfälle wie beispielsweise Datenklau oder das gezielte Einschleusen eines Virus gegeben habe. „Der Einsatz eines Information Security Officers und der Aufbau eines ISMS können Attacken solcher Art vorbeugen“, betont Herrmann. Eine der Hauptaufgaben des ISO sind der Aufbau und die Pflege eines unternehmensspezifischen Informationssicherheitsmanagementsystems. Dieses geht über den klassischen Ansatz der IT-Sicherheit hinaus, da nicht nur technische, sondern auch organisatorische, personelle und infrastrukturelle Aspekte betrachtet werden. Die Basis eines solchen Systems ist ein zuvor festgelegtes
Sicherheitsziel. Auf Grundlage dieser Ziele werden Richtlinien formuliert und Sicherheitsmaßnahmen festgelegt. „Ein ISO stimmt sich einerseits mit der Geschäftsführung und der Unternehmens-IT ab, managt und kontrolliert aber auch die Durchführung der Maßnahmen und delegiert anfallende Aufgaben an die entsprechenden Abteilungen oder Dienstleister“, erklärt Herrmann. Weitere Aufgaben sind das Durchführen von Risikoanalysen und interner Audits, das Durchsetzen von Sicherheitsmaßnahmen oder das Aktualisieren des ISMS. Die Vorgehensweise wird an der ISO-27001-Norm oder dem BSI-IT-Grundschutz ausgerichtet.
„Wir stellen eine steigende Nachfrage für unsere Ausbildungsgänge zum ISO und zu verwandten Themen der Informationssicherheit fest, aber gerade im Mittelstand sind viele Unternehmen noch immer nicht aufgewacht“, konstatiert Melanie Braunschweig, Produktmanagerin für Informationsmanagement der TÜV Nord Akademie.
Infos: www.tuev-nord.de/5-inma