Wegen der komplexen IT-Infrastruktur und der Notwendigkeit, IT-Sicherheit professionell zu managen, benötigen die meisten Firmen einen IT-Sicherheitsbeauftragten als zentrale Anlauf- und Entscheidungsstelle. Diese ist eine wichtige Voraussetzung für den Umgang mit der IT-Sicherheit. Das Anforderungsprofil eines IT-Sicherheitsbeauftragten ist allerdings gesetzlich nicht geregelt.
Anders stellt sich die Situation beim Datenschutzbeauftragten dar. So schreibt beispielsweise Paragraph 109 Abs. 3 TKG für den Bereich der Telekommunikationsunternehmen die Bestellung eines Datenschutzbeauftragten vor. Unternehmen, die personenbezogene Daten verarbeiten, müssen fast immer gemäß Paragrah 4f Abs. 1 BDSG einen Datenschutzbeauftragten bestellen.
Es gibt aber auch Parallelen: In Bezug auf den Umgang mit personenbezogenen Daten gleichen die Anforderungen an den Datenschutzbeauftragten dem Tätigkeitsfeld eines IT-Sicherheitsbeauftragten. Letzterer muss sich zusätzlich mit Datenschutzgesetzen auskennen und auch über das Wissen eines Datenschutzbeauftragten verfügen. Der Datenschutzbauftragte hingegen muss das Informations-Management-System in seiner Komplexität verstehen und einschätzen können.
Gegen Datenschutzverstöße vorgehen
Bei näherer Abgrenzung der Aufgaben fallen jedoch einige Unterschiede zwischen beiden Tätigkeiten auf. Der IT-Sicherheitsbeauftragte hat einen breiter angelegten Tätigkeitsbereich. Er muss unter anderem technische Vorkehrungen schaffen, die Eingriffe in die Datensicherheit verhindern. Weiterhin ist es seine Aufgabe, auch die Daten des Unternehmens, die Betriebsabläufe und die Produkte zu schützen. Ziel der Schutzmaßnahmen sind also nicht nur personenbezogene Daten.
Während der Datenschutzbeauftragte repressiv gegen Datenschutzverstöße vorgeht und auf das Ergebnis der Datensicherheitsvorkehrungen blickt, ergreift der IT-Sicherheitsbeauftragte ergreift Präventivmaßnahmen, die gerade auch Datenschutzverstöße verhindern sollen.
Weiterbildung ist ein Muss
Um stets auf dem neuesten Stand der rechtlichen und technischen Entwicklung zu sein, sind Weiterbildungen notwendig, teilweise sogar vorgeschrieben. Zu diesen zählen Datenschutzschulungen, Awarenesstrainings, Weiterbildung in den rechtlichen Aspekten und Zertifikate wie T.I.S.P., CISSP und ISMS Auditor.
Wie sich Aufgabengebiete in kürzester Zeit gerade in diesem Berufsbild ändern, kann man auf Konferenzen erleben, wo aktuelle Probleme, wie etwa der Einzug von Social Media in die Unternehmenslandschaft, erläutert und neu skaliert werden. Eine wichtige Konferenz ist beispielsweise die von der isits AG organisierten "secaware" auf der it-sa in Nürnberg, wo frisches Wissen über aktuelle Awarenesskampagnen, Social Engineering und Organisation vermittelt wird (15. bis 16. Oktober 2012).
Aber auch die Rechtslage ändert sich ständig, und Datenschutzbeauftragte müssten eigentlich in jedem Jahr eine Schulung im Bereich Recht der IT-und Informationssicherheit belegen, um sich selbst und die Geschäftsführung vor juristischen Konsequenzen unterlassener Maßnahmen oder schlichtweg Unwissenheit zu schützen.
Der Alltag eines Datenschutzbeauftragten
Wie aber sieht der Arbeitsalltag eines Datenschutzbeauftragten aus? Jörg Kehrmann ist Datenschutz- und IT-Sicherheitsbeauftragter bei den Wuppertaler Stadtwerken und hat 2011 seinen Abschluss als "ISMS Auditor / Lead Auditor" nach ISO 27001 gemacht. Im CW-Interview berichtet er über seinen Job.
