Donnerstag, 30. April 2015 | News | Blog, Expertennews

IT-Security: DSB, CIO, CISO - wen braucht das Unternehmen wirklich?

Die heutige Unternehmenswelt ist übersät mit beruflichen Abkürzungen. Die IT-Security macht dabei keine Ausnahme. Neben dem „DSB“ und dem „CIO“ tummelt sich auch der „CISO“ gerne auf Visitenkarten und in Stellenbeschreibungen. Doch wie unterscheiden sich diese Berufsfelder? Und welche gesetzlichen Anforderungen stehen dahinter? Wir haben nachgefragt bei Rechtsanwältin und Fachanwältin für IT-Recht Birgit Maneth:

Birgit Maneth, Rechtsanwältin

Birgit Maneth, Rechtsanwältin

Bild
1 2

 Frau Maneth: Was bedeuten die Abkürzungen „DSB“, „CIO“ und „CISO“?
„DSB“ steht für „Datenschutzbeauftragter“. Er ist für den Schutz personenbezogener Daten in einem Unternehmen zuständig.
„CIO“ ist der „Chief Information Officer“. Seine herkömmliche Bezeichnung ist „IT-Leiter“. Ihm obliegt grundsätzlich die Verantwortung für die gesamte IT-Infrastruktur eines Unternehmens. „CISO“ (oder „ISO“) kennzeichnet den „Chief Information Security Officer“. Er ist verantwortlich für die Informationssicherheit, also den Schutz aller Daten und Informationen eines Unternehmens, unabhängig davon, welche Daten dies sind und auf welchen Medien sie sich befinden. Er ist also z.B. auch für die sichere und zuverlässige Vernichtung alter Angebots- oder Konstruktionsunterlagen in Papierform zuständig.

Muss ein Unternehmen wirklich alle drei Positionen besetzen?
Eine unmittelbare Rechtspflicht zur Ernennung eines „DSB“, „CIO“ oder „CISO“ gibt es nicht. Jedoch hat jedes Unternehmen die Pflicht, die hinter diesen Bezeichnungen stehenden drei Aufgabenfelder abzudecken. Am besten lässt sich das in einer Grafik darstellen (Siehe Bild 2). Darin werden die Überscheidungen der Aufgabenfelder auch sichtbar.

Aus datenschutzrechtlicher Sicht besteht die Pflicht, für den Schutz personenbezogener Daten zu sorgen. Dazu ist bei einer personenbezogenen, automatisierten Datenverarbeitung durch mehr als neun Personen grundsätzlich einen Datenschutzbeauftragten zu bestellen oder aber die Datenschutzaufsicht zu informieren ist. Diese Pflicht kann in besonderen Fällen auch schon vor Erreichen der Mitarbeitergrenze eintreten. In aller Regel wird ein Unternehmen mit mehr als neun Mitarbeitern daher einen Datenschutzbeauftragten bestellen.

Darüber hinaus gibt es vielfältige rechtliche Anforderungen an ein IT-System. Dieses muss zum einen den datenschutzrechtlichen Vorgaben des § 9 BDSG (einschließlich der sogenannten „TOM“) entsprechen. Darüber hinaus ist die IT heutzutage das Kernstück der Unternehmensorganisation, ohne die ein funktionierender Geschäftsbetrieb undenkbar ist. Ohne IT könnten z.B. sämtliche Vertragspflichten gegenüber den Geschäftspartnern oftmals nicht erfüllt werden.  Der Unternehmer muss also im Rahmen seiner unternehmerischen Sorgfaltspflichten („Compliance“) entweder selbst dafür sorgen, dass die IT funktioniert, oder aber die Aufgabe an jemanden delegieren - den „CIO“.

Ein wesentlicher Aspekt der unternehmerischen Sorgfalt ist schließlich die Geheimhaltung der betrieblichen „Kronjuwelen“, d.h. der Daten und Informationen, auf denen der Geschäftserfolg des Unternehmens beruht. Diese „Kronjuwelen“ können Konstruktionspläne, Rezepte, Methoden, Fertigungsverfahren oder anderes Know-how sein. Allein durch die Absicherung des IT-Systems lässt sich diese Geheimhaltungspflicht nicht verwirklichen. Denn das größte Sicherheitsrisiko für unternehmerisches Know-how ist nicht die IT, sondern der Mensch. Es ist daher ein ganzheitliches Schutzkonzept erforderlich, das z.B. auch Mitarbeiterschulungen,  Berechtigungs- und Zugangskonzepte bis hin zu Betriebsanweisungen zum Gebrauch von Mobile Devices erfasst. Die Entwicklung, Umsetzung und Überwachung dieses komplexen Sicherheitskonzeptes wird häufig dem „CISO“ übertragen.

Können denn die Aufgaben zumindest an eine Person in „Personalunion“ vergeben werden?
Diese Möglichkeit besteht leider nur begrenzt, da der DSB eine unabhängige und neutrale, nur der Geschäftsleitung unterstellte Person sein muss, die keinen Interessenkonflikten unterliegt. Der IT-Leiter ist schon aufgrund seines Aufgabengebietes weder unabhängig noch neutral. Er würde z.B. sofort in einen Interessenkonflikt geraten, wenn er auf Weisung der Geschäftsleitung eine Überwachungssoftware anschaffen und installieren müsste, die auch zum Ausspähen der Mitarbeiter verwendet werden kann.
Die Verbindung von CIO mit CISO oder DSB mit CISO ist dagegen in der Praxis häufig. Sie funktioniert allerdings nur dann, wenn der Stelleninhaber den Blick über den „Tellerrand“ der IT hinaus bewahrt. Ansonsten kommt der Schutz von Know-how und Informationen, die außerhalb der IT-Systeme abgelegt sind, zu kurz.

Gibt es denn für den Schutz von Know-how und Informationen konkrete gesetzliche Anforderungen?
Die gesetzlichen Anforderungen an den Schutz von Know-how sind Reflex der Sanktionen bei einem Know-how-Verlust. Um im Falle des Know-how-Verlustes eine Handhabe gegen den Täter zu haben, muss das Know-how dokumentiert, aber zugleich geheim gehalten werden. Das größte Risiko für das Unternehmen ist die zufällige Offenbarung ihrer „Kronjuwelen“, denn sie führt unwiederbringlich zum Verlust des Know-hows. Um dies zu verhindern, ist neben technischen Schutzmaßnahmen vor allem ein konsequentes Vertragsmanagement (gegenüber Mitarbeitern und Geschäftspartnern) notwendig, um die „hauseigene“ versehentliche Preisgabe wertvoller Informationen zu verhindern. So dürfen beispielsweise Mitarbeiter, die keinem nachvertraglichen Wettbewerbsverbot unterliegen, ihre während der Betriebszugehörigkeit erworbenen Fähigkeiten und Kenntnisse (immaterielles Know-how) auch beim nächsten Arbeitgeber zum Einsatz bringen. Ebenso dürfen Geschäftspartner, denen Konstruktionsdetails ohne vertragliche Geheimhaltungsvereinbarung offenbart wurden oder von denen sie zufällig erfahren, diese für sich verwerten.

Welche Maßnahmen empfehlen Sie für einen effektiven Know-how-Schutz?
Effektiver Know-how-Schutz muss schrittweise umgesetzt werden. Wichtige Eckpunkte sind dabei:
1) Identifizierung der schützenswerten Informationen („Kronjuwelen“) des Unternehmens.
2) Identifizierung der Risikobereiche, in denen ein Informationsverlust auftreten kann.
3) Definition der Sicherheitsvorfälle, die in den Risikobereichen auftreten können.
3) Entwicklung eines Sicherheitskonzeptes, das sämtliche Risikobereiche und Sicherheitsvorfälle abdeckt.

Dazu zählen insbesondere:

  • Mitarbeiterschulung (Schaffung von Awareness)
  • Zugangs- und Zutrittsbeschränkungen (Berechtigungskonzepte)
  • Sicherstellung der IT-Security
  • Interne Regelungen zur Informationsweitergabe an Dritte (welche Informationen dürfen überhaupt offenbart werden - vorheriger Abschluss einer Geheimhaltungsvereinbarung - Rückgabe- bzw. Löschungspflichten bei Geschäftspartnern, etc.)
  • Arbeitsvertragliche Gestaltung zur Verhinderung von Know-how-Verlusten

Vielen Dank für diese umfassenden Informationen, Frau Maneth.


Das Bayerische IT-Sicherheitscluster e.V. und der aitiRaum bieten mit dem Zertifikatslehrgang "Informationssicherheits-Beauftragter" Unternehmen und Organisationen die Möglichkeit, Mitarbeiter für diese Funktion zu qualifizieren. Weitere Informationen hier.