Bild_Firma+Logo

Informationssicherheit
und   Lichtvolle Arbeit


Leistungen Informationssicherheit:

Externer Informationssicherheitsbeauftragter (eISB):

Motivation:

Geschäftsprozesse werden heutzutage typischerweise realisiert auf IT-Anwendungen, die auf IT-Systemen laufen, IT-Ressourcen nutzen und über Netzwerke verbunden sind. Hierbei werden Informationen bzw. Daten verarbeitet. Diese Informationen bzw. Daten haben in der Regel einen Schutzbedarf. Können beispielsweise Unberechtigte diese einsehen oder werden sie unberechtigt verändert oder sogar gelöscht, so können Schäden entstehen. Dasselbe gilt für andere Werte wie die eingesetzten Anwendungen, Systeme und Ressourcen. Dieser Bedeutung wird in besonderen Bereichen auch gesetzlich Rechnung getragen, konkret u.a. durch den Schutz Kritischer Infrastrukturen durch das IT-Sicherheitsgesetz. Zur Realisierung und Aufrechterhaltung eines angemessenen Sicherheitsniveaus zuständig bzw. verantwortlich ist die Geschäftsführung bzw. der Vorstand und insbesondere sog. Informationssicherheitsbeauftragte mit besonderer Fachkunde kümmern sich darum.
Informationssicherheit hat jedoch mehrere Motivatoren und positive nutzbringende Effekte:

  • Schutz:
    von Informationen, Diensten, Systemen, usw.
    damit Vermeidung von Schäden für das Unternehmen, den Verein, Personen
  • Rechtskonformität:
    durch Berücksichtigung gesetzlicher Vorgaben wie IT-Sicherheitsgesetz
    oder DS-GVO, damit Vermeidung von Abmahnungen oder Bußgeldern
  • Kostenreduktion:
    durch benutzerfreundliche und effiziente Prozesse,
    Standardisierung von Abläufen, Anwendungen, Systemen, usw.
  • Wertschöpfung:
    durch Einrichtung neuer Abläufe zum Gewinn der Firma,
    z.B. IT-basierter Produkt-Schutz oder IT-basierte Geschäfte

Kompetenz:

Informationssicherheit ist ein sehr anspruchsvolles Themengebiet der IT. Die Aufgaben der Informationssicherheit gehen sowohl in die „Breite“ (z.B. eine Multi-Tier-Anwendung) wie in die „Tiefe“ (z.B. mehrschichtiger Aufbau einer virtualisierten Systems), von organisatorischen Problemstellungen (z.B. Prozesse) über komplexe technische Gesamtbetrachtungen (z.B. Systemdesign) bis hin zu technischen Details (z.B. detailierte Systemabsicherung) und betreffen IT und Non-IT. Da die Sicherheit nur so gut ist wie das schwächste Glied, ist das Beherrschen eines übergreifenden Ansatzes, ein geeignetes Sicherheitsmanagement von Bedeutung. Der Informationssicherheitsbeauftragte sollte eine Begeisterung für die Informationssicherheit aufweisen und sich mit den zugehörigen Zielsetzungen identifizieren können; zudem ein gutes Wissen, Methodenkompetenz und Erfahrung in den Gebieten Informationssicherheit und IT besitzen; darüberhinaus, ob der oftmals sehr sensiblen Thematik geringer Umsetzungsbegeisterung oder existierender Sicherheitslücken oder gar aufgetretener Sicherheitsvorfällen, benötigt er kommunikatives und argumentatives Geschick sowie Kooperations- und Teamfähigkeit, jedoch auch Durchsetzungsvermögen, sofern erwünscht oder nötig; zudem sollte er eine schnelle Auffassungsgabe haben und die Fähigkeit besitzen, gut abstrahieren und Gesamtübersichten oder Querbezüge herstellen zu können. Da der Schutz personenbezogener Daten, der Datenschutz, letztlich über Informationssicherheit realisiert wird, läßt sich die Tätigkeit des Informationssicherheitsbeauftragten (ISB) auch gewinnbringend mit der des Datenschutzbeauftragten (DSB) kombinieren.

