IT-Sicherheitsmanagement und IT-Recht

• Hinwirken auf die Einhaltung des Bundesdatenschutzgesetzes (BDSG), beispielsweise durch Mitwirkung bei der Planung und Einführung von IT-Systemen und- sofern zutreffend- anderer Vorschriften über den Datenschutz (z. B. Abschnitt 4 des Telemediengesetzes)

• Information und Schulung der für die Bearbeitung personenbezogener Daten zuständigen Mitarbeiter, beispielsweise durch die Erstellung von entsprechenden betrieblichen Regelungen

• Bearbeitung von Wünschen und Beschwerden von Personen, deren personenbezogene Daten erhoben, verarbeitet und genutzt werden

• Führen der Datenschutzdokumentation, die gemäß § 4d BDSG unter anderem Informationen beinhalten muss über die Zweckbestimmung der Datenerhebung, -verarbeitung und -nutzung (z. B. Personal-, Kunden- oder

Lieferantendatenverwaltung) oder über die Löschfristen der Daten (z. B. nach

Ablauf der gesetzlichen oder vertraglich vereinbarten Aufbewahrungsfristen).

Bei kleinen Unternehmen werden sämtliche Rollen der IT-Sicherheitsbeauftragten zusammengelegt, so dass im Unternehmen nur ein IT-Sicherheitsbeauftragter anzutreffen ist. Die Rolle des IT-Sicherheitsteams resp. des IT-Koordinierungsausschusses wird in diesem Fall vom IT-Referenten/-Koordinator wahrgenommen.

Ungeachtet der jeweils praktizierten Aufgabenverteilung behält die Geschäftsführung des Unternehmens grundsätzlich die Verantwortung für die ordnungsgemäße/sichere Erfüllung der mit IT-Sicherheitsmgmt. zusammenhängenden Aufgaben

Für Unternehmen mittlerer Größenordnung bietet es sich an, die Aufgaben der IT-Sicherheitsbeauftragten auf Unternehmens- & Bereichsebene zusammenzulegen und/oder die Aufgaben des IS-Managementteams dem IT-Koordinierungsausschuss zu übertragen.

• Die Grundstruktur der Abbild. nach dem BSI-Standard eignet sich v.a. für Großunternehmen.

• Das IS (=Informationssicherheit = IT-Sicherheit) - Management-Team unterstützt bei gr. Unternehmen den Sicherheitsbeauftragten bei seinen Aufgaben & erhöht durch die Einbindung von Anwendervertretern, die dem Team angehören können, die spätere Akzeptanz bei der Umsetzung der Maßnahmen. Der zentrale Sicherheitsbeauftragte agiert auf Unternehmensebene, während für die Bereiche (=Geschäftsbereiche/Abteilungen/Niederlassungen) eigene Beauftragte eingesetzt werden. Im Rahmen von Projekten mit IT-Sicherheitsrelevanz werden ebenso eigene Beauftragte installiert wie für spezifische Systeme, z.B. bei Geldinstituten für sämtl. mit Onlinebanking zusammenhängende Systeme.

• Der IT-Koordinierungsausschuss ist ein temporäres Gremium, wird v.a. bei sehr großen IT-Projekten installiert & hat die Aufgabe, zw. dem IS-Managementteam, den Vertretern der IT-Anwender, dem IT-Sicherheitsbeauftragten & der Unternehmensleitung zu koordinieren.

• Der gewachsenen Bedeutung von IT-Sicherheitsmanagement entsprechend implementieren Geschäftsführungen & IT-Leitungen zunehmend Spezialisten für die in Zusammenhang mit IT-Sicherheitsmanagement anfallenden Aufgaben. Hierbei sind folgende Funktionen/Rollen zu unterscheiden:
  • Bei Vorliegen bestimmter Voraussetzungen von Gesetzes wegen zu bestellende Funktionsträger (z.B. betriebl. Datenschutzbeauftragter)
  • Mitarbeiter, die überwiegend/ausschließlich (Teil-)Aufgaben auf dem Gebiet von IT-Sicherheitsmanagement wahrnehmen (z.B. IT-Sicherheitsbeauftragte)
  • Mitarbeiter, die für ihren Verantwortungsbereich (z.B. als Projektleiter für Auswahl & Einführung einer neuen Lohn- und Gehaltssoftware) die IT-Sicherheitsregelungen beachten müssen

• Die Rollen können - abhängig von der Unternehmensgröße - auch von mehreren Personen wahrgenommen werden, sowohl zentral als auch dezentral.

Für Unternehmen gibt es folgende Gründe für eine Zertifizierung des IT-Sicherheitsmanagements:

- Berechtigung zur Teilnahme an privatwirtschaftlichen oder öffentlichen Ausschreibungen

- Bestätigung für die Erfüllung gesetzlicher Anforderungen, z.B. an ein Risikomanagementsystem

- Bestätigung für das Vorliegen eines bestimmten IT-Sicherheitsniveaus, z.B. für Kunden oder Lieferanten.

So weist beispielsweise die mit Einführung und Betrieb des LKW-Mautsystems beauftragte Toll Collect GmbH mit dem IT-Grundschutz-Zertifikat gegenüber dem Auftraggeber nach, dass es alle für ihren IT-Verbund relevanten Standardsicherheitsmaßnahmen umgesetzt hat.

• Physische Maßnahmen

Sie dienen dem Schutz von IT-Systemen mittels baulicher&infrastruktureller Vorkehrungen. Allg. baulichen Maßnahmen wie Einbruchschutz & Zutrittskontrolle über Brandschutzmaßnahmen & Maßnahmen zur Aufrechterhaltung der Stromversorgung bis hin zur Verwendung geeign. Schutzräume für Datenträger mit Sicherungskopien & Archiven

• Personelle Maßnahmen

Maßnahmen z. Sensibilisierung der Mitarbeiter für IT-Sicherheit & regelmäßige Sicherheitsschulungen, z.B. zur Vermittlung v. Kenntnissen über Gefahren & geeignete Gegenmaßnahmen

• Organisat. Maßnahmen

Die Maßnahmen reichen v. verschiedenen Regelungen, z.B. für Internet- & E-Mail-Nutzung oder f.Vorgehensweisen bei Ausscheiden, Versetzung oder Eintritt von MA bis hin zum Erstellen eines Notfallvorsorgekonzepts

• IT-bezogene Maßnahmen

Sie betreffen u.a. die Vergabe & Verwaltung v. Zugriffsrechten, Regelungen f. Passwortgebrauch, Nutzungsverbote priv. Hard-/Software+Konzept f.Virenschutz/Internetsicherheit