Informationssicherheit im Mittelstand: Aufgaben für ISB, DSB, CISO und KI-Beauftragte

Bei den ganzen Begriffen und Entwicklungen im Bereich Informationssicherheit verliert man schnell den Durchblick. Verschiedene Begriffe und Rollen tummeln sich im Dickicht der IT-Abteilungen, manche geläufig aus Konzernen, andere speziell für den Mittelstand angepasst. Und mit dem Aufkommen von Technologien wie OpenAI und Microsoft Copilot tauchen immer wieder neue Positionen auf, wie zum Beispiel der KI-Beauftragte. Doch wer sind diese Akteure eigentlich und warum spielen sie für die Unternehmenssicherheit eine so wichtige Rolle?

Dieser Blogbeitrag verschafft Klarheit im Rollen-Dschungel der Cybersicherheit. Wir erklären Ihnen die wichtigsten Positionen, ihre Aufgabenbereiche und wie sie im Zusammenspiel Ihre Unternehmens-IT optimal schützen können. So finden Sie die richtigen Sicherheitsbeauftragten für Ihr Unternehmen und stärken Ihre Abwehr gegen Cyberangriffe.

Unterschiede zwischen großen und mittelständischen Unternehmen

Englische vs. deutsche Bezeichnungen

Im Bereich der Cybersicherheit begegnen uns häufig verschiedene Bezeichnungen, die je nach Unternehmensgröße und Internationalität variieren können.

Zu den geläufigsten Begriffen gehören:

Position Beschreibung
Informationssicherheitsbeauftragter (ISB) Verantwortlich für die Implementierung und Einhaltung von Informationssicherheitsmaßnahmen im Unternehmen.
Datenschutzbeauftragter (DSB) Zuständig für den Schutz personenbezogener Daten und die Einhaltung der Datenschutzgesetze.
Chief Information Security Officer (CISO) Führungsperson im Bereich der Informationssicherheit in großen Unternehmen, die die IT-Sicherheitsstrategie des Unternehmens definiert und umsetzt.
Information Security Officer (ISO) Entspricht dem deutschen Informationssicherheitsbeauftragten (ISB) in internationalen Unternehmen. Sammelbegriff für verschiedene Positionen im Bereich der Informationssicherheit.
Data Protection Officer (DPO) Entspricht dem deutschen Datenschutzbeauftragten (DSB) in internationalen Unternehmen.

Während in internationalen Konzernen die englischen Bezeichnungen (CISO, ISO, DPO) üblich sind, tendieren mittelständische Unternehmen in Deutschland eher zu deutschen Bezeichnungen (ISB, DSB).

Dies liegt zum einen an der Größe des Unternehmens: Ein CISO setzt in der Regel einen CEO (Chief Executive Officer) voraus, eine Position, die in kleineren Unternehmen nicht existiert. Zum anderen ist die deutsche Sprache in mittelständischen Unternehmen stärker verankert, was sich auch in der Verwendung von Fachbegriffen widerspiegelt.

Für Unternehmen im Mittelstand mit 300 bis 3000 Mitarbeitern ist der ISB daher die richtige Bezeichnung für den Informationssicherheitsbeauftragten. Der DSB ist weiterhin für den Datenschutz verantwortlich.

Es ist wichtig zu beachten, dass die Aufgaben und Verantwortlichkeiten dieser Positionen unabhängig von der verwendeten Bezeichnung gleich bleiben.

Rollenverteilung und Verantwortlichkeiten

In mittelständischen Unternehmen ist es aufgrund der begrenzten Ressourcen oft nicht möglich, für jeden Bereich der Informationssicherheit einen dedizierten Experten einzustellen. Deshalb kommt es häufig zu einer Überlappung der Aufgaben und Verantwortlichkeiten zwischen dem Informationssicherheitsbeauftragten (ISB) und dem Datenschutzbeauftragten (DSB).

Der ISB ist in der Regel für die technische Umsetzung der Informationssicherheitsmaßnahmen verantwortlich, während der DSB den Fokus auf den Datenschutz legt. Es ist jedoch wichtig, dass beide Positionen eng zusammenarbeiten und ihre Aufgaben klar definiert sind, um Synergieeffekte zu nutzen und einen lückenlosen Schutz der Unternehmensdaten zu gewährleisten.

Allerdings werden die Themen Informationssicherheit und Datenschutz zu oft einfach einem Mitarbeiter aus der IT zugewiesen. In Zeiten von täglichen IT-Sicherheitsvorfällen, hohen Schäden durch Hacker und Ransomware ist dieses Vorgehen nicht mehr zeitgemäß und erfordert einen Experten, wie beispielsweise einen externen ISB.

Herausforderungen und sich wandelnde Aufgaben

Gesetzliche Vorgaben und Compliance

Die Einhaltung gesetzlicher Vorgaben wie der DSGVO wird immer wichtiger. Unternehmen müssen sicherstellen, dass sie die Daten ihrer Kunden und Mitarbeiter schützen und die gesetzlichen Anforderungen erfüllen. In den Jahren 2024 und 2025 treten zwei wichtige Gesetze in Kraft:

  1. NIS-2-Richtlinie (Network and Information Security Directive II)
    • Erweitert die Anforderungen der ursprünglichen NIS-Richtlinie und umfasst mehr Sektoren und Unternehmen. Sie verlangt umfassendere Sicherheitsmaßnahmen und eine bessere Vorbereitung auf Cybervorfälle.
  2. KI-Verordnung (EU-AI-Act)
    • Regelt den Einsatz von Künstlicher Intelligenz (KI) in der EU, führt Risikokategorien ein und legt Anforderungen für Entwicklung, Bereitstellung und Nutzung fest. Unternehmen müssen sicherstellen, dass ihre KI-Systeme den neuen Vorschriften entsprechen.