Aufgaben:

Der Informationssicherheitsbeauftragte hat sich schwerpunktmäßig um die Defintion, Realisierung und Aufrechterhaltung eines angemessenen Sicherheitsniveaus zu kümmern. Dazu kann er folgende Aufgaben erfüllen:

  • Beratung und Unterstützung
    des Verantwortlichen (Geschäftsführung, Vorstand) und der Mitarbeiter zur Herstellung einer angemessenen Informationssicherheit, damit der Etablierung von Organisation, Prozessen, Richtlinien, Konzepten, Auditierungen und Dokumentationen zur Realisierung eines angemessenen Sicherheitsniveaus. Hierbei Sicherheits-relevante Aufgaben wie beispielsweise Durchführung von Schutzbedarfsfeststellungen, Bedrohungs- und Risikoanalysen, Erstellung von Sicherheitskonzepten, Leitlinien, Richtlinien, Regelungen, Notfallvorsorgekonzept usw. bis hin zu Aufbau und Pflege eines Informationssicherheits-Management-Systems. Konkrete Richtlinien können z.B. sein: Leitlinie Informationssicherheit, Richtlinie Informationssicherheitsmanagement, Richtlinie Passwörter bzw. Richtlinie Authentifikation, Richtlinie Berechtigungsmanagement bzw. Richtlinie Autorisierung oder gemeinsam Richtlinie Identitäts- und Zugriffsmanagement (Identity und Access Management), Richtlinie Zutritts- und Zugangskontrolle, Richtlinie Sichere IT-Nutzung, Richtlinie Sicherer IT-Betrieb, Richtlinie Sichere IT-Entwicklung, Richtlinie Sichere IT-Anwendungen und -Systeme, Richtlinie Sichere Datenspeicherung und Datensicherung, Richtlinie Sichere Kommunikation, Richtlinie Telearbeit (inklusive Mobilgeräte), Richtlinie Notfallvorsorge und -management, Richtlinie Mitarbeiter und Schulung, Richtlinie Kontrolle und Auditierung.
  • Steuerung und Koordination
    als "Treiber" / Motivator im Unternehmen, Verein, ... und gegebenfalls darüberhinaus betreffend externe Dienstleister im Rahmen der Analyse, Konzeption, Steuerung, Realisierung und Kontrolle von Informationssicherheit bzw. Informationssicherheitsprozessen und/oder -management oder -projekte; dieser Aspekt ist oft sehr wichtig, da Informationssicherheit üblicherweise nicht die Kernaufgabe bzw. das gewinnbringende Geschäftsfeld im Unternehmen, Verein, ... ist und damit leicht aus dem Fokus gerät und zu wenig Aufmerksamkeit erhält
  • Ansprechpartner
    zentraler, für Geschäftsführung und Mitarbeiter zu allen Informationssicherheits-relevanten Vorgängen
  • Überwachung und Kontrolle
    der Einhaltung einer angemessenen Informationssicherheit inklusive dem Aufzeigen und Dokumentieren von Handlungsbedarfen an den Verantwortlichen
  • Risikorientierung
    bei der Erfüllung der Aufgaben durch geeignete Priorisierung
  • Schulung und Sensibilisierung
    und auch Motivation des Verantwortlichen und seiner Mitarbeiter zu Themen der Informationssicherheit z.B. mittels Seminare oder Übungen. Angemessene Fachkenntnisse der Mitarbeiter und andere Beteiligter sind zum Erreichen einer angemessenen Informationssicherheit sehr wichtig, da das jeweilige Bewußtsein, das Können, die Einstellung und das Verhalten von großer Bedeutung sind.
  • Unterstützung bei Sicherheitsverletzungen
    mit geeigneter Untersuchung, Behandlung, Ableitung von Verbesserungen und Dokumentation
  • Messung
    der Informationssicherheit bzw. des Sicherheitsniveaus bzw. der eingesetzen Maßnahmen auf Wirksamkeit und Effektivität, z.B. orientiert an Kennzahlen (wie detektierte Schadsoftware), Auswertung von Sicherheitsvorfällen, Durchführung von Übungen, Tests oder Audits.

Intern oder Extern:

Ein Informationssicherheitsbeauftragter kann intern besetzt werden durch einen Mitarbeiter (interner ISB) oder extern durch Beauftragung eines Dienstleisters (externer ISB), jeweils geeignete Kompetenz vorausgesetzt. Intern kann dies auch als Teilzeit-Tätigkeit neben anderen Aufgaben erfolgen und sollte keine Person eingesetzt werden, die in einen Interessenkonflikt geraten könnte oder für die eine Gefahr der Selbstkontrolle besteht, damit beispielsweise nicht IT-Administratoren. Extern kann die Funktion eines Informationssicherheitsbeauftragten auf Grundlage eines Dienstleistungsvertrags ausgeübt werden, der mit einer natürlichen oder juristischen Person geschlossen wird, die nicht der Einrichtung des Verantwortlichen angehört. Der externe Informationssicherheitsbeauftragte kann dabei unabhängiger agieren, da er nicht in Firmen-interne Abläufe oder -Verpflichtungen eingebunden ist.

Vorteile Externer Informationssicherheitsbeauftragter:

  • Fokussierung
    eigene Mitarbeiter kümmern sich fokussiert und produktiv um die Kernaufgaben
  • Schnelle KnowHow-Gewinnung
    für das Unternehmen, den Verein, ..., denn Informationssicherheit und damit verbunden auch Datenschutz ist eine anspruchsvolle Aufgabe, für die technisches und organisatorisches, gegebenfalls auch rechtliches Fachwissen erforderlich ist; dies kann intern aufgebaut werden oder in der Regel schneller bzw. sofort extern beauftragt bzw. einbezogen werden
  • Gewinn durch übertragbares KnowHow
    da der externe Informationssicherheitsbeauftragte in mehreren Firmen aktiv ist, erhält er übergreifendes Wissen und Lösungsansätze und kann diese als Mehrwert weitergeben
  • Keine Konflikte mit internen Aufgaben
    da ein interner Informationssicherheitsbeauftragter möglicherweise Interessenskonflikte mit anderen Aufgaben oder Kollegen hat, der externe in der Regel nicht
  • 4-Augen-Prinzip
    als wichtige und bewährte Methode zur Qualitätssicherung, d.h. das Tun erfolgt durch interne Mitarbeiter oder externe Dienstleister, der externe Informationssicherheitsbeauftragte kontrolliert unabhängig vom Tun oder damit verbundenen Abhängigkeiten oder Restriktionen
  • Geringere Aufwände
    da externe Informationssicherheitsbeauftragte sich z.B. eigenständig fortbilden, der Firma entstehen keine Kosten durch Freistellung oder Fortbildung interner Mitarbeiter
  • Synergieeffekte zu Datenschutz
    als kostenreduzierende Win-Win-Kombination, denn entsprechendes KnowHow vorausgesetzt, kann der Informationssicherheitsbeauftragte auch Datenschutz mit abdecken, möglich als Kombination als externer Datenschutzbeauftragter (eDSB)
  • Versicherung
    durch eine Berufshaftpflichtversicherung.

Leistungen und Preise:

Die Leistungen eines externen Informationssicherheitsbeauftragten lassen sich sinnvoll über Pauschal- und Individual-Leistungen realisieren. Die Informationssicherheit bzw. die damit verbundenen Aufgaben und Komplexität sind sehr wichtig und anspruchsvoll und weisen ein hohes Schadenspotential auf, denn Schäden können bis hin zur Existenzbedrohung des Unternehmens, Vereins, usw. gehen. Da die zu behandelnde Komplexität in der Regel mit der Anzahl der Mitarbeiter steigt, kann diese als Maßstab dienen. Eine Beauftragung kann erfolgen zu einer Pauschalgebühr von 50,- Euro pro Mitarbeiter pro Monat, gestuft in 5er Stufen und einem Mindestsatz von 500,- Euro, jeweils zzgl. USt. Darin enthalten sind die Leistungen

  • Bereitstellung, gegebenenfalls inklusive Benennung und Bekanntgabe mit Fungieren als Ansprechpartner
  • Qualitätssicherung bzw. Gestaltung der Regelungen, Abläufe und Konzepte
    (durch Beratung, Unterstützung, Steuerung, Überwachung und Erstellung von Richtlinien und Anweisungen), damit des Sicherheitsniveaus, der Umsetzung bis hin zur Kontrolle
  • Mitwirkung zur Schadenbegrenzung im Falle von Sicherheitsvorfällen,
    dazu insbesondere Vorbereitung und Qualitätssicherung von geeigneten Reaktionszeiten
  • Stundenleistungen von je einer Personenstunde pro Stufe pro Monat

Alles darüberhinaus wird Tätigkeits-/Bedarfs-orientiert indivduell abgesprochen bzw. beauftragt und nach Aufwand, ob der wichtigen, anspruchsvollen, steuernden, qualitätssichernden Aufgabe, mit Stundensätzen von 200,- Euro pro Stunde zzgl. USt. abgerechnet. Die einzelnen Tätigkeiten der Umsetzung können dabei durch interne Mitarbeiter oder externe Dienstleister erfolgen.

Die Pauschale ist von Vorteil für Nachhaltigkeit, Qualität und geeignete Reaktionszeiten, die Tätigkeitsabrechung ist vorteilhaft für eine Bezahlung nach Aufwand. Daher ist auch eine Mindestlaufzeit von 6 oder 12 Monaten mit automatischer Verlängerung um den jeweiligen Zeitraum sinnvoll, um alles geeignet aufbauen und vorhalten, also wirklich Erfolge erreichen zu können.

Alternative Preis-/Leistungsmodelle sind machbar, insbesondere bei einer hohen Anzahl von Mitarbeitern oder Vereinsmitgliedern, kontaktieren Sie uns einfach für ein individuelles Angebot.


Die Anmeldung zu unserem Newsletter findet sich hier


Irrtümer und Änderungen vorbehalten; Angebote der DresPleier GmbH sind stets freibleibend und unverbindlich und werden erst durch die schriftliche Bestätigung (auch per Mail) für die DresPleier GmbH verbindlich.


Copyright © DresPleier GmbH. Alle Rechte vorbehalten.