Externe Informationssicherheits-Berater*innen

Wer kümmert sich eigentlich um die Sicherheit?

Schachspieler\*innen wissen, dass vom ersten bis zu letzten Zug die volle Konzentration verlangt wird. Jede Ablenkung schadet. Bezogen auf die Informationssicherheit können große Unternehmen bei diesem “Spiel” in der Regel gut mithalten. Zuweilen beschäftigen sie ganze Abteilungen von Spezialist\*innen, die Gegner und “Spielbrett” stets im Auge behalten.

Die Kleinen haben es hingegen schwer. Denn die Kosten für die Festeinstellung zusätzlicher Expert\*innen stehen in keinem Verhältnis zum Umsatz.

Und doch muss sich jemand im Unternehmen um die Sicherheit kümmern. Geschieht das nicht, kann der Schaden beträchtlich werden. Bis hin zur Insolvenz. Zu glauben, dass es die Kleinen seltender “trifft”, kann fatal sein.

Die Lösung dieses Dilemmas ist die längerfristige Beauftragung eines externen Informationssicherheitsbeauftragten (ISB). Hieraus ergeben sich einige handfeste Vorteile. So ist es beispielsweise möglich, den Einsatz des ISB stundenweise zu planen. Auch braucht sich nicht um dessen Weiterbildung gekümmert werden.

Wie sieht es aber mit den möglichen Nachteilen aus? Immerhin bedeutet jede Offenbarung von Interna an Fremde ein zusätzliches Risiko. Dieses Risiko lässt sich jedoch reduzieren. Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) hat dazu mit seinem IT-Grundschutzkompendium eine Reihe von Hinweisen veröffentlicht. ¹

Voraussetzung ist zunächst, dass der oder die Expertin über eine angemessene Qualifikation verfügt. Diese sollte nachgewiesen werden können. Des weiteren ist es wichtig, dass vor der Auftragsvergabe ein Vertrag abgeschlossen wird. Darin sollten die konkrete Aufgabenstellung sowie die gegenseitigen Rechte und Pflichten möglichst präzise geregelt sein. Der Vertrag sollte zwingend auch eine gegenseitige Vertraulichkeitsvereinbarung enthalten. Außerdem sollten die folgenden Dinge darin geregelt werden:

• - Vertretungsregelungen und Mindest-Ressourcen
• - Melde-, Berichts- und Eskalationswege, Ansprechpartner
• - Einbindung in Kommunikationskanäle der beauftragenden Institution
• - Arbeitsorte, Räumlichkeiten sowie Zeiten der Anwesenheit bzw. der Erreichbarkeit
• - Zutritts-, Zugangs- und Zugriffsrechte
• - Vortragsrechte und Berichtspflichten gegenüber der Leitungsebene der beauftragenden Institution
• - Mitwirkungspflichten des Auftraggebers
• - Interessenskonflikte
• - Folgen bei Vertragsverstößen
• - Regelungen zur Beendigung des Vertragsverhältnisses, z. B. Übergabe von Aufgaben und Unterlagen
• - Kosten

Ein gut aufgearbeiteter Vertrag bildet die Grundlage für eine erfolgreiche Zusammenarbeit. Er gibt beiden Parteien die notwendige Sicherheit, um das eigentliche Problem anzugehen, nämlich den nachhaltigen Schutz der Unternehmenswerte.

Selbstverständlich unterstützen wir dich bei Bedarf mit einem geeigneten Vertragsvorschlag. Falls du noch Fragen zum Thema hast, schreib uns einfach!