Verantwortung übernehmen für die Informationssicherheit meines Unternehmens - warum und wie?

Was ist Verantwortung?

Verantwortung übernehmen bedeutet, dass man sich verpflichtet, dafür zu sorgen, dass – im Rahmen der eigenen Möglichkeiten - alles möglichst gut läuft, indem das jeweils Richtige und Notwendige getan wird und kein Schaden entsteht.

Wie übersetzen wir dies nun auf die Informationssicherheit?

Nicht nur um die Anforderungen von Standards und Regularien zu erfüllen ist es wichtig, die Verantwortung für Informationssicherheit eindeutig zu regeln - auch um sich darüber gewiss zu werden, dass das Beste für das eigene Unternehmen nicht ohne Zutun zu erreichen ist.

Verantwortung übernehmen bedeutet, sich über die Risiken der Aktivitäten mit IT und im Cyberraum des eigenen Unternehmens bewusst zu sein und das Thema Informationssicherheit als übergeordnetes Thema ernst zu nehmen.

Wie übernehme ich Verantwortung für Informationssicherheit?

Verantwortung muss von der höchsten Führungsebene übernommen und vorgelebt werden. Es reicht nicht aus, ein Dokument zu erstellen und darin zu schreiben, dass die Geschäftsführung die Verantwortung übernimmt.

Ein Dokument bewirkt erst einmal gar nichts, auch wenn es in einem Audit akzeptiert werden könnte.

"Verantwortung übernehmen für Informationssicherheit beginnt bei der Geschäftsführung und endet beim einzelnen Mitarbeiter gleich welcher Position in der Hierarchie - Verantwortung ist eine Teamaufgabe."

Nach der Dokumentation der Verantwortung durch die Geschäftsführung muss diese also Taten folgen lassen.

Neben der Einbindung aller Mitarbeiter des Unternehmens über alle Führungsebenen und Abteilungen hinweg ist es wichtig, Awareness, also Bewusstsein für das Thema zu schaffen.

Es ist wichtig zu verstehen, dass Informationssicherheit keine Aufgabe der IT ist und dass richtige Informationssicherheit wesentlich zum Geschäftserfolg beitragen kann. Informationssicherheit schafft schlanke Prozesse, schützt das Unternehmen und sichert langfristig den unternehmerischen Erfolg, wenn es richtig gemacht wird.

Außerdem kann es der entscheidende Wettbewerbsvorteil gegenüber Mitbewerbern sein, da ein hohes Maß an Sicherheit garantiert und ggf. durch Zertifikate aus unabhängiger Hand nachgewiesen werden kann.

Informationssicherheit ist nicht als Blockierer, sondern als Absicherung des Geschäfts zu verstehen und kann unter diesem Blickwinkel so manches Geschäft sogar erst ermöglichen.

Der Verantwortliche für Informationssicherheit im Unternehmen

Neben der Übernahme der Verantwortung durch die Geschäftsführung, ist es je nach Größe des Unternehmens, nach der individuellen Struktur und wenn die Anforderungen von Standards und Regularien erfüllt werden sollen sinnvoll und sogar erforderlich, eine Person zu benennen, welche im Auftrag der Geschäftsführung als Experte die Aufgaben wahrnimmt, die mit der Verantwortung einhergehen.

Diese Person trägt regelmäßig den Titel Informationssicherheitsbeauftragter, IT-Sicherheitsbeauftragter oder Chief Information Security Officer (CISO).

Sozusagen als verlängerter Arm und Sprachrohr der Geschäftsführung übernimmt dieser Beauftragte die Aufgaben in Vertretung der Geschäftsführung.

Diese Person muss mit entsprechenden unternehmensweiten Kompetenzen ausgestattet werden, um die Anforderungen der Informationssicherheit über alle Bereich hinweg umsetzen zu können, da der Eingriff der Informationssicherheit zum Teil erheblich sein kann.

Zu den Aufgaben gehören u.a.

• Erstellen des Informationssicherheits-Regelwerks

• Asset-Management

• Informationssicherheits-Risikomanagement

• Die Überprüfung der Umsetzung von Maßnahmen (Audit)

• Kontinuierlicher Verbesserungsprozess

• Steuerung der Awareness-Maßnahmen

• Definition der erforderlichen Sicherheitsmaßnahmen

• usw.

Beispiele für die Übernahme von Verantwortung

Gute Beispiele für die Übernahme von Verantwortung:

• Einbindung des Sicherheitsbeauftragten in Unternehmensentscheidungen (um die Anforderungen des Themas zu berücksichtigen und um zu zeigen, wie wichtig das Thema ist)

• Entscheidungen im Rahmen der Informationssicherheit transparent kommunizieren (Beispielsweise erklären, warum die Anforderungen an Passwörter geändert worden sind, warum MFA eingeführt wird etc.)

• Regelmäßige Kommunikation des Themas mit Relevanz für das Unternehmen (Keine allgemeinen Informationen, sondern relevante Informationen mit Erläuterungen, warum diese für das Unternehmen und den Einzelnen wichtig sind)

• Sicherheitstipps geben, die auch Privat von Vorteil sind, z.B. das Thema MFA, Passwortmanager, Malwareschutz etc.

• Gute Taten hervorheben, zum Beispiel das Erkennen und Berichten einer Phishingmail durch Mitarbeiten, dies kann gleich mit einer entsprechenden Warnung einhergehen.

• Positive Beispiel sind generell gut geeignet, um Verhalten zu steuern und ein Verhalten im Sinne des Unternehmens zu erreichen

• Verantwortung vorleben, indem beispielsweise die Ergebnisse von Phishingtests oder Ergebnisse von Teilnahmen an Awareness-Maßnahmen durch die Geschäftsführung geteilt werden

Fazit:

Verantwortung übernehmen ist kein Hexenwerk, erfordert aber klare Regelungen und offene Kommunikation - und zwar regelmäßig.

Wird ein Informationssicherheitsbeauftragter benannt, so muss dieser mit den erforderlichen Befugnissen ausgestattet werden, um im Namen der Geschäftsführung zu handeln.

Verantwortung ist ein Thema für Alle. Eine Kette ist nur so stark wie das schwächste Glied, daher ist Teil der Verantwortung, das gesamte Unternehmen mitzunehmen und stetig die Relevanz des Themas hervorzustellen.

Nur so kann über die Zeit ein nachhaltiges Bewusstsein auf allen Ebenen erreicht werden.

Verantwortung zu übernehmen ist nur der Anfang der Reise auf dem Weg zu mehr Informations-, IT- und Cybersicherheit, aber es ist der erste notwendige Schritt, um den Rahmen zu schaffen, in welchem Sicherheit geschaffen werden kann.

Wichtig ist bei allen Schritten, die Mitarbeiterschaft und alle Führungskräfte über alle Abteilungen mitzunehmen.

Habt Ihr Fragen zu dem Thema oder benötigt Ihr Unterstützung?

Dann meldet Euch bei mir (Kontaktformular), ruft an oder hinterlasst einen Kommentar.