TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA weist auf die Probleme bei der Auswahl der Mitarbeiter für diese Funktion hin.

TÜV TRUST IT weist darauf hin, dass alle Energieversorger der Bundesnetzagentur bis zum 30. November 2015 einen Ansprechpartner für das Thema IT-Sicherheit benennen müssen. Dies wird zudem im nächsten Jahr auch im Rahmen des IT-Sicherheitsgesetztes vom BSI gefordert. Unklar ist in den Unternehmen jedoch häufig noch, wer diese Funktion übernehmen soll.

Der Mitte August 2015 von der Bundesnetzagentur (BNetzA) veröffentlichte IT-Sicherheitskatalog verpflichtet die Energieversorger dazu, durch umfassende Maßnahmen die Verfügbarkeit, Integrität und Vertraulichkeit ihrer Systeme und Daten zu gewährleisten und die Wirksamkeit durch ein Zertifikat nachzuweisen. Zwar bleibt den Unternehmen für diesen Nachweis noch bis spätestens Januar 2018 Zeit, doch bereits zum 30. November dieses Jahres müssen die Unternehmen einen Ansprechpartner für die IT-Sicherheit benennen. Zu den vornehmlichen Aufgaben dieser Rolle gehört, die BNetzA über den Status der Umsetzung der Anforderungen aus dem IT-Sicherheitskatalog in Kenntnis zu setzen, sie aber auch über aufgetretene Sicherheitsvorfälle einschließlich deren Ursachen zu informieren.

„Damit stellt sich zwangsläufig die Frage, wer für die Besetzung dieser Position am besten geeignet ist“, erläutert Thomas Kochanek, Principal Consultant und Lead Auditor bei der TÜV TRUST IT. Auf den ersten Blick könnte der IT-Leiter des Energieversorgers diese Rolle übernehmen. Dies erscheint mit Blick auf die fachlichen Kompetenzen naheliegend, weil er über alle Themen am besten informiert ist. Damit können die im IT-Sicherheitskatalog aufgestellten Anforderungen an die fachlichen Kompetenzen in der Regel einfach erfüllt werden, da er auch über Lageberichte, Warnmeldungen und die Auswirkungen von Sicherheitsproblemen sowie Maßnahmen zu deren Behebung informieren muss.

„Der Nachteil kann jedoch in einem zukünftigen Interessenskonflikt liegen“, verweist Kochanek darauf, dass der Ansprechpartner IT-Sicherheit vermutlich auch der Informationssicherheitsbeauftragte werden soll. Im Rahmen der vom IT-Sicherheitskatalog geforderten Zertifizierung des Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 ist das aber ein unzulässiger Rollenkonflikt, da der IT-Leiter nicht ISB sein sollte.

Andererseits verfügen andere Mitarbeiter oftmals nicht über ausreichende fachliche Kompetenzen, um als Ansprechpartner IT-Sicherheit und ggf. zukünftiger ISB erfolgreich arbeiten zu können. Außerdem füllt die Rolle des ISB nur ca. 10-20% der Arbeitszeit eines Mitarbeiters, womit sich die Frage stellt, welche Aufgaben ein Mitarbeiter parallel wahrnimmt.

Einen Ausweg aus diesem Problem bietet ein Modell mit externer Unterstützung, wie es auch Unternehmen anderer Branchen nutzen. Dabei kann seitens der TÜV TRUST IT sowohl ein externer Informationssicherheitsbeauftragte als auch ein Ansprechpartner für IT-Sicherheit gestellt werden. Dies kann auch durch temporäre Unterstützung erfolgen, indem diese Rollen während des Aufbaus des ISMS übernommen werden. „Dies reduziert den zeitlichen Druck und lässt alle Möglichkeiten offen, später in Ruhe zu entscheiden, ob man eigene Kräfte ausbilden oder die Funktion weiterhin extern besetzen möchte“, erläutert Kochanek die Vorteile.