IT-Sicherheitsbeauftragter – Aufgaben, Ausbildung und Gehalt

Die Nachfrage nach IT-Sicherheitsbeauftragten ist auf dem Markt hoch und mit den richtigen Fähigkeiten und Erfahrungen können sie attraktive Verdienstmöglichkeiten haben. Dennoch kommt es oft zu Verwechslungen oder falschen Gleichsetzungen mit Informationssicherheitsbeauftragten (ISB) oder dem Chief Information Security Officer (CISO).

Auch wenn in kleineren Unternehmen der ISB und der IT-Sicherheitsbeauftragte möglicherweise dieselbe Person sein können, sind ihre Tätigkeitsfelder ansonsten recht unterschiedlich. Wir haben übrigens das Berufsbild des CISO und des ISB bereits in einem unserer Artikel ausführlich behandelt

Das Wichtigste in Kürze

  • IT-Sicherheitsbeauftrage machen die IT-Infrastruktur des Unternehmens so sicher wie möglich. Sie schützen Computer, Server, Clouds, Mobilgeräte usw. vor Zugriffen durch unberechtigte Dritte.
  • Gesetzlich vorgeschrieben sind IT-Sicherheitsbeauftragte für die meisten Unternehmen nicht. Doch da die Bedrohungen durch Cyberkriminalität zunehmen, ist die Beschäftigung eines IT-Sicherheitsbeauftragten ab einem gewissen Punkt ein No-Brainer.
  • IT-Sicherheitsbeauftragte sind branchenübergreifend stark nachgefragte Experten auf dem Arbeitsmarkt.
  • Im Schnitt verdienen IT-Sicherheitsbeauftragte zwischen 60.000 und 90.000€ brutto pro Jahr.
  • Angesichts der hohen Personalkosten und des Fachkräftemangels lohnt es sich nicht für jedes Unternehmen, die Informationssicherheit allein mit internen Ressourcen abzudecken. Dann können externe Dienstleister weiterhelfen.

IT-Sicherheit vs. Informationssicherheit – wer kümmert sich um was?

Um die Rolle des IT-Sicherheitsbeauftragten einzuordnen, lohnt sich ein Blick auf die IT-Sicherheit an sich. Auch dieser Begriff wird oft mit dem der Informationssicherheit gleichgesetzt. Daher hier eine Abgrenzung: 

Was ist Informationssicherheit?

In der Informationssicherheit geht es um den Schutz von Informationen. Die Information selbst ist der eigentliche Wert, existiert unabhängig von der IT und muss in allen Erscheinungsformen geschützt werden. Zum Beispiel kann ein Informationswert in Form einer Akte in Papierform oder sogar in Form von unternehmensspezifischen Wissens in den Köpfen der Mitarbeitenden existieren.

 

 

Was ist IT Sicherheit?

IT-Sicherheit bezieht sich auf die IT-Infrastruktur: Computer, Server, Clouds, Mobilgeräte usw. müssen vor Zugriffen durch unberechtigte Dritte geschützt sein. Die IT transportiert und verarbeitet Information, das ist ihr Zweck. Und der IT-Sicherheitsbeauftragte kümmert sich darum, dass hier nichts schief geht.

Jede Maßnahme der IT-Sicherheit trägt zur Informationssicherheit bei, aber nicht jeder Aspekt der Informationssicherheit hat etwas mit IT-Sicherheit zu tun.

Lesen Sie außerdem, wie Sie ein IT-Sicherheitskonzept nach der DSGVO aufbauen. 

Informationssicherheit_IT-Sicherheit-_1_


Warum brauchen Unternehmen IT-Sicherheitsbeauftragte?

Am besten erklären wir das anhand eines Beispiels.

„Oops, your files have been encrypted!“

Diese Nachricht begrüßte Nutzer auf ihren Computerbildschirmen, wenn sie im Frühjahr 2017 Opfer der Ransomware-Attacke „WannaCry“ wurden. Am linken Bildschirmrand zählte ein Timer die Stunden und Minuten bis zur endgültigen Löschung der Daten, die sich auf dem Gerät befanden. Freikaufen konnten Nutzer ihre Daten angeblich durch eine Bitcoin-Zahlung von 300-600€.

Durch WannaCry wurden innerhalb von drei Tagen in über 150 Ländern mehr als 200.000 Rechner von Privatpersonen und Unternehmen befallen – mit weitreichenden Folgen (Klicken Sie hier). Sowohl die Deutsche Bahn als auch der National Health Service (NHS) in Großbritannien waren betroffen. Bei letzterem führte der Angriff zu teils lebensbedrohlichen Situationen für Patienten.

Der Grund für den Angriff? WannaCry nutzte eine Schwachstelle in der Datei- und Druckerfreigabe von Windows und befiel Rechner, die das letzte Update von Windows noch nicht installiert hatten.

Um unter anderem solche Szenarien zu verhindern, beschäftigen Unternehmen ab einer gewissen Größe Experten für die IT-Sicherheit. Gesetzlich vorgeschrieben ist das zwar für die meisten Unternehmen nicht (im Gegensatz zur Pflicht der Benennung eines Datenschutzbeauftragten), doch da die Bedrohungen durch Cyberkriminalität zunehmen und durch Veränderungen wie „New Work“ neue Herausforderungen auf die IT-Sicherheit zukommen, ist die Beschäftigung eines IT-Sicherheitsbeauftragten ab einem gewissen Punkt ein No-Brainer.

Informationen zur Regelung von Informationssicherheit bei Telearbeit, bzw. im Homeoffie finden Sie in unserem kompakten Beitrag zur Telework und BYOD Richtlinie der ISO 27001.


