Der Informationssicherheitskoordinator (ISK)

Der Informationssicherheitskoordinator (ISK) fungiert als Schnittstelle zwischen dem Informationssicherheitsbeauftragten (ISB) und den verschiedenen Abteilungen des Unternehmens.

Die Hauptaufgaben des Informationssicherheitskoordinators (ISK)

Der Informationssicherheitskoordinator (ISK) agiert als Schnittstelle zwischen Ihrem Unternehmen und den Sicherheitsexperten. Dabei gilt es externes Expertenwissen und internen Schlüsselpersonen zusammen zu bringen.

  • Effiziente Zusammenarbeit von externen ISB und internen ISK
  • Flexibles Sicherheitsmanagement nach Ihren Unternehmensbedürfnissen
  • Professionelle Unterstützung durch regelmäßige Gespräche
  • Gemeinsame Anpassung des ISMS in einer Online Plattform
Frau am Computer in modernem Büro, arbeitet an Informationssicherheit, neben einem abschließbaren Schrank mit Sicherheitsmerkmalen.

Tägliche Aufgaben des ISK

Der Informationssicherheitskoordinator (ISK) hat eine Vielzahl an kleineren Aufgaben, die er täglich bzw. Wöchentlich erledigen muss – je nach Situation und Bedrohungslage:

  • Überwachung von Sicherheitswarnungen und Sicherheitsvorfällen
  • Einleitung entsprechender Maßnahmen bei Sicherheitsvorfällen
  • Bearbeitung von Anfragen zu Informationssicherheitsthemen aus Abteilungen
  • Vermittlung zwischen Fachabteilungen und dem Informationssicherheitsbeauftragten (ISB)
  • Überprüfung der Einhaltung von Sicherheitsrichtlinien und -verfahren
  • Dokumentation und Nachverfolgung offener Sicherheitsmaßnahmen
  • Aktualisierung von Sicherheitsprotokollen
  • Planung und Durchführung von Sensibilisierungsmaßnahmen


Der Informationsfluss zwischen Informationssicherheitsbeauftragten (ISB) und Fachabteilungen wird durch den Informationssicherheitskoordinator in sinnvolle Bahnen gelenkt. Informationssicherheitsbeauftragten ist auf die betriebliche Wissen des internen Informationssicherheitskoordinators angewiesen. Der ISK hat den direkten Zugang zu den internen Ansprechpartnern. Es fällt ihm leichter sich über die Verantwortlichkeiten in einzelnen Fachbereichen zu informieren. Dadurch wird er zum Katalysator für den ISB.

Als interner Ansprechpartner für die Fachbereiche bringt er auch die Dokumentation im ISMS in Verbindung zu den Wissensdokumentation der Fachbereiche. Für ihn ist es leichter und schneller möglich ein Gespräch mit den jeweiligen Fachbereich über die Informationsicherheitsthemen durchzuführen. die Erkenntnisse aus den internen Besprechungen kann es so strukturiert zusammenfassen und dem ISB in einer angemessenen Form bereitstellen. Daher ist der ISK für die interne Dokumentation zur Erfüllung der Kontroll- und Nachweispflichten verantwortlich. Dadurch werden die Anforderungen der geltenden Informationssicherheitsstandards (ISO 27001) erfüllt.

Regelmäßig anfallende Aufgaben des ISK

Der IS-Koordinator (ISK) ist im Rahmen der Informationssicherheitsanforderungen für die Pflege des ISMS Dokumentation zuständig. Folglich sollte der ISK folgende Dokumentationen regelmäßig überprüfen:

  • Informationssicherheitsrichtlinien des Unternehmens
    Sicherheitsmaßnahmen des Unternehmens (ISO 27001 Anhang A).
  • Risikobewertungen und Behandlungspläne für identifizierte Sicherheitsrisiken.
  • Verzeichnis von Informationswerten sowie deren Sicherheitsklassifizierungen.
  • Protokolle zu Sicherheitsvorfällen sowie deren Behebungsmaßnahmen.
  • Zugangs- und Berechtigungskonzepte für kritische Systeme.
  • Nachweis der Einhaltung von Zertifizierungsanforderungen.

Projektbasierte Aufgaben des ISK

Der ISK unterstützt Projektteams im Bereich der Informationssicherheit. Aufgrund seiner Rolle als Schnittstelle zum Informationssicherheitsbeauftragten, übernimmt er folgende projektbezogenen Aufgaben:

  • Durchführung von Risikoanalysen und Sicherheitsbewertungen bei Projekten.
  • Implementierung und Überprüfung von Sicherheitsmaßnahmen bei Systemänderungen.
  • Koordination der Behandlung von Sicherheitsvorfällen.
  • Einführung verschiedener Dokumente für das zentrale ISMS.
  • Hilfestellung bei der Erstellung von Sicherheitskonzepten für neue Anwendungen.
  • Koordination von Sicherheitsaudits und der Umsetzung der resultierenden Maßnahmen

Benötige wir einen Informationssicherheitskoordinator?

Aufgrund der dynamischen Bedrohungslage müssen sich Unternehmen aller Größen und Branchen besser gegen Informationssicherheitsvorfällen wappnen. Diese Herausforderung kann in den meisten Unternehmen nicht von einer einzigen internen Person bewältigt werden. Bei großen Unternehmen kann man einen internen ISB und internen ISK bestellen, wobei diese weitgehend mit der Informationssicherheit beschäftigt sind.

Für kleinere KMUs (1-150 MA) ist es schwieriger geeignete Personen für diese 2 Rollen zu finden. Daher befinden sich die Aufgaben des internen ISK auch beim internen ISB. Die Praxis zeigt, dass bei Unternehmen mit weniger als 50 Mitarbeiter die Rolle des ISK nicht wirklich vorkommt. Dennoch haben Unternehmen mit weniger als 75 Mitarbeiter ein Problem auch einen geeigneten ISB intern zu bestellen. Als Folge muss der interne ISB zu einem ISK umgewandelt werden. Das fehlendes Fachwissen und die geringe Erfahrung erschwert es dem internen Mitarbeiter ohne fremde Hilfe (z.B. eines ISO Beraters) ein Zertifizierungsaudit zu bestehen. Daher beauftragen immer mehr Unternehmen einen externen Informationssicherheitsbeauftragten, der auf die interne Koordination der Informationssicherheit durch den ISK angewiesen ist.

Der ISK kennt die aktuellen Themen des regulären Betriebs. Die Informationen zu aktuellen Projekten erreichen den ISK, der entscheiden muss, ob diese für den ISB relevant sind. Dadurch liefert der ISK wichtige Informationen den Projektplanern, damit es nicht zu fehlenden Ressourcen oder gefährlichen Änderungen während eines Projekts kommt. So kann der Projektmanager die Informationssicherheitsaspekte berücksichtigen. So werden auch die technischen und organisatorischen Sicherheitsmaßnahmen rechtzeitig zum Schutz der Unternehmensinformationen umgesetzt.

Gruppe von Fachleuten bei einem ISO 27001 Audit, die gemeinsam an einem Tisch arbeiten, Tablets und Laptops nutzen, um Risikobewertungen und Informationen zu besprechen, mit Diagrammen und Grafiken an der Wand im Hintergrund.

Die Rolle eines Informationssicherheitskoordinators optimiert die informationssicherheitsrelevanten Prozesse für die Kommunikation zwischen Abteilungen und Unternehmen. So werden auch Missverständnissen, Unsicherheiten und Verzögerungen rechtzeitig gelöst. Dabei gilt es auch in kleineren Unternehmen zu beachten, dass interne Informationssicherheitsbeauftragte nicht genügend Ressourcen (Zeit, Budget, Unterstützung) zur Verfügung haben kann. Je kritischer das Geschäftsmodell desto häufiger muss der ISB mehr als 8 Stunden pro Monat an ISMS relevanten Themen arbeiten. Hat er diese Zeit nicht, muss er sich von einem externen ISB ablösen lassen, und die wichtige Rolle des ISK übernehmen. Durch diese Teamarbeit kann man wichtige Prozesse voranzutreiben. Wer gleichzeitig ein einem Projekt in einer nicht ISB-Rolle (z.B. Programmierer / Projektleiter) involviert ist, erlebt schnell den Effekt der Betriebsblindheit. Das ist häufig die Ursache vieler Nebenabweichungen in den Zertifizierungsaudits.

Stellung des Informationssicherheitskoordinators

Ein Informationssicherheitskoordinator kann nicht die strategischen Rollen eines Informationssicherheitsbeauftragten übernehmen. Die Strukturen und Verantwortlichkeiten eines Informationssicherheitsbeauftragten erlauben einem ISK nicht dessen Rolle vollständig zu übernehmen. Informationssicherheitskoordinatoren verfügen nicht über das erforderliche Qualifikationsniveau eines fachkundigen Informationssicherheitsbeauftragten. Beauftragt das Unternehmen einen externen Informationssicherheitsbeauftragten, so hat dieser ISB eine beratende bzw. begleitende Rolle, um die Geschäftsleitung zu unterstützen.

Ein interner ISB muss hochqualifiziert und spezialisiert sein. Er kann die komplexesten Informationssicherheits-Angelegenheiten behandeln, wozu der ISK nicht fachkundig genug ist. Der interner ISB hat daher eine große Verantwortung für die Einhaltung der Sicherheitsstandards und Sicherheitsrichtlinien im Unternehmen. Ein Informationssicherheitskoordinator ist dennoch sehr wichtig, damit die Tätigkeit des ISB effektiv und nachhaltig für das Unternehmen wirken kann.

Qualifikation und Fortbildung eines Informationssicherheitskoordinators (ISK)

Der Informationssicherheitskoordinator (ISK) benötigt ein Grundverständnis für Informationssicherheit. Der ISK sollte tiefgehende Kenntnisse über die Prozesse und Abläufe im Unternehmen haben. Die Teilnahme einen Grundkurs Informationssicherheit (z.B., Videokurs ISO 27001 Foundation) ist ein guter Einstieg in die Informationssicherheit. Weiterhin sollte dieser sich intensiv mit der ISMS Dokumentation und der ISO 27001 Norm auseinandersetzen.

Vorteile des Informationssicherheitskoordinators (ISK)

Ein ISK kann die Reife eines ISMS deutlich beschleunigen. Dies wird durch folgende Vorteile der ISK Rolle im Unternehmen gefördert:

  • Unterstützung des Informationssicherheitsbeauftragten
  • Aktualisierung von Sicherheitsdokumenten (internes Wissen)
  • Verbesserung der Kommunikation innerhalb des Unternehmens mit ISB
  • Unterstützung der Sicherheitskontrollen und Einhaltung der Informationssicherheitsvorgaben
  • ISB fokussiert sich auf zentrale sicherheitsrelevanten Themen
  • Schnelle und effiziente Umsetzung interner Maßnahmen
  • Interne Erarbeitung von Informationssicherheitsverfahren

Nachteile des Informationssicherheitskoordinators

Unternehmen müssen damit rechnen, dass gewisse Nachteile mit der Bestellung eines internen ISK auftreten können. die rolle des ISK kann nicht an externe Personen ausgelagert werden. Hier sind die Nachteile eines ISK im Unternehmen:

  • Grundkurs zur Informationssicherheit erforderlich
  • Weiterführende Schulungen ggf. notwendig
  • Kontrolle und Überwachung durch ISB
  • Beeinträchtigung der Haupttätigkeit des ISK möglich
  • Fehlende technische Kenntnisse oder Erfahrung
  • Missverständnisse zur Stellung / Rolle des ISK

Wer kann Informationssicherheitskoordinator im Unternehmen werden?

Jeder Mitarbeiter kann zum Informationssicherheitskoordinator ernannt werden. Die allgemeinen Qualifikationen erfordern kein Informatikstudium oder Zertifizierung. Wichtig ist es die Regeln und Vorschriften bei der Ernennung zu beachtet. Arbeitgeber können jemanden Mitarbeiter für diese Koordinatorenrolle auswählen. Mögliche Interessenkonflikte müssen nicht berücksichtigt werden, wie es beim Informationssicherheitsbeauftragten der Fall ist.

Am besten wählt man eine an dem Thema Informationssicherheit interessierte Person. Die ISK Rolle ist wichtig für die Organisation. Fehlt die Motivation beim Mitarbeiter, so wird das ganze zu einem Fiasko. Der Informationssicherheitsbeauftragten benötigt die aktive Mithilfe des ISK, damit das ISMS und die Maßnahmen zur Informationssicherheit effektiv wirken können.

Vier Geschäftsleute in einem modernen Büro, die an einem Tisch sitzen, lächelnd diskutieren und Dokumente zur ISO 27001-Zertifizierung überprüfen.

Informationssicherheitskoordinator vs. InformationssicherheitsbeauftragterGib hier deine Überschrift ein

In vielen Unternehmen ist es erforderlich einen internen oder externen Informationssicherheitsbeauftragten zu benennen. Dies leitet sich as den gesetzlichen, regulatorischen und vertragslichen Pflichten des Unternehmens ab. Der externe Informationssicherheitsbeauftragte wird häufig als CISO bezeichnet bzw. betitelt, da er eine für die Geschäftsleitung beratende Funktion einnimmt. Ein Informationssicherheitsbeauftragter hat die Hauptaufgabe, die Informationssicherheit im Unternehmens zu gewährleisten. Dabei soll dieser sicherstellen, dass alle notwendigen Maßnahmen ergriffen werden. Je nach Größe und Struktur des Unternehmens können sogar folgende 3 Rollen gemeinsam wirken: CISO, ISB, ISK.

Die Arbeitsbelastung für diese Funktionen sollte man nicht unterschätzen. Ein Informationssicherheitskoordinator übernimmt viele interne Tätigkeiten, damit der ISB bzw. CISO entlastet wird. In dieser Rolle übernimmt der ISK verschiedene Verwaltungs- und Kommunikationsaufgaben. Dadurch kann der ISB sich auf seine Kernkompetenzen konzentrieren.

ISO 27001 kennt die Rolle des ISK nur indirekt

Laut ISO 27001 Norm sollen Unternehmen angemessene Ressourcen bereitstellen. Dadurch wird ein effektives ISMS implementiert und aufrechterhalten. Die Norm ist da sehr unpräziese was die Rolle eines ISK angeht. Betrachtet man aber die Anforderungen der Norm, so wird aus der betrieblichen Praxis der ISK ableitbar. Der ISB muss bei der Erfüllung seiner Aufgaben unterstützt werden. Die erforderlichen Ressourcen sind nicht nur Zeit und Budget oder Weiterbildung. Hilfskräfte wie der ISK ermöglichen es dem iSB seine aufgaben zu erfüllen. Somit ist der Informationssicherheitskoordinators eine wesentliche Ressource zur Unterstützung des Informationssicherheitsbeauftragten.

Zusammenfassung

Der ISK ist wichtig für die Wirksamkeit des ISMS! Ein ISB und ein ISK sind für Unternehmen ermöglichen es erst, den Schutz der Unternehmensdaten und Informationssysteme zu gewährleisten. Dadurch kann das Unternehmen die geltenden Sicherheitsstandards einhalten.

Ähnliche Artikel und weitere interessante Informationen