Bundesamt für Sicherheit in der Informationstechnik

M 2.336 Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung

Die Führung und Lenkung eines Unternehmens oder einer Behörde und die damit verbundenen Leitungsaufgaben beinhalten eine hohe Verantwortung. Diese Verantwortung bezieht sich nicht nur auf den Grad der Zielerreichung wie beispielsweise den Geschäftserfolg, sondern auch auf die Früherkennung und Minimierung von möglichen Risiken für den Betrieb. Dazu gehören neben anderen Risiken auch solche, die aus unzureichender Informationssicherheit entstehen.

Es ist eine komplexe Aufgabe, dauerhaft ein angemessenes Sicherheitsniveau zu gewährleisten. Dies erfordert ein systematisches Vorgehen, einen kontinuierlichen und zielgerichteten Sicherheitsprozess. Es ist Aufgabe der Leitungsebene jeder Institution, diesen Prozess zu initiieren, zu steuern und zu kontrollieren. Bei kleineren Institutionen wird dies häufig durch ein Mitglied der Leitungsebene persönlich übernommen. In mittleren und großen Institutionen wird die Aufgabe "Informationssicherheit" an eine dedizierte Person, den IT-Sicherheitsbeauftragten, delegiert. Je nach Größe und Art der Institution werden noch weitere Personen mit Sicherheitsaufgaben betraut, die diese ausschließlich oder zusätzlich zu anderen Aufgaben wahrnehmen. Hierfür ist es sinnvoll, eine geeignete Organisationsstruktur aufzubauen, um die verschiedenen Teilaufgaben im Bereich Sicherheit adäquat zu steuern. Dabei verbleibt die Gesamtverantwortung immer bei der Leitungsebene, unabhängig davon, an wie viele Personen Sicherheitsaufgaben delegiert wurden.

Die Geschäftsführung sollte regelmäßig über mögliche Risiken und Konsequenzen aufgrund fehlender Informationssicherheit aufgeklärt werden. Dazu ist es empfehlenswert, die Leitungsebene auf folgende Punkte aufmerksam zu machen (siehe auch M 3.44 Sensibilisierung des Managements für Informationssicherheit ):

  • Darstellung der Sicherheitsrisiken und der damit verbundenen Auswirkungen und Kosten
  • Auswirkungen von Sicherheitsvorfällen auf die kritischen Geschäftsprozesse
  • Gesetzliche und vertragliche Sicherheitsanforderungen
  • Übersicht über Standard-Vorgehensweisen zur Informationssicherheit für die Branche

Auch wenn die Leitungsebene für die Erreichung der Sicherheitsziele verantwortlich ist, muss der Sicherheitsprozess von allen Beschäftigten in einer Institution mitgetragen und mitgestaltet werden. Daher sollten folgende Prinzipien eingehalten werden:

  • Übernahme der Gesamtverantwortung für Informationssicherheit
    Die Initiative für Informationssicherheit geht von der Behörden- bzw. Unternehmensleitung aus. Die Aufgabe "Informationssicherheit" wird durch die Behörden- bzw. Unternehmensleitung aktiv unterstützt.
  • Informationssicherheit integrieren
    Informationssicherheit muss in alle Prozesse und Projekte integriert werden. Darüber hinaus müssen alle Beteiligten über den Sicherheitsprozess ausreichend informiert und motiviert werden, damit sie diesen auch einhalten.
  • Zuständigkeiten definieren
    Die Behörden- bzw. Unternehmensleitung benennt die für Informationssicherheit zuständigen Mitarbeiter und stattet sie mit den erforderlichen Kompetenzen und Ressourcen aus.
  • Lenken und Überwachen
    Die Leitungsebene muss aktiv den Sicherheitsprozess initiieren, lenken und überwachen. Dazu muss das Management die Auswirkungen von Sicherheitsvorfällen auf die Geschäftstätigkeit kennen, Sicherheitsziele vorgeben und Rahmenbedingungen schaffen, die es ermöglichen, diese Ziele zu erreichen.
  • Angemessene Ziele setzen
    Absolute Informationssicherheit gibt es nicht. Deswegen ist es wichtig, die Sicherheitsziele so zu setzen, dass sie einerseits mit einem vertretbaren Aufwand (Personal, Zeit, Finanzmittel) erreichbar sind und andererseits die Sicherheitsrisiken auf ein akzeptables Maß reduziert werden.
  • Vorbildfunktion
    Die Leitungsebene übernimmt auch im Bereich Informationssicherheit eine Vorbildfunktion. Dazu gehört unter anderem, dass auch die Leitungsebene alle vorgegebenen Sicherheitsregeln beachtet.
  • Kontinuierliche Verbesserung
    Die Angemessenheit und Wirksamkeit aller Elemente des Sicherheitsmanagements muss ständig überprüft werden. Identifizierte Schwachstellen und Verbesserungsmöglichkeiten müssen konsequent behoben bzw. umgesetzt werden. Wichtig ist auch, zukünftige Entwicklungen, veränderte Rahmenbedingungen und potentielle Gefährdungen frühzeitig zu erkennen.
  • Kommunikation und Wissen
    Die Leitungsebene und das IS-Management-Team müssen die Mitarbeiter motivieren und für ausreichende Schulungs- und Sensibilisierungsmaßnahmen sorgen. Mitarbeiter müssen vor allem über Sinn und Zweck sowohl von technischen Sicherheitsmaßnahmen als auch von organisatorischen Vorgaben aufgeklärt werden. Anwender sollten in die Umsetzungsplanung von Maßnahmen mit einbezogen werden. Damit können sie Ideen einbringen und die Praxistauglichkeit von Sicherheitsmaßnahmen beurteilen.

Prüffragen:

  • Hat die Behörden- bzw. Unternehmensleitung deutlich sichtbar die Verantwortung für Informationssicherheit übernommen?

  • Lässt sich die Leitungsebene regelmäßig über mögliche Risiken und Konsequenzen aufgrund fehlender Sicherheitsmaßnahmen beraten?

  • Hat die Behörden- bzw. Unternehmensleitung Sicherheitsverantwortliche benannt?

  • Wird Informationssicherheit von der Leitungsebene vorgelebt?

Stand: 11. EL Stand 2009