Die Nachfrage nach IT-Sicherheitsbeauftragten ist auf dem Markt hoch und mit den richtigen Fähigkeiten und Erfahrungen können sie attraktive Verdienstmöglichkeiten haben. Dennoch kommt es oft zu Verwechslungen oder falschen Gleichsetzungen mit Informationssicherheitsbeauftragten (ISB) oder dem Chief Information Security Officer (CISO).
Auch wenn in kleineren Unternehmen der ISB und der IT-Sicherheitsbeauftragte möglicherweise dieselbe Person sein können, sind ihre Tätigkeitsfelder ansonsten recht unterschiedlich. Wir haben übrigens das Berufsbild des CISO und des ISB bereits in einem unserer Artikel ausführlich behandelt
In diesem Beitrag
- IT-Sicherheit vs. Informationssicherheit – wer kümmert sich um was?
- Warum brauchen Unternehmen IT-Sicherheitsbeauftragte?
- Was sind die Aufgaben des IT-Sicherheitsbeauftragten?
- Welche Ausbildung muss ein IT-Sicherheitsbeauftragter mitbringen?
- Mit welchem Gehalt kann ein IT-Sicherheitsbeauftragter rechnen?
- Den IT-Sicherheitsbeauftragten outsourcen - geht das?
Das Wichtigste in Kürze
- IT-Sicherheitsbeauftrage machen die IT-Infrastruktur des Unternehmens so sicher wie möglich. Sie schützen Computer, Server, Clouds, Mobilgeräte usw. vor Zugriffen durch unberechtigte Dritte.
- Gesetzlich vorgeschrieben sind IT-Sicherheitsbeauftragte für die meisten Unternehmen nicht. Doch da die Bedrohungen durch Cyberkriminalität zunehmen, ist die Beschäftigung eines IT-Sicherheitsbeauftragten ab einem gewissen Punkt ein No-Brainer.
- IT-Sicherheitsbeauftragte sind branchenübergreifend stark nachgefragte Experten auf dem Arbeitsmarkt.
- Im Schnitt verdienen IT-Sicherheitsbeauftragte zwischen 60.000 und 90.000€ brutto pro Jahr.
- Angesichts der hohen Personalkosten und des Fachkräftemangels lohnt es sich nicht für jedes Unternehmen, die Informationssicherheit allein mit internen Ressourcen abzudecken. Dann können externe Dienstleister weiterhelfen.
IT-Sicherheit vs. Informationssicherheit – wer kümmert sich um was?
Um die Rolle des IT-Sicherheitsbeauftragten einzuordnen, lohnt sich ein Blick auf die IT-Sicherheit an sich. Auch dieser Begriff wird oft mit dem der Informationssicherheit gleichgesetzt. Daher hier eine Abgrenzung:
Was ist Informationssicherheit?
In der Informationssicherheit geht es um den Schutz von Informationen. Die Information selbst ist der eigentliche Wert, existiert unabhängig von der IT und muss in allen Erscheinungsformen geschützt werden. Zum Beispiel kann ein Informationswert in Form einer Akte in Papierform oder sogar in Form von unternehmensspezifischen Wissens in den Köpfen der Mitarbeitenden existieren.
Was ist IT Sicherheit?
IT-Sicherheit bezieht sich auf die IT-Infrastruktur: Computer, Server, Clouds, Mobilgeräte usw. müssen vor Zugriffen durch unberechtigte Dritte geschützt sein. Die IT transportiert und verarbeitet Information, das ist ihr Zweck. Und der IT-Sicherheitsbeauftragte kümmert sich darum, dass hier nichts schief geht.
Jede Maßnahme der IT-Sicherheit trägt zur Informationssicherheit bei, aber nicht jeder Aspekt der Informationssicherheit hat etwas mit IT-Sicherheit zu tun.
Lesen Sie außerdem, wie Sie ein IT-Sicherheitskonzept nach der DSGVO aufbauen.
Warum brauchen Unternehmen IT-Sicherheitsbeauftragte?
Am besten erklären wir das anhand eines Beispiels.
„Oops, your files have been encrypted!“
Diese Nachricht begrüßte Nutzer auf ihren Computerbildschirmen, wenn sie im Frühjahr 2017 Opfer der Ransomware-Attacke „WannaCry“ wurden. Am linken Bildschirmrand zählte ein Timer die Stunden und Minuten bis zur endgültigen Löschung der Daten, die sich auf dem Gerät befanden. Freikaufen konnten Nutzer ihre Daten angeblich durch eine Bitcoin-Zahlung von 300-600€.
Durch WannaCry wurden innerhalb von drei Tagen in über 150 Ländern mehr als 200.000 Rechner von Privatpersonen und Unternehmen befallen – mit weitreichenden Folgen (Klicken Sie hier). Sowohl die Deutsche Bahn als auch der National Health Service (NHS) in Großbritannien waren betroffen. Bei letzterem führte der Angriff zu teils lebensbedrohlichen Situationen für Patienten.
Der Grund für den Angriff? WannaCry nutzte eine Schwachstelle in der Datei- und Druckerfreigabe von Windows und befiel Rechner, die das letzte Update von Windows noch nicht installiert hatten.
Um unter anderem solche Szenarien zu verhindern, beschäftigen Unternehmen ab einer gewissen Größe Experten für die IT-Sicherheit. Gesetzlich vorgeschrieben ist das zwar für die meisten Unternehmen nicht (im Gegensatz zur Pflicht der Benennung eines Datenschutzbeauftragten), doch da die Bedrohungen durch Cyberkriminalität zunehmen und durch Veränderungen wie „New Work“ neue Herausforderungen auf die IT-Sicherheit zukommen, ist die Beschäftigung eines IT-Sicherheitsbeauftragten ab einem gewissen Punkt ein No-Brainer.
Informationen zur Regelung von Informationssicherheit bei Telearbeit, bzw. im Homeoffie finden Sie in unserem kompakten Beitrag zur Telework und BYOD Richtlinie der ISO 27001.
Was sind die Aufgaben des IT-Sicherheitsbeauftragten? / Was macht ein IT-Sicherheitsbeauftragter
Kurz gesagt: IT-Sicherheitsbeauftrage machen die IT-Infrastruktur des Unternehmens so sicher wie möglich. Dabei wägen sie ab: Welche Maßnahmen haben Priorität, welche lohnen sich und welche sind im Vergleich zu dem Risiko, das sie verhüten sollen, zu teuer?
Zu den Aufgaben eines IT-Sicherheitsbeauftragten gehören:
- Bestandsaufnahme des Status Quo in der IT-Sicherheit (Gap-Analyse)
- Implementierung von Prozessen und Methoden zum Risikomanagement (also das Abwägen von Eintrittswahrscheinlichkeit, Schaden, Wichtigkeit für den Unternehmenserfolg bzw. Risiken)
- Daraufhin Ableitung geeigneter IT-Sicherheitsziele und -Maßnahmen in Abstimmung mit dem CISO und der Geschäftsführung
- Praktische Implementierung von Maßnahmen der IT-Sicherheit (z. B. die physische Sicherheit von Server- und Büroräumen evaluieren und verbessern)
- Überprüfung von Cloud-Anbietern auf deren Verschlüsselungstechniken, Zugangsschutz (z. B. durch Single-Sign-On) und Backup-Techniken
- Organisation von Mitarbeiter-Trainings, die das Bewusstsein für Themen wie Social Engineering und Phishing stärken
- Einrichtung eines Vorfall- und Kontinuitätsmanagements (Business Continuity Management)
- Erstellung und Umsetzung von Richtlinien wie sie die ISO 27001 / TISAX® fordern (wie eine Richtlinie für Mobilgeräte, eine Zugangssteuerungsrichtlinie und eine Richtlinie zum Gebrauch von kryptografischen Maßnahmen)
- Bearbeitung von und Umgang mit IT-Sicherheitsvorfällen wie Cyberangriffen
- Dokumentation und laufende Kontrolle der IT-Sicherheitsmaßnahmen
- Verwaltung der für die IT-Sicherheit zur Verfügung stehenden Ressourcen (Budget, Arbeitszeit)
- Funktion als Ansprechpartner und Verantwortlicher auf dem Gebiet der IT-Sicherheit für Mitarbeiter und Vorgesetzte
Klingt überwältigend? Ja, der Job des IT-Sicherheitsbeauftragten ist sehr anspruchsvoll und mit großer Verantwortung verbunden. Deswegen ist Rolle des IT-Sicherheitsbeauftragten auch kein Einstiegsjob.
