Kritische Infrastrukturen schützen

IT-Sicherheitsgesetz: Wie müssen Unternehmen reagieren?

Frank Melber, Experte für Cyber Security, und Arne Helemann, Experte für strategische Informationssicherheit in der Energiewirtschaft beim TÜV Rheinland, geben Tipps zum Umgang mit dem IT-Sicherheitsgesetz.

  • Arne Helemann, Experte für strategische Informationssicherheit in der Energiewirtschaft, TÜV Rheinland

  • Frank Melber, Experte für Cyber Security und die Abwehr gezielter komplexer Angriffe (APT), TÜV Rheinland

  • Ein angemessenes Informationssicherheitsniveau in Unternehmen sollte in erster Linie nicht von der Verpflichtung getrieben sein, regulatorische Vorgaben zu erfüllen. Cybersecurity ist heute eines der wichtigsten Themen im Risikomanagement von Unternehmen und Behörden, gleich welcher Branche. Deshalb sollten sie die Sicherheit ihrer digitalen Werte im eigenen Interesse selbst und aktiv steuern. Dies geht am besten über die Einführung eines Informationssicherheitsmanagement-Systems (ISMS), z.B. nach DIN ISO/IEC 27001 und bei Bedarf in Verbindung mit definierten Branchenstandards. Seine Wirkung kann das IT-Sicherheitsgesetz nur dann erzielen, wenn alle Betroffenen das Thema nachhaltig, effektiv und effizient angehen.
  • Noch sehen viele Firmen die Einführung eines ISMS als nicht verpflichtend an, da unter anderem bislang nicht abschließend geklärt ist, welche Unternehmen Betreiber einer Kritischen Infrastruktur sind. Trotzdem raten wir, sich mit der Einführung auseinanderzusetzen und zwar lieber heute als morgen. Ein angemessen konzipiertes ISMS erzeugt neben Aspekten der Compliance wesentliche Mehrwerte, wie Identifikation, Bewertung und Behandlung aktueller IT-Risiken bis hin zu einer wirtschaftlich angemessenen Maßnahmenplanung. Durch so erreichte Synergien lassen sich Kosten für die Planung, Implementierung und den fortlaufenden Betrieb nachhaltig senken. Eine Zertifizierung erleichtert die internationale Vergleichbarkeit am Markt und signalisiert auch gegenüber Kunden und Partnern nach außen, dass Informationssicherheit in der Organisation einen hohen Stellenwert genießt. Das schafft Vertrauen.
  • Eine regelmäßige Bestandanalyse des aktuellen Informationssicherheitsniveaus im Unternehmen durchzuführen, z.B. mittels eines Compromise Assessment, empfiehlt sich grundsätzlich - unabhängig vom IT-Sicherheitsgesetz. Damit das Management die richtigen Entscheidungen treffen kann, um die digitalen Werte des Unternehmens zu schützen, muss Transparenz darüber herrschen, welche Systeme und Wertschöpfungsprozesse im Unternehmen schützenswert sind, welche Angriffswege es gibt und wie sich diese effektiv absichern lassen.
  • Wichtig ist es auch Klarheit darüber zu haben, was das IT-Sicherheitsgesetz in den einzelnen Bausteinen für die eigene Organisation und Branche bedeutet. Zu prüfen ist: Welche Pflichten sind bereits definitiv, welche Anforderungen sind optional? Unternehmen sollten einen strukturierten Maßnahmenplan erstellen, der die gesetzlichen Anforderungen mit den eigenen Unternehmensrisiken abgleicht und diesen im Rahmen eines ISMS priorisiert umsetzen.
  • IT- und Informationssicherheit sind Managementaufgaben. Wesentliche Erfolgsfaktoren sind die volle Unterstützung durch das Top-Level-Management und eine offene Risikokultur. Nur wenn die Mitarbeiter fortlaufend ermutigt werden Risiken zu identifizieren und zu melden kann das Sicherheitsniveau nachhaltig verbessert werden. Unternehmen müssen lernen nicht nur das negative, wie z.B. nicht vorhandene Schutzmaßnahmen oder Verfehlungen einzelner Personen an bestehenden Risiken zu sehen. Vielmehr muss vor allem das Top-Level-Management Risiken als Chancen verstehen.


Bildquelle: Thinkstock/ iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok