KRITIS mal anders: Wenn der ISB das Unternehmen verlässt

Der größte Anteil der Unternehmen im Bereich der kritischen Infrastrukturen (KRITIS) hat, auch durch die entstandenen gesetzlichen Anforderungen, in den letzten zehn Jahren ein Informationssicherheitsmanagementsystem (ISMS) mit einem eigenen Informationssicherheitsbeauftragten (ISB) etabliert. Es kommt allerdings vor, dass der ISB das Unternehmen verlässt. Was dann?

ISB als Schlüsselfunktion für den KRITIS-Betreiber

Nicht selten sind die ISB bei den KRITIS-Betreibern erfahrene langjährige Mitarbeiter, die beim Aufbau des ISMS im Unternehmen von Anfang an dabei waren und sich im Laufe der Zeit kontinuierlich weiterentwickelt und weiterqualifiziert haben. Sie üben ihre ISB-Aufgaben seitdem anforderungsgemäß aus, oft noch neben weiteren mit dem ISMS verbundenen Aufgaben. Im Vertretungsfall für den ISB steht dann meist ein Mitarbeiter aus dem ISMS-Team des KRITIS-Betreibers als Ansprechpartner zur Verfügung, der die Abläufe in dieser Zeit koordiniert.

Der ISB hat durch sein fundiertes fachliches Wissen im Bereich der IT / OT und wegen seiner besonderen Kenntnisse der einschlägigen Normen und Gesetze für den KRITIS-Betreiber eine Schlüsselfunktion. Wenn langjährig erfahrene ISB nun bspw. durch den Ruhestand ausscheiden, gilt es rechtzeitig eine geeignete Nachfolge sicherzustellen.

Der ISB geht – was nun?

Die unternehmensinterne Nachfolge für den ISB gestaltet sich leider oft nicht einfach oder verläuft erfolglos. Die Ursachen dafür können vielfältig sein:

• Es stehen keine Mitarbeiter mit den geforderten fachlichen und normativen Kenntnissen zur Verfügung.
• Bei den möglicherweise dafür geeigneten Mitarbeitern besteht nicht die Bereitschaft sich diese Kenntnisse und Fertigkeiten anzueignen.
• Geeignete Mitarbeiter streben die Aufgabe des ISB nicht, weil sie sich zu sehr an vorgegeben Abläufen oder Terminen auszurichten haben
• oder sie schätzen die Verantwortung, die mit der Aufgabe des ISB verbunden ist, als für sie zu hoch ein.

Auch der Arbeitsmarkt bietet oft nicht den gesuchten Mitarbeiter für die Stelle des ISB. Der Fachkräftemangel, vor allem im Bereich der Informationstechnik, ist derzeit nicht zu übersehen. Auch die monatelange Suche nach Informationssicherheitsbeauftragten bleibt leider oft erfolglos, so sehr sich die Unternehmen auch bemühen.

Quereinsteiger, sofern diese überhaupt als Alternative zur Verfügung stehen, benötigen sicher mehrere Monate Einarbeitung mit mehreren umfangreichen Schulungen um die Basis für ihre Arbeit als ISB zu erhalten.

Hochschulabgänger mit dem Studienschwerpunkt Informationssicherheit bringen durch die drei Jahre Studium und die zu absolvierenden Praktika eine sehr gute Basis für eine Tätigkeit als ISB. Allerdings muss man ihnen im Unternehmen eine entsprechende Einarbeitungszeit ermöglichen.

Es geht nicht ohne ISB, aber vielleicht extern?

Wenn ein geeigneter Mitarbeiter im Unternehmen zum erforderlichen Zeitpunkt nicht zur Verfügung steht, um als ISB die Nachfolge anzutreten, hat die Unternehmensleitung die Aufgabe sicherzustellen, dass die geforderten Prozesse trotzdem nahtlos fortgeführt werden. Dies wird dann allerdings nur mit externer Unterstützung möglich sein.

Eine substanzielle Betrachtung der ISMS-Prozesse und das ISMS unterstützenden Abläufe im Unternehmen wird ergeben, dass einige Aufgaben und Tätigkeiten weiterhin zwingend durch Mitarbeiter des KRITS Betreibers durchzuführen sind. Andere Aufgaben können durch einen externen Dienstleister ausgeführt werden, der dann auch mit der Stellung einer geeigneten Person als ISB zu beauftragen ist.

In drei Bereichen des ISMS muss allerdings die Verantwortung beim KRITIS-Betreiber verbleiben:

• Der Kontakt und der regelmäßige Austausch mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI)
• Die regelmäßige Überprüfung auf Vorgaben des jeweiligen Branchenverbands für die ordnungsgemäße Anwendung des eignungsgeprüften Branchenstandards
• Die Koordination der Abläufe mit der Zertifizierungsstelle, insbesondere zur Durchführung der Audits

Es gilt nun für den KRITIS-Betreiber einen entsprechend qualifizierten Dienstleister auszuwählen, mit dem dann die erforderlichen vertraglichen Regelungen zu treffen sind.

Spätestens vor der endgültigen Beauftragung eines Dienstleisters sollte das BSI darüber informiert werden, dass es nicht mehr möglich war, die Stelle des ISB durch einen Mitarbeiter des KRITS-Betreibers zu besetzen und somit eine externe Beauftragung unumgänglich ist.