Kersten / Klett, Der IT Security Manager – Aktuelles
Praxiswissen für IT-Security Manager und IT-Sicherheitsbeauftragte in
Unternehmen und Behörden, 3. Auflage, Springer Vieweg 2012
Von RA,
FA für IT-Recht und FA für Verwaltungsrecht Christian Stücke, Helmstedt
Eine
Rezension eines Handbuchs zur Vermittlung von Praxiswissen für IT
Sicherheitsmanager und IT-Sicherheitsberater zwischen all der juristischen
Literatur? Und ob. Schließlich ist die praktische, technisch geprägte
Komponente gerade auf dem Gebiet des IT-Rechts für das Erfassen und Verstehen
der Rechtsfragen evident wichtig. Nicht zuletzt deshalb haben sich angehende
Fachanwälte für IT-Recht in ihren Lehrgängen zum Erwerb der besonderen
theoretischen Kenntnisse auch mit praktischen und technischen Gesichtspunkten
der IT zu beschäftigen.
Dabei
ist die IT-Praxis wiederum sehr stark mit Aspekten der Sicherheit von
Datenverarbeitungsanlagen und -vorgängen, des Datenschutzes und der sog.
Informationssicherheit verbunden. Hierüber ergeben sich dann auch zwangsläufig
rechtliche Berührungen. Sowohl die rechtliche Vorsorge als auch die Behandlung
all derer Fälle, in denen das Kind gewissermaßen schon in den Brunnen gefallen
ist, hängen untrennbar mit den Sicherheitskonzepten zusammen, die im
Unternehmen (hoffentlich) existieren.
So
enthält der Band zunächst einmal ein Plädoyer für die Einführung solcher
Konzepte und deren regelmäßiger Kontrolle. Das Auge wird auf
IT-Grundschutzkonzepte, aber auch auf z. T. neue Normungen z. B. in der
Normenreihe ISO 27000 gelenkt. Es schließt sich eine Einführung in wesentliche
Elemente des Sicherheitsprozesses an. Dazu gehört etwa die immer wieder nötige
Sensibilisierung der mit DV beschäftigten Personen, deren Schulung, aber auch
das Auditing, die Lenkung von Dokumentation und das Steuern von Aufzeichnungen.
Fast schon nebenbei erfährt der geneigte Leser Grundsätzliches zum Compliance
Management. Davon ausgehend werden die Sicherheitskonzepte immer weiter
verfeinernd in ihren Einzelpunkten angerissen. Technische und organisatorische
Maßnahmen werden nacheinander dargelegt. Für die Praktiker ergibt sich schon
anhand des ausführlichen Inhaltsverzeichnisses ein Leitfaden für die eigene
Arbeit, die gleichsam als Checkliste abgearbeitet werden kann. Die Fülle der
Materie verbietet es dabei schon fast, die abgehandelten Komplexe - immerhin
siebzehn - in ihrer Gesamtheit aufzuzählen. Exemplarisch seien hier die Kapitel
zu organisatorischen Maßnahmen im Unternehmen, zur personellen Sicherheit, zu
technischen Sicherheitsmaßnahmen, der Sicherheit im Internet und der
Infrastruktursicherheit inklusive Gebäudemanagement genannt. Nicht zuletzt
gehört auch ein eigenes kleines Kapitel zur sog. „rechtlichen Sicherheit“ dazu.
Zeigt
sich das Werk in technischer Hinsicht auf der Höhe der Zeit, so offenbart es
doch gerade bei der Behandlung rechtlicher Themen Schwächen. Der Verweis auf
die Einhaltung von Bestimmungen des TDDSG - eines schon 2007 außer Kraft
getretenen Gesetzes - belegt die etwas stiefmütterliche Fortschreibung der
Materie auf diesem Gebiet. Gleichwohl sensibilisiert das Werk die doch zumeist
nicht juristisch ausgebildeten Leserkreise.
Im
Übrigen gelingt es den Verfassern aber, den Leserkreisen in bemerkenswerter
Kürze - das Werk hat einen Umfang von rund dreihundert Seiten - einen recht umfangreichen
Überblick über Sicherheitskonzepte und den betrieblichen Umgang damit zu
vermitteln. Alle wesentlichen Aufgaben des Sicherheitsmanagements werden
abgedeckt, so dass für den zitierten Überblick und zumindest eine sachliche
Vollständigkeitskontrolle die Anschaffung weiterer Werke verzichtbar erscheint.
Der IT-Praktiker wird bei einem vertieften Einstieg in die Materie aber um die
Konsultation weiterer Informationsquellen nicht herumkommen, bleiben doch die
Ausführungen - der Zielsetzung des Werkes geschuldet - an der Oberfläche.
Juristische
Leserkreise erhalten eine fundierte Zusammenfassung geltender Standards der
IT-Sicherheit. Für die Beratungspraxis kann in Zusammenarbeit mit Technikern
und Informatikern die betriebliche Compliance anhand des Handbuches kritisch
durchleuchtet werden. Hier mag man sich nochmals deutlich vor Augen führen,
dass Missachtung der IT-Sicherheitsstandards zu erheblichen rechtlichen Konsequenzen
von Schadensersatzforderungen über strafrechtliche Probleme bis hin zum Reputationsverlust
und den sich mittelbar daraus ergebenden Folgen führen kann. Eine rechtliche
Begleitung von IT-Sicherheitsprozessen ist gerade wegen dieser Folgen
unabdingbar. Die technisch-organisatorischen Rahmenbedingungen lassen sich
anhand des vorliegenden Werkes gut erfassen und einbringen. So gehören also
letztlich neben Sicherheits- und Datenschutzbeauftragten, Risk- &
Asset-Managern oder auch IT-Consultants durchaus auch IT-Juristen zum Zielkreis
des Werkes.