Tipps zum IT-Sicherheitsgesetz

Der Bundestag hat das »Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme« beschlossen. Das sogenannte IT-Sicherheitsgesetz stellt an Unternehmen der kritischen Infrastruktur Mindestanforderungen für die IT-Sicherheit und verpflichtet sie zur Meldung von Datenpannen und Cyber-Attacken. Kleine und mittelständische Unternehmen (KMUs) in diesem Bereich fallen durch das Gesetzesraster. Was das für sie bedeutet, wissen die Experten von TÜV SÜD.

Kritische Infrastruktur – KRITIS

Zur kritischen Infrastruktur – KRITIS – zählen Unternehmen aus den Branchen Energieversorgung, Transport und Verkehr, Informationstechnik und Telekommunikation, Finanzwesen und Versicherungen sowie Gesundheit und Lebensmittel. Das IT-Sicherheitsgesetz ist eine Zusammenfassung von bereits bestehenden Gesetzen und legt nicht konkret fest, was Betreiber kritischer Infrastrukturen zur Absicherung ihrer IT realisieren müssen, was auf Grund der Schnelllebigkeit in diesem Bereich auch nicht zielführend wäre. Stattdessen schafft es einen Rahmen, der durch noch zu erlassende Rechtsverordnungen und abzustimmende Sicherheitsstandards konkretisiert werden muss.

Anerkannter Standard zum Thema Informationssicherheit

KMUs fallen zwar durch das Raster der Gesetzgebung und müssen demnach die Anforderungen an die IT-Sicherheit nicht zwingend erfüllen, doch häufig arbeiten sie als Zulieferer für größere Unternehmen, die sehr wohl das IT-Sicherheitsgesetz beachten müssen. Daher sollten KMUs damit rechnen, dass ihre Auftraggeber die Einhaltung gewisser Standards von ihnen fordern. »Eine gute Wahl ist dafür die ISO 27001«, erläutert Alexander Häußler, Produktmanager ISO 27001 bei TÜV SÜD. »Diese Norm ist aktuell der international anerkannteste Standard zum Thema Informationssicherheit. Außerdem lässt sie eine gewisse Flexibilität zu, durch die sich spezielle Gegebenheiten einzelner Unternehmen berücksichtigen lassen.« Grundsatz der Norm ist ein risikobasiertes Vorgehen, so dass die implementierenden Unternehmen je nach Geschäftsmodell entsprechend priorisiert vorgehen können. Denn für Betriebe mit hohen Verfügbarkeitsanforderungen sind andere Überlegungen wichtiger als für solche, bei denen das Thema Vertraulichkeit den höchsten Stellenwert hat.

Nachhaltiges Management von Informationen

»Unternehmen aus den im IT-Sicherheitsgesetz genannten Branchen sollten sich möglichst bald mit der Sicherheit ihrer Informationstechnik auseinandersetzen«, ergänzt Alexander Häußler. »Denn sobald die Rechtsverordnung in Kraft tritt, haben sie nur sechs Monate Zeit, eine Kontaktstelle für das Bundesamt für Sicherheit in der Informationstechnik zu benennen, und innerhalb von zwei Jahren müssen die definierten Mindeststandards umgesetzt sein.« Wer schon jetzt die Voraussetzungen für ein gesundes und nachhaltiges Management von Informationen schafft, kann den gesetzlichen Neuerungen gelassen entgegensehen. TÜV SÜD unterstützt Unternehmen dabei unter anderem mit Vor-Audits, durch die festgestellt werden kann, inwieweit die Anforderungen der ISO 27001 bereits umgesetzt sind oder welche Maßnahmen noch sinnvoll sind. Außerdem ist die Zertifizierung nach ISO 27001 möglich.

Weitere Informationen zu den Themen Datenschutz und Datensicherheit erhalten Interessenten unter www.tuev-sued.de/ms/iso-27001 oder unter der kostenlosen Rufnummer 0800/5791-5005.

 

Was versteht man unter der ISO 27001?

Die ISO 27001 ist die international führende Norm für Informationssicherheits-Managementsysteme. Sie gilt für privatwirtschaftliche und öffentliche Unternehmen sowie gemeinnützige Organisationen und definiert die Forderungen für die Einführung, Umsetzung, Überwachung und Verbesserung eines Informationssicherheits-Managementsystems (ISMS).

Ihr Unternehmen sieht sich und seine Informationen möglicherweise gar nicht als gefährdet oder als mögliches Ziel von Angriffen. In der grenzenlosen Welt des Internets jedoch kann eine Unterbrechung Ihrer betrieblichen IT-Prozesse Ihren Geschäftsbetrieb lahmlegen und es Ihren Wettbewerbern so ermöglichen, Marktanteile zu erobern. Die ISO 27001 bietet einen systematischen und strukturierten Ansatz, der Ihre vertraulichen Daten schützt, die Integrität Ihrer betrieblichen Daten sicherstellt und die Verfügbarkeit Ihrer IT-Systeme im Unternehmen erhöht.

grafik tüv süd plan do check act

Der PDCA-Zyklus. Quelle: TÜV SÜD

Vorteile eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001

Unternehmen, die sich für den aktiven Schutz ihrer Informationen, also ein ISMS entscheiden, profitieren in mehrfacher Hinsicht:

  • Kontinuierliche Informationssicherheit: Eine Säule des Informationssicherheits-Managementsystems nach ISO 27001 ist das klassische Managementsystem. Dem PDCA-Zyklus folgend wird die Ist-Situation regelmäßig analysiert und bei Bedarf werden Anpassungen und Verbesserungen vorgenommen. Das Unternehmen sorgt so für kontinuierliche Eigenkontrolle und Optimierung.
  • Risikominimierung: Durch ein strukturiertes und weltweit anerkanntes Informationssicherheits-Managementsystem, das Ihnen hilft, Bedrohungen zu erkennen und zu reduzieren.
  • Datensicherheit: Durch Schutz Ihrer vertraulichen Daten vor Hackerangriffen, Datenverlust und Missbrauch beziehungsweise Offenlegung sowie Gewährleistung einer schnelleren Wiederherstellung nach dieser Art von Angriffen.
  • Informationssicherheit im Unternehmensalltag verankern: Der ganzheitliche Ansatz von ISO 27001 sorgt dafür, dass die Norm im Unternehmen über alle Hierarchieebenen hinweg gelebt wird. Das heißt: Die Verantwortung des Managements wird ebenso eingefordert wie Trainings und interne Audits.
  • Externen Anforderungen gerecht werden: Ein Informationssicherheits-Managementsystem nach ISO 27001 berücksichtigt die drei Merkmale von Informationen: Verfügbarkeit, Vertraulichkeit und Integrität. Damit werden die zentralen Anforderungen von Wirtschaftsprüfern und geltenden Regelungen wie Basel II an Unternehmen erfüllt.
  • Informationssicherheit schafft Vertrauen: Ergreift ein Unternehmen selbst die Initiative, um für Informationssicherheit zu sorgen, stärkt es das in das Unternehmen gesetzte Vertrauen von Geschäftspartnern. Denn Informationssicherheit stellt einen kontinuierlichen Geschäftsbetrieb und den gewissenhaften Umgang mit Informationen sicher.