CW: Herr Kehrmann, was machen Sie bei den Wuppertaler Stadtwerken und wie lange arbeiten Sie schon in diesem Berufsfeld?
Kehrmann: Ich bin im Konzern der betriebliche Datenschutz- und IT-Sicherheitsbeauftragte und habe die beiden Rollen seit 1996 inne.
CW: Wie sind Sie zu Ihrer jetzigen Tätigkeit gekommen, was hat Sie inspiriert und motiviert?
Kehrmann: Ich habe 16 Jahre in der IT des Konzerns gearbeitet, und als die Stelle des Datenschutzbeauftragten vakant wurde, habe ich mich intern beworben. Gleichzeitig wurde die Stelle des IT-Sicherheitsbeauftragten neu geschaffen und an die Person des Datenschutzbeauftragten gekoppelt.
CW: Welche Ausbildung bringen Sie mit?
Kehrmann: Ich bin gelernter Elektroniker und habe anschließend Informatik studiert. Danach habe ich Zertifizierungen jeweils zum Projektmanagement-Fachmann (GPM-IPMA), Practitioner ITIL Service Level Management (socos), Datenschutzbeauftragten (GDD Cert.), Datenschutzauditor (TÜV), IT-Security-Beauftragten (TÜV), IT-Security Manager (TÜV) sowie Information Security Management Systems Auditor (Lead Auditor nach DIN ISO 27001 TÜV) abgelegt.
CW: Wie würden Sie Ihren Tagesablauf beschreiben?
Kehrmann: Kein Tag ist wie der andere, es gibt immer neue Fragestellungen aus dem Konzern heraus, die ich beantworte. Ich führe Schulungen, Beratungen und Prüfungen durch, schreibe Stellungnahmen und bin in neue Vorhaben involviert. Desweiteren muss das fachliche Know-How auf einem aktuellen Stand gehalten werden, die Entwicklungen und Trends müssen im Auge behalten werden und aktuelle Urteile bekannt sein. Nicht unterschätzen darf man die notwendige Sensibilisierung der Mitarbeiter und Mitarbeiterinnen, welche immer wiederkehrend durchgeführt werden muss.
CW: Was sind die wichtigsten Fähigkeiten und Kenntnisse, um Ihrer Position gerecht zu werden?
Kehrmann: Neben der fachlichen Kompetenz ist die soziale Kompetenz sehr wichtig für meine Tätigkeit. Die langjährigen IT-Kenntnisse erleichtern meine Tätigkeiten enorm, da viele Themen sowohl im Datenschutz als auch in der IT-Sicherheit ineinandergreifen und als Gesamtheit betrachtet werden müssen, daneben ist viel technisches Verständnis notwendig.
Die häufigsten Probleme
CW: Welche Probleme treten in Ihrem Berufsalltag am häufigsten auf?
Kehrmann: Oftmals müssen komplexe Sachverhalte in recht kurzer Zeit behandelt werden, daneben sind es die doch sehr vielfältigen Themen, in die ich mich einarbeiten muß, hier ist es ebenfalls der Zeitfaktor.
CW: Wie erleben Sie die Kooperation im Unternehmen, um Ihre Aufgaben erledigen zu können?
Kehrmann: Ich habe ein gewisses "Standing" hier im Konzern, welches mir die Arbeit erleichtert. Ich bin bereits seit fast 25 Jahren hier beschäftigt und kenne somit sehr viele Kolleginnen und Kollegen, unter anderem bedingt durch die von mir auch schon zu IT-Zeiten durchführten Schulungen.
Über isits:
Die isits International School of IT Security AG hat sich seit 2001 europaweit als Weiterbildungs- und Konferenzanbieter der IT-Sicherheit und der Informationssicherheit etabliert. Die konzentrierte Ausrichtung innerhalb der Branche sowie die enge Zusammenarbeit mit Unternehmen und Universitäten machen die isits AG zu dem professionellen Weiterbildungspartner für IT-Anwender, -Profis und -Experten.