Technologischer Fortschritt

Der technologische Fortschritt bringt neue Möglichkeiten, aber auch neue Risiken mit sich. Technologien wie Künstliche Intelligenz (KI) und maschinelles Lernen verbessern die Erkennung und Abwehr von Bedrohungen. KI kann Anomalien schneller identifizieren und automatisch Gegenmaßnahmen einleiten, aber birgt auf der anderen Seite auch Risiken. Allein der Einsatz von Microsoft Copilot oder ChatGPT wirft viele neue Fragen und Aufgaben für die Informationssicherheit und Datenschutz auf.

Wachsende Datenmengen

Die Menge an Daten, die Unternehmen sammeln und verarbeiten, wächst stetig. Dies macht es für Cyberkriminelle attraktiver, diese Daten zu stehlen oder zu missbrauchen.

Relevanz für den Mittelstand

Herausforderungen für mittelständische Unternehmen

Mittelständische Unternehmen stehen oft vor der Herausforderung, mit begrenzten Ressourcen ein hohes Maß an Sicherheit zu gewährleisten. Der Bedarf an spezialisierten Sicherheitsbeauftragten ist groß, doch die finanziellen Mittel sind oft begrenzt. Externe Beratungs-dienstleistungen, wie unser externer ISB, können hier eine wertvolle Unterstützung bieten.

Praktische Ansätze und Lösungen

Standards wie die DIN SPEC 27076 bieten praxisnahe Lösungen zur Verbesserung der IT-Sicherheit. Diese Standards helfen Unternehmen, ihre Sicherheitsmaßnahmen effizient und kostengünstig umzusetzen. Durch die Nutzung solcher Standards können mittelständische Unternehmen ihre Sicherheitsstrategie systematisch verbessern.

Vorteile deutscher Bezeichnungen

Die Verwendung deutscher Bezeichnungen wie ISB und DSB kann das Verständnis und die Akzeptanz innerhalb des Unternehmens erhöhen. Mitarbeiter erkennen die Bedeutung dieser Rollen besser und können sich leichter mit den Verantwortlichen identifizieren. Dies fördert die interne Kommunikation und Zusammenarbeit.

Fragenkatalog für KMUs

Die folgenden Fragen sind daher für KMUs besonders relevant:

Kategorie Fragen
Allgemein
NIS-2-Richtlinie
  • Fällt Ihr Unternehmen in den Anwendungsbereich der NIS-2-Richtlinie?
  • Haben Sie die notwendigen Meldeverfahren implementiert?
  • Erfüllen Sie die Anforderungen an Risikomanagement und Sicherheitsmaßnahmen?
KI-Verordnung
  • Setzen Sie KI-Systeme in Ihrem Unternehmen ein?
  • Wurden diese Systeme risikoklassifiziert?
  • Erfüllen sie die Konformitätsanforderungen der KI-Verordnung?
  • Werden verbotene KI-Praktiken angewendet?

Zusätzlich zu diesen Fragen sollten sich KMUs auch folgende Punkte vor Augen führen:

  • Es ist wichtig, einen langfristigen Ansatz für die Cybersicherheit zu verfolgen.
  • KMUs sollten sich bei Bedarf Unterstützung von Experten holen. Kontaktieren Sie uns.
  • Nur durch eine aktive und proaktive Herangehensweise an die Cybersicherheit können KMUs ihre Daten und ihr Geschäft schützen.

Einführung eines KI-Beauftragten

Aufgaben und Verantwortlichkeiten eines KI-Beauftragten

Der KI-Beauftragte überwacht die Implementierung von KI-Technologien wie Copilot und ChatGPT. Er stellt sicher, dass Datenschutz- und Sicherheitsrichtlinien eingehalten werden, und bewertet die Risiken und Vorteile des KI-Einsatzes. Diese Position ist besonders wichtig, um den sicheren und ethischen Einsatz von KI im Unternehmen zu gewährleisten.

Zusammenarbeit mit anderen Sicherheitsbeauftragten

Eine enge Zusammenarbeit zwischen ISB, DSB, CISO und dem KI-Beauftragten ist entscheidend. Der KI-Beauftragte muss sicherstellen, dass KI-Technologien nahtlos in die bestehende Sicherheitsinfrastruktur integriert werden. Regelmäßige Meetings und gemeinsame Strategien helfen, Synergien zu nutzen und die Sicherheitslage kontinuierlich zu verbessern.

Empfehlung für Unternehmen

Die optimale Besetzung der Rollen im Bereich Informationssicherheit hängt von der Größe und Komplexität des Unternehmens sowie von den individuellen Anforderungen des Unternehmens ab.

In der Regel sollten jedoch zumindest folgende Positionen besetzt sein:

Unternehmen, die KI-Systeme einsetzen, sollten zudem einen KI-Beauftragten bestellen. Unabhängig von der genauen Rollenverteilung ist es wichtig, dass alle Mitarbeiter des Unternehmens für die Gefahren der Cybersicherheit sensibilisiert sind und wissen, wie sie mit sensiblen Daten umgehen müssen. Nur durch eine enge Zusammenarbeit aller Beteiligten kann ein umfassender Schutz der Unternehmensdaten gewährleistet werden.

NESEC besser kennenlernen

Neugierig, überzeugt. interessiert?

Vereinbaren Sie ein unverbindliches Gespräch mit einem unserer Mitarbeiter.
Wir sind gespannt, welche Herausforderungen Sie zur Zeit beschäftigen.
Beachten Sie auch unseren aktuellen Veranstaltungen und Webinare.

Erstgespräch

Mehr Informationen

2 + 4 =