M 2.193 Aufbau einer geeigneten Organisationsstruktur für IT-Sicherheit
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsmanagement-Team
Planung und Einrichtung der IT-Sicherheitsorganisation
Um einen IT-Sicherheitsprozesses erfolgreich planen, umsetzen und aufrechterhalten zu können, muss eine geeignete Organisationsstruktur vorhanden sein. Es müssen also Rollen definiert sein, die die verschiedenen Aufgaben für die Erreichung der IT-Sicherheitsziele wahrnehmen müssen. Außerdem müssen Personen benannt sein, die qualifiziert sind und denen ausreichend Ressourcen zur Verfügung stehen, um diese Rollen auszufüllen.
Zu Beginn eines IT-Sicherheitsprozesses kann sich herausstellen, dass es keine übergreifende Struktur für IT-Sicherheit gibt. In den meisten Behörden und Unternehmen gibt es allerdings bereits Personen, die für verschiedene Aspekte der IT-Sicherheit zuständig sind. Hier muss eine geeignete, übergreifende IT-Sicherheitsorganisation aufgebaut werden. Auch wenn bereits eine IT-Sicherheitsorganisation etabliert ist, sollte regelmäßig überlegt werden, ob diese noch angemessen ist oder an neue Rahmenbedingungen angepasst werden muss.
Funktion des IT-Sicherheitsbeauftragten
Die Art und Ausprägung einer IT-Sicherheitsorganisation hängt von der Größe, Beschaffenheit und Struktur der jeweiligen Institution ab. In jeder Institution muss allerdings die Funktion des IT-Sicherheitsbeauftragten eingerichtet werden, der für alle Belange der IT-Sicherheit zuständig ist. Die Aufgaben des IT-Sicherheitsbeauftragten sind unter anderem:
- den IT-Sicherheitsprozess zu steuern und zu koordinieren,
- die Erstellung von IT-System-Sicherheitsrichtlinien zu initiieren und zu koordinieren,
- die Erstellung des IT-Sicherheitskonzepts, des Notfallvorsorgekonzepts und anderer Teilkonzepte zu koordinieren,
- den Realisierungsplan für die IT-Sicherheitsmaßnahmen zu erstellen und deren Realisierung zu initiieren und zu überprüfen,
- der Leitungsebene und dem IT-Sicherheitsmanagement-Team zu berichten,
- sicherheitsrelevante Projekte zu koordinieren und den Informationsfluss zwischen Bereichs-IT-, IT-Projekt- sowie IT-System-Sicherheitsbeauftragten sicherzustellen,
- sicherheitsrelevante Zwischenfälle zu untersuchen sowie
- Sensibilisierungs- und Schulungsmaßnahmen zu IT-Sicherheit zu initiieren und zu steuern.
Der IT-Sicherheitsbeauftragte muss bei allen Projekten mit IT-Bezug beteiligt werden, damit sichergestellt ist, dass sicherheitsrelevante Aspekte ausreichend beachtet werden. Dazu gehören z. B. die Beschaffung von IT-Systemen oder die Gestaltung von IT-gestützten Geschäftsprozessen.
Um den direkten Zugang zur Behörden- bzw. Unternehmensleitung sicherzustellen, ist es empfehlenswert, diese Rolle als Stabsstelle einzurichten.
In kleinen Organisationen kann die Funktion des IT-Sicherheitsbeauftragten auch von einem qualifizierten Mitarbeiter neben anderen Aufgaben wahrgenommen werden. Maßgeblich ist, dass dem IT-Sicherheitsbeauftragten ausreichend Zeit für seine Aufgaben zugebilligt wird. Vor allem bei der erstmaligen Einrichtung des IT-Sicherheitsprozesses müssen hierfür auch hinreichende zeitliche Ressourcen eingeplant werden. Ebenfalls wichtig bei der Planung der IT-Sicherheitsorganisation ist die Benennung eines qualifizierten Vertreters des IT-Sicherheitsbeauftragten.
Auswahl des IT-Sicherheitsbeauftragten
Der IT-Sicherheitsbeauftragte sollte über Wissen und Erfahrung in den Gebieten Informationstechnik und IT-Sicherheit verfügen. Weiterhin sollte er über die folgenden Qualifikationen und Eigenschaften verfügen:
- Identifikation mit den Zielsetzungen der Institution
- Einsicht in die Notwendigkeit von IT-Sicherheit
- Kooperations- und Teamfähigkeit (wenige andere Aufgaben erfordern so viel Fähigkeit und Geschick im Umgang mit anderen Personen)
- Fähigkeit zum selbständigen Arbeiten
- Durchsetzungsvermögen
- Erfahrungen im Projektmanagement
Ein IT-Sicherheitsbeauftragter alleine kann nicht für angemessene Sicherheit in allen Bereichen einer Institution sorgen. Daher sind Kommunikations- und Präsentationsfähigkeiten wichtig. Die Leitungsebene muss in zentralen Fragen des IT-Sicherheitsprozesses immer wieder eingebunden werden, außerdem müssen Entscheidungen eingefordert werden. Die Zusammenarbeit mit den IT-Benutzern verlangt viel Geschick, da diese von der Notwendigkeit der (für sie manchmal etwas lästigen) IT-Sicherheitsmaßnahmen überzeugt werden müssen. Mindestens genauso heikel ist die Befragung der Mitarbeiter nach sicherheitskritischen Vorkommnissen und Schwachstellen. Um bei diesen Befragungen nützliche Ergebnisse zu erzielen, müssen die Mitarbeiter davon überzeugt werden, dass ehrliche Antworten nicht zu Problemen für sie selbst führen.
Aufbau eines IT-Sicherheitsmanagement-Teams
In größeren Organisationen ist es sinnvoll, ein IT-Sicherheitsmanagement-Team aufzubauen, das den IT-Sicherheitsbeauftragten unterstützt und sämtliche übergreifende Belange der IT-Sicherheit regelt und Pläne, Vorgaben und Richtlinien erarbeitet. Die Größe und die Zusammenstellung des IT-Sicherheitsmanagement-Teams sollten in Abhängigkeit vom Umfang des IT-Sicherheitsprozesses und der dafür benötigten Ressourcen und Expertisen definiert werden. In BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise sind verschiedene Varianten dargestellt, wie eine Aufbauorganisation des IT-Sicherheitsmanagements aussehen kann.
Auswahl des IT-Sicherheitsmanagement-Teams
Um die verschiedenen Sichten der IT-Sicherheit in der Organisation zu berücksichtigen, sollten im IT-Sicherheitsmanagement-Team folgende Vertreter zusammenarbeiten:
- IT-Sicherheitsbeauftragter
- IT-Verantwortliche
- Vertreter der IT-Anwender
- Datenschutzbeauftragte
- IT-Revision
- Juristische Vertretung der Organisation Personalrat
Benennung eines verantwortlichen Managers
Auf Leitungsebene sollte die Aufgabe IT-Sicherheit eindeutig einem verantwortlichen Manager zugeordnet sein, an den der IT-Sicherheitsbeauftragte direkt berichtet. In kleinen Organisationen kann auch ein Geschäftsführer diese Aufgabe übernehmen.
Überprüfung der IT-Sicherheitsorganisation
Eine einmal aufgebaute IT-Sicherheitsorganisation ist nicht statisch. Geschäftsprozesse und Umfeldbedingungen ändern sich permanent, so dass auch die IT-Sicherheitsorganisation immer wieder überdacht werden muss. Dabei sollte beispielsweise beleuchtet werden, ob die Aufgaben und Kompetenzen innerhalb des IT-Sicherheitsprozesses ausreichend klar definiert waren, aber auch, ob vorgesehene Aufgaben nicht wahrgenommen werden konnten. Vor allem sollten die folgenden Punkte abgeklopft werden:
-
Überwachung von Verantwortlichkeiten im laufenden Betrieb
Es muss regelmäßig überprüft werden, ob alle Verantwortlichkeiten und Zuständigkeiten eindeutig zugewiesen wurden und ob diese beachtet werden.
-
Überprüfung der Einhaltung von Vorgaben
Es muss regelmäßig geprüft werden, ob alle Prozesse und Abläufe der IT-Sicherheitsorganisation wie vorgesehen angewendet und durchgeführt werden. Außerdem sollte dabei überdacht werden, ob die aufgebauten Strukturen der IT-Sicherheitsorganisation den Anforderungen gerecht werden. - Beurteilung der Effizienz von Prozessen und organisatorischer Regelungen
Es muss regelmäßig überprüft werden, ob Prozesse und organisatorische Regelungen des IT-Sicherheitsmanagements praxistauglich und effizient sind. Wenn Prozesse oder Regelungen, die aus Sicherheitsgründen eingerichtet wurden, zu kompliziert oder zeitaufwendig sind, werden sie häufig nicht beachtet oder umgangen, was zu Sicherheitsvorfällen führen kann. - Managementbewertungen
Das Management ist über die Ergebnisse der oben genannten Überprüfungen regelmäßig zu informieren. Die Berichte sind nicht nur notwendig, um dringende oder zeitkritische Probleme zu lösen, sondern enthalten wichtige Informationen, die das Management für die Steuerung des IT-Sicherheitsprozesses benötigt.
Anpassung und Verbesserung der IT-Sicherheitsorganisation
Die IT-Sicherheitsorganisation muss regelmäßig in Bezug auf Effizienz und Effektivität optimiert werden. Hat sich herausgestellt, dass Prozesse oder Regelungen für die IT-Sicherheitsorganisation Schwächen haben, müssen diese abgestellt werden.
Dokumentation
Die Aufgaben, Verantwortungen und Kompetenzen im IT-Sicherheitsmanagement müssen nachvollziehbar dokumentiert sein. Dazu gehören auch die wesentlichen Arbeitsanweisungen und organisatorischen Regelungen.
Ergänzende Kontrollfragen:
- Ist ein IT-Sicherheitsbeauftragter benannt worden?
- Besteht die Notwendigkeit, den IT-Sicherheitsbeauftragten durch ein IT-Sicherheitsmanagement-Team zu unterstützen?
- Sind die Aufgaben und Kompetenzen innerhalb des IT-Sicherheitsprozesses klar definiert?
- Wird die Effizienz der IT-Sicherheitsorganisation regelmäßig überprüft? Wie?