Wo soll die Verantwortung für Informationssicherheit aufgehängt sein?

sailing

Die Gestaltung der Sicherheitsorganisation hat erheblichen Einfluss auf die Funktionsfähigkeit des Managementsystems für Informationssicherheit (ISMS). Die Erfahrung aus Sicherheitsprojekten zeigt jedoch: bei diesem Thema gibt es oftmals eine extreme Diskrepanz zwischen Wollen und Können. Manchmal ist aber auch schon das Wollen ein Problem – dazu später in zwei Fallbeispielen.

Geht man nach dem Lehrbuch, so soll jedes Unternehmen und jede Behörde eine für Informationssicherheit verantwortliche Position besetzen. Diese Position hat in der Praxis unterschiedliche Namen – nennen wir sie der Einfachheit halber CISO (Chief Information Security Officer). Der CISO soll unabhängig von der IT-Abteilung sein und berichtet idealerweise direkt an die Vorstandsebene oder das Risikomanagement.

Zum organisatorischen Umfeld des CISO gehört der Sicherheitsausschuss, im angelsächsischen Bereich auch „Security Steering Committee“ genannt. Wichtige organisatorische Schnittstellen des CISO innerhalb des Sicherheitsausschusses oder außerhalb davon bestehen unter anderem zur IT, zum Personalwesen und zur Rechtsabteilung, zum Datenschutzbeauftragten, zu Marketing und Öffentlichkeitsarbeit und auch zur Revision (internes Audit).

Die Praxis sieht allerdings oftmals anders aus. Häufig ist die Verantwortung für Informationssicherheit irgendwo innerhalb der IT-Abteilung angesiedelt, oder die Position ist gänzlich unbesetzt. Als Begründung wird häufig ins Feld geführt, dass das Unternehmen oder die Behörde zu klein sei, um sich einen eigenständigen CISO zu leisten. Manchmal ist es aber auch eine bewusste Entscheidung der Organisation, von den „besten Praktiken“ abzuweichen.

Kann das funktionieren? Die Antwort lautet: im Prinzip ja, aber mit Risiken. Wer ohne Sicherheitsgurt Auto fährt, muss nicht zwangsläufig einen Unfall haben. Zum besseren Verständnis muss man sich zwei Aspekte genauer vor Augen führen:

  1. Welche Kompetenzen braucht eine für Informationssicherheit verantwortliche Position, um ihre Aufgabe erfüllen zu können?
  2. Warum benötigt man überhaupt diese Position?