Informationssicherheit als Teil der IT-Abteilung?

Ein Informationssicherheitsbeauftragter oder ein Informations-Sicherheits-Management darf nicht Bestandteil der IT sein. Hierfür gibt es zwei gewichtige Gründe.

Informationssicherheit betrifft nicht nur die IT

Wir haben bereits an anderer Stelle dargestellt, dass Informationssicherheit mehr als nur IT ist (hier). Informationssicherheit ist im gesamten Unternehmen eine übergeordnete Aufgabe.

Neben der IT dürfte vielfach auch das Facility-Management (FM) ein Bereich sein, der operativ eine herausragende Bedeutung beim Thema Informationssicherheit einnimmt. Nehmen wir an, das Informations-Sicherheits-Management (ISM) ist entweder der IT oder dem FM zugeordnet und dort ein Team unter der IT- oder FM-Leitung. Während das ISM wohl bei den Kollegen im eigenen Bereich noch eine gewisse Akzeptanz erwarten darf, wird es in der anderen Abteilung schwierig. Oder kann man sich tatsächlich einen IT-Leiter vorstellen, der sich hinsichtlich Informationssicherheit etwas vom FM-Leiter bzw. seinen Mitarbeitern vorgeben lässt (oder umgekehrt)?

Interessenkonflikte vermeiden

Die IT muss Anforderungen an die Informations-Sicherheit umsetzen. Das ISM wiederum formuliert die Anforderungen. Wäre das ISM Bestandteil der IT, dann würden die Anforderungen an die Informations-Sicherheit aus der eigenen Abteilung kommen. Diese Anforderungen sollen aber nicht von der IT selbst, sondern aus einem möglichst konsistenten unternehmensweiten Framework stammen (mehr dazu hier). Würde die IT ihre Anforderungen selbst definieren, wäre ein konsistente Sicherheitsarchitektur schwerlich umsetzbar. Sobald es jedoch unterschiedliche Niveaus an Sicherheit innerhalb des Unternehmens gibt, ist so ein System in der Regel nicht wirtschaftlich zu betreiben und obendrein schwierig gegenüber den Betroffenen zu vermitteln.

Mindestens genauso wichtig: Würde das ISM in der IT beheimatet sein, müsste das ISM bei Kontrollen die eigenen Kollegen und letztlich die eigenen Anforderungen prüfen. Die hiermit verbundenen Interessenkonflikte gilt es natürlich im Interesse eines funktionierenden ISMS zu vermeiden.

Fazit

Die Zuständigkeit für das Informations-Sicherheit-Management muss außerhalb von dedizierten operativen Fachabteilungen liegen. Andernfalls wird es schwierig, ein unternehmensweit konsistentes System für Informationssicherheit aufrechtzuerhalten. Hinzu kommt, dass die Durchsetzungskraft außerhalb der eigenen Abteilung regelmäßig leidet. Besonders kritisch ist der methodische Einwand, dass ein ISM als Teil einer operativen Fachabteilung letztlich sich selbst oder die unmittelbar eigenen Kollegen prüfen muss, was mit nicht auflösbaren Interessenkonflikten verbunden sein wird.