Welche Ausbildung muss ein IT-Sicherheitsbeauftragter mitbringen?
Wie bei so vielen IT-Jobs ist die akademische Bildung eines IT-Sicherheitsbeauftragten flexibel. Mehr als der Studienabschluss zählt die bisherige Berufserfahrung. Wer schon früh die Weichen für seinen Weg in die IT-Sicherheit stellen will, sollte Studiengänge wie Informatik oder Wirtschaftsinformatik in Betracht ziehen, bei denen ein gutes technisches Verständnis vermittelt wird. Viele Universitäten bieten sogar IT-Sicherheit als Master-Studiengang an.
Beim Bundesamt für Sicherheit in der Informationstechnik gibt es Schulungen zur ISO 27001 sowie dem IT-Grundschutzstandard an, die das entsprechende Fachwissen vermitteln. Auch der IT-Verband Bitkom, der TÜV und die Industrie- und Handelskammer bieten Lehrgänge zur IT-Sicherheit an.
Mit welchem Gehalt kann ein IT-Sicherheitsbeauftragter rechnen?
IT-Sicherheitsbeauftragte sind wie bereits erwähnt branchenübergreifend stark nachgefragte Experten auf dem Arbeitsmarkt. Weil insgesamt viele Fachkräfte in der IT-Sicherheit fehlen und der Druck auf Unternehmen wächst, sich hier besser aufzustellen, haben Bewerber gute Karten in Vertragsverhandlungen.
Im Schnitt verdienen IT-Sicherheitsbeauftragte zwischen 60.000 und 90.000€ brutto pro Jahr.
Den IT-Sicherheitsbeauftragten outsourcen – geht das?
Angesichts der hohen Personalkosten und des Fachkräftemangels lohnt es sich nicht für jedes Unternehmen, die Informationssicherheit allein mit internen Ressourcen abzudecken. Vielleicht ist auch Ihr Team überlastet, kommt mit dem Dokumentationsaufwand nicht hinterher, besitzt nicht die nötige Expertise für eine ISO 27001-Zertifzierung, fällt durchs Audit … Dann bietet sich ein externer Dienstleister an, der Ihnen gezielt unter die Arme greift.
Externe Dienstleister können kurzfristig beschäftigt werden und brauchen dank ihres Erfahrungsschatzes kein langes Onboarding. Wo Sie sich an Maßnahmen und Richtlinien abmühen, bringen Anbieter wie DataGuard Vorlagen und Blueprints für Prozesse mit.
Auch finanziell können externe Dienstleister Sie entlasten. Bei DataGuard zahlen Kunden beispielsweise zwischen 500 und 2.000 € pro Monat für unser „Informationssicherheit-as-a-Service“-Angebot.
Unsere Experten helfen Ihnen, Ihre Ziele in der Informationssicherheit zu erreichen. Lernen Sie uns persönlich kennen.
Informationssicherheit ist neu für Sie?
Kein Problem! Mit unserem kostenlosen Guide "Informationssicherheit für Anfänger" werden Sie schnell zum Experten!
Jetzt kostenlos herunterladen