Grundsätzlich besteht keine Verpflichtung für die Bestellung eines Informationssicherheitsbeauftragten. Lediglich das Telekommunikationsgesetz (TKG) fordert, dass Betreiber öffentlicher Telekommunikationsnetze oder öffentlich zugänglicher Telekommunikationsdienste einen Sicherheitsbeauftragten benennen (§ 166 Abs. 1 Nr. 1 TKG). Zudem wird den Betreibern kritischer Infrastrukturen (Krankenhäuser, Strom- und Wasserversorgung etc.) empfohlen, einen Sicherheitsbeauftragten zu bestellen.
Ein Informationssicherheitsbeauftragter sollte Erfahrung und Wissen sowohl auf den Gebieten der Informationssicherheit als auch der IT besitzen. Darüber hinaus sollte er die Geschäftsprozesse der Institution kennen. Bei der Auswahl des Informationssicherheitsbeauftragten ist es ratsam, darauf zu achten, dass der entsprechende Bewerber entweder über ein Informatikstudium und/oder über jahrelange Praxiserfahrung im Bereich der IT verfügt. Seine Bestellung sollte aber nicht in jedem Fall von der Vorlage eines Zertifikats abhängig gemacht werden.
Darüber hinaus sollte ein Informationssicherheitsbeauftragter Kenntnisse der eigenen Organisation besitzen, da einige Schwachpunkte im vorhandenen Sicherheitskonzept in der innerbetrieblichen Organisation zu suchen sind. Auch didaktische Fähigkeiten zur Schulung der Mitarbeiter bezüglich der Gewährleistung der Sicherheit sind von Vorteil.
Ein Informationssicherheitsbeauftragter muss außerdem die Bereitschaft mitbringen, sich in neue Gebiete einzuarbeiten und Entwicklungen in der IT zu verfolgen. Er sollte sich so aus- und fortbilden, dass er die erforderlichen Fachkenntnisse für die Erledigung seiner Aufgaben besitzt.
Weiterhin sollte er über die folgenden Qualifikationen und Eigenschaften verfügen:
- Identifikation mit den Zielsetzungen der Informationssicherheit
- Überblick über Aufgaben und Ziele der Institution
- Kooperations- und Teamfähigkeit, aber auch Durchsetzungsvermögen (Kaum eine Aufgabe erfordert so viel Fähigkeit und Geschick im Umgang mit anderen Personen: Die Leitungsebene muss in zentralen Fragen des Sicherheitsprozesses immer wieder eingebunden, Entscheidungen müssen eingefordert und die Mitarbeiter müssen, eventuell mithilfe des Bereichs-Sicherheitsbeauftragten, in den Sicherheitsprozess eingebunden werden.)
- Erfahrungen im Projektmanagement, idealerweise im Bereich der Systemanalyse und Kenntnisse über Methoden zur Risikoanalyse
- Grundlegende Kenntnisse über die Prozesse und Fachaufgaben innerhalb der Institution und, soweit erforderlich, Grundkenntnisse in den Bereichen IT und Industrielle Steuerungs- und Automatisierungssysteme (ICS)
- Fähigkeit zum selbstständigen Arbeiten
Ein Informationssicherheitsbeauftragter muss zudem die Bereitschaft mitbringen, sich in neue Gebiete einzuarbeiten und Entwicklungen in der IT zu verfolgen. Er sollte sich so aus- und fortbilden, dass er die erforderlichen Fachkenntnisse für die Erledigung seiner Aufgaben besitzt.
Kooperation und Kommunikation
Die Zusammenarbeit mit den Mitarbeitern ebenso wie mit Externen verlangt viel Geschick, da diese zunächst von der Notwendigkeit der (für sie manchmal lästigen) Sicherheitsmaßnahmen überzeugt werden müssen. Ein ebenfalls sehr sensibles Thema ist die Befragung der Mitarbeiter nach sicherheitskritischen Vorkommnissen und Schwachstellen. Um den Erfolg dieser Befragungen zu garantieren, müssen die Mitarbeiter davon überzeugt werden, dass ehrliche Antworten nicht zu Problemen für sie selbst führen.
Die Kommunikationsfähigkeiten des Informationssicherheitsbeauftragten sind nicht nur gegenüber den Mitarbeitern gefordert. Genauso wichtig ist es, dass der ISB in der Lage ist, seine fachliche Meinung gegenüber der Behörden- oder Unternehmensleitung zu vertreten. Er muss so selbstbewusst und kommunikationsstark sein, um gelegentlich auch Einspruch gegen eine Entscheidung einzulegen, die mit den Sicherheitszielen nicht vereinbar ist.
Der Informationssicherheitsbeauftragte muss seine Kommunikationsfähigkeit derart einsetzen können, dass es in anderen Fachbereichen nicht zu Missverständnissen kommt. Hierzu ist es besonders wichtig, die jeweils anderen Sprachwelten und Kulturen zu verstehen und zu respektieren. So verwenden beispielsweise Ansprechpartner aus dem Bereich der industriellen Steuerung andere Begriffe für das IT-Equipment als IT-Experten.
