Die Informationssicherheit und der Datenschutz sind zwei sehr nahe Verwandte, die sich in der Definition der Wörter abgrenzen. Der Datenschutz kennt das personenbezogene Merkmal und die automatisierte Verarbeitung von Daten. Daten sind dabei materiell und werden in dieser Form gespeichert und verarbeitet. Hingen ist Information zuerst einmal immateriell, kann aber durch das festhalten auf Medien, analog wie digital, materiell existieren. Dabei versteht sich Information, im Gegensatz zum Datenschutz, nicht nur als solche mit personenbezogenen Merkmalen. Vielmehr kann es jede Art von Information sein, zum Beispiel das Knowhow eines Unternehmens, Patente oder bestimmte Rezepturen etc.

In der Informationssicherheit geht es darum mehr als nur personenbezogene Daten zu schützen. Es sollen auch alle betriebsgeheimen immateriellen Werte vor einer Kenntnis durch unberechtigte dritte Personen geschützt werden. Das ist natürlich wichtig und für jedes Unternehmen von existenzieller Bedeutung.

Die Trennung zwischen Datenschutz und Informationssicherheit ist nicht immer eindeutig abzugrenzen. Nicht zuletzt nennen sich deshalb die Aufsichtsbehörden auch regelmäßig „Der Beauftragte für den Datenschutz und die Informationssicherheit in …“. In der praktischen Arbeit trenne ich diese Bereiche auch nicht immer. Wer bei mir Datenschutz bestellt, der bekommt auch regelmäßig die Informationssicherheit dazu. Oftmals ist es nicht sinnvoll das eine ohne das andere zu betrachten.

In der Informationssicherheit geht es im wesentlichem darum Sicherheitsmaßnahmen zu treffen, die bestmöglich ausschließen, dass die immateriellen Werte eines Unternehmens, wie Knowhow, Softwarelösungen, Verfahren etc., in die Hände der Konkurrenz kommen. Hier muss man zusätzlich noch andere Bedrohungsszenarien als beim Datenschutz betrachten, insbesondere APT (Advance Persistent Threat) oder Spear-Phishing Attacken. Für beides, den Datenschutz sowie die Informationssicherheit, ist die IT-Sicherheit eine wesentliche Grundlage. Aber es ist nicht die ausschließliche Grundlage, denn neben den technischen Schwachstellen gibt es auch die menschlichen Schwachstellen.

Informationssicherheit – ISB nach DIN/ISO 27000

Eine besondere Form der Informationssicherheit ist die Umsetzung durch das bestellen eines ISB. ISB steht für Informationssicherheitsbeauftragte*r. Der Gesetzgeber schreibt keinem Unternehmen, im Gegensatz zum Datenschutzbeauftragten, die Bestellung einer solchen Person vor. Es gibt auch keine Anforderungen an die Ausbildung und die notwendigen Kenntnisse oder Zertifizierungen. Auf dem Markt werden zahlreiche Angebote für eine Ausbildung zum ISB nach DIN/ISO 27000 mit einem entsprechendem Zertifikat angeboten. Hierbei ist die Grundlage meistens das Erlernen einer IT-Sicherheit nach BSI (Bundesamt für die Sicherheit in der Informationstechnologie) Grundschutz. Daher heißen Informationssicherheitsbeauftragte in der Praxis auch oft IT-Sicherheitsbeauftragte.

Einen ISB braucht eigentlich nur, wer ein eigenes größeres EDV-Netzwerk im Unternehmen betreibt. Da der Trend in die Cloud geht, haben kleinere Unternehmen kaum Bedarf für diese Dienstleistung. Die größeren Unternehmen haben IT-Dienstleister, die diese Funktion mit abdecken. Für die Bestellung eines externen ISB gibt es eigentlich so gut wie keine sinnmachenden Voraussetzungen.

Ich persönlich werde derzeit auch nicht als ISB oder IT-Sicherheitsbeauftragter offiziell tätig. Grund dafür ist, dass IT-Sicherheit nicht absolut beherrschbar ist und als externer Dienstleister hier zahlreiche Fragen zur Haftung bestehen. Ich berate meine bestehenden Klient*innen aber natürlich auf diesem Gebiet, insbesondere da, wo ich als externer Datenschutzbeauftragter bestellt bin. Hier gibt es sehr weitreichende Überschneidungen in den technischen und organisatorischen Maßnahmen, die man als Unternehmen umsetzen muss.