Vereinzelt trifft man in Unternehmen noch auf die Meinung, dass der Informationssicherheitsbeauftragte allein für die von ihm identifizierten Risiken verantwortlich ist, die mögliche Schadenshöhe selbst abschätzen und technische Maßnahmen zur Risikominimierung implementieren soll. Ein Blick auf die in diesem Kontext relevanten Normen ISO 2700x und 31000 sowie das am 15.09.2015 von der BaFin veröffentlichte Auslegungsschreiben schafft jedoch Klarheit:
Informationssicherheitsbeauftragte können die Welt nicht retten. Sie sorgen durch ein funktionierendes und adäquates Informationssicherheitsmanagementsystem (ISMS) dafür, dass andere die Welt retten können.
Das ISMS versetzt die Eigentümer von Geschäftsprozessen in die Lage, transparent die Gefahren hinsichtlich der Vertraulichkeit, Verfügbarkeit und Integrität (CIA) für ihre Prozesse und die dahinterstehenden Informationen erfassen und bewerten zu können. Die während eines ISMS-Durchlaufs gewonnen Erkenntnisse sind, wie das ISMS selbst, ein fester Bestandteil des unternehmensweiten Risikomanagements und bilden die Basis zur Priorisierung und Behandlung der gefundenen CIA-Risiken. Die Verantwortungen innerhalb des Risikomanagements sind in den internationalen Normen klar geregelt und lassen das eingangs erwähnte Missverständnis nicht zu. So hat die Bundesanstalt für Finanzdienstleistungsaufsicht zur Vermeidung möglicher Interessenkonflikte die Erwartung geäußert, dass der Informationssicherheitsbeauftragte kein Mitarbeiter oder Leiter der IT sein darf und zudem keine Aufgaben der internen Revision wahrnehmen sollte.
"Ein wichtiger Baustein zur Lösung dieses Problems ist es, die Stellung der Experten für IT-Sicherheit in den Kreditinstituten zu verbessern, etwa indem sie direkt dem Vorstand unterstellt und innerhalb des Unternehmens mit Durchgriffsrechten über alle Hierarchien ausgestattet werden. Insbesondere vor dem Hintergrund, dass sich die Cyber-Bedrohungslage weiter zuspitzt, müssen die Experten für IT-Sicherheit ihre Aufgaben unbedingt umsetzen können – trotz interner Widerstände." https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2015/fa_bj_1509_it_sicherheit.html
Das hinter dieser Vorgabe stehende Ziel, die Vermeidung von Interessekonflikten und interner Widerstände, sollte, meiner Ansicht nach, auch außerhalb des Finanzwesens Gehör und Anklang finden. Denn die Herausforderungen in der immer schneller voranschreitenden Digitalisierung der Geschäftswelt, werden nicht weniger. Sie nehmen stattdessen jeden Tag zu! Eine klare Trennung zwischen der Governance, der Umsetzung und dem Betrieb ist aus meiner persönlichen Erfahrung heraus unvermeidbar, wenn man kurz- und mittelfristig viele Risiken behandeln möchte und dabei eine zumindest annehmbare Qualität garantiert werden soll.