Was sind die Aufgaben des IT-Sicherheitsbeauftragten? / Was macht ein IT-Sicherheitsbeauftragter

Kurz gesagt: IT-Sicherheitsbeauftrage machen die IT-Infrastruktur des Unternehmens so sicher wie möglich. Dabei wägen sie ab: Welche Maßnahmen haben Priorität, welche lohnen sich und welche sind im Vergleich zu dem Risiko, das sie verhüten sollen, zu teuer?

Zu den Aufgaben eines IT-Sicherheitsbeauftragten gehören:

  • Bestandsaufnahme des Status Quo in der IT-Sicherheit (Gap-Analyse)
  • Implementierung von Prozessen und Methoden zum Risikomanagement (also das Abwägen von Eintrittswahrscheinlichkeit, Schaden, Wichtigkeit für den Unternehmenserfolg bzw. Risiken)
  • Daraufhin Ableitung geeigneter IT-Sicherheitsziele und -Maßnahmen in Abstimmung mit dem CISO und der Geschäftsführung
  • Praktische Implementierung von Maßnahmen der IT-Sicherheit (z. B. die physische Sicherheit von Server- und Büroräumen evaluieren und verbessern)
  • Überprüfung von Cloud-Anbietern auf deren Verschlüsselungstechniken, Zugangsschutz (z. B. durch Single-Sign-On) und Backup-Techniken
  • Organisation von Mitarbeiter-Trainings, die das Bewusstsein für Themen wie Social Engineering und Phishing stärken
  • Einrichtung eines Vorfall- und Kontinuitätsmanagements (Business Continuity Management)
  • Erstellung und Umsetzung von Richtlinien wie sie die ISO 27001 / TISAX® fordern (wie eine Richtlinie für Mobilgeräte, eine Zugangssteuerungsrichtlinie und eine Richtlinie zum Gebrauch von kryptografischen Maßnahmen)
  • Bearbeitung von und Umgang mit IT-Sicherheitsvorfällen wie Cyberangriffen
  • Dokumentation und laufende Kontrolle der IT-Sicherheitsmaßnahmen
  • Verwaltung der für die IT-Sicherheit zur Verfügung stehenden Ressourcen (Budget, Arbeitszeit) 
  • Funktion als Ansprechpartner und Verantwortlicher auf dem Gebiet der IT-Sicherheit für Mitarbeiter und Vorgesetzte 

Klingt überwältigend? Ja, der Job des IT-Sicherheitsbeauftragten ist sehr anspruchsvoll und mit großer Verantwortung verbunden. Deswegen ist Rolle des IT-Sicherheitsbeauftragten auch kein Einstiegsjob.  

Welche Ausbildung muss ein IT-Sicherheitsbeauftragter mitbringen?

Wie bei so vielen IT-Jobs ist die akademische Bildung eines IT-Sicherheitsbeauftragten flexibel. Mehr als der Studienabschluss zählt die bisherige Berufserfahrung. Wer schon früh die Weichen für seinen Weg in die IT-Sicherheit stellen will, sollte Studiengänge wie Informatik oder Wirtschaftsinformatik in Betracht ziehen, bei denen ein gutes technisches Verständnis vermittelt wird. Viele Universitäten bieten sogar IT-Sicherheit als Master-Studiengang an.

Beim Bundesamt für Sicherheit in der Informationstechnik gibt es Schulungen zur ISO 27001 sowie dem IT-Grundschutzstandard an, die das entsprechende Fachwissen vermitteln. Auch der IT-Verband Bitkom, der TÜV und die Industrie- und Handelskammer bieten Lehrgänge zur IT-Sicherheit an.  

Mit welchem Gehalt kann ein IT-Sicherheitsbeauftragter rechnen?

IT-Sicherheitsbeauftragte sind wie bereits erwähnt branchenübergreifend stark nachgefragte Experten auf dem Arbeitsmarkt. Weil insgesamt viele Fachkräfte in der IT-Sicherheit fehlen und der Druck auf Unternehmen wächst, sich hier besser aufzustellen, haben Bewerber gute Karten in Vertragsverhandlungen.

 Im Schnitt verdienen IT-Sicherheitsbeauftragte zwischen 60.000 und 90.000€ brutto pro Jahr. 

Den IT-Sicherheitsbeauftragten outsourcen – geht das?

Angesichts der hohen Personalkosten und des Fachkräftemangels lohnt es sich nicht für jedes Unternehmen, die Informationssicherheit allein mit internen Ressourcen abzudecken. Vielleicht ist auch Ihr Team überlastet, kommt mit dem Dokumentationsaufwand nicht hinterher, besitzt nicht die nötige Expertise für eine ISO 27001-Zertifzierung, fällt durchs Audit … Dann bietet sich ein externer Dienstleister an, der Ihnen gezielt unter die Arme greift.  

Externe Dienstleister können kurzfristig beschäftigt werden und brauchen dank ihres Erfahrungsschatzes kein langes Onboarding. Wo Sie sich an Maßnahmen und Richtlinien abmühen, bringen Anbieter wie DataGuard Vorlagen und Blueprints für Prozesse mit.

Auch finanziell können externe Dienstleister Sie entlasten. Bei DataGuard zahlen Kunden beispielsweise zwischen 500 und 2.000 € pro Monat für unser „Informationssicherheit-as-a-Service“-Angebot.

Unsere Experten helfen Ihnen, Ihre Ziele in der Informationssicherheit zu erreichen. Lernen Sie uns persönlich kennen.

 
InfoSec Beginner_Image CTA

Informationssicherheit ist neu für Sie?

Kein Problem! Mit unserem kostenlosen Guide "Informationssicherheit für Anfänger" werden Sie schnell zum Experten! 

Jetzt kostenlos herunterladen

Über den Autor

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren