Sie sind hier: Home » Markt » Hinweise & Tipps

Regelmäßige Zertifizierungen sind Pflicht


IT-Sicherheitsgesetz: Vorab-Audits schützen vor Aktionismus
Standards nach ISO-Normen empfehlenswert

(11.08.15) - Die Bedeutung eines Informationssicherheits-Managementsystems ist nicht zu unterschätzen: Laut Bundesinnenministerium basieren 40 Prozent der Wertschöpfung weltweit auf Informations- und Kommunikationstechnik. Die digitale Vernetzung von Behörden, Wirtschaft und Privatpersonen ist so eng wie nie zuvor. Angriffe auf die IT-Infrastrukturen können somit weitreichende Folgen haben – für einzelne Unternehmen und das ganze Gemeinwesen. Mitte Juni hat der Bundestag daher das "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" verabschiedet. Es verpflichtet Unternehmen der sogenannten "Kritischen Infrastruktur", ein Mindestniveau an IT-Sicherheit zu halten und Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Aufwand ist individuell zu prüfen
Die ,Kritische Infrastruktur‘ umfasst demnach rund 2.000 Unternehmen aus den Branchen Energie, Informationstechnik und Kommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanzen und Versicherungen. Genaueres regelt eine Rechtverordnung, die spätestens bis Ende 2018 in Kraft treten soll. Ab dann haben betroffene Firmen zwei Jahre Zeit, ihre IT-Sicherheitsstandards den Mindestanforderungen des BSI anzupassen. Sie müssen eine Kontaktstelle zum BSI einrichten sowie technische und organisatorische Vorkehrungen treffen, um die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von Daten sicherzustellen. "Was im Einzelnen konkret mit welchem personellen und finanziellen Aufwand zu tun ist, hängt stark von der Branche und dem vorherrschenden Sicherheitsstandard im Unternehmen ab. Basis für jegliche Maßnahmen sollte daher eine gründliche Analyse des Ist-Zustands sein", sagt Ralph Freude, IT-Sicherheitsexperte bei TÜV Rheinland. TÜV Rheinland bietet hierfür eine Bestandsaufnahme oder eine Erläuterung der Normenanforderungen an.

Standards regelmäßig updaten
In der Regel wird mindestens der Nachweis eines Informationssicherheits-Managementsystems nach ISO 27001 verlangt. Unternehmen, die Gas- und/oder Stromnetze betreiben, müssen sich sogar nach jetzigem Stand gemäß ISO 27001 zertifizieren lassen. Welche Maßnahmen sinnvoll sind und wie man sie umsetzt, verrät als eine Art Best-Practice-Leitfaden der Standard ISO 27019. TÜV Rheinland bietet neben der ISO 27001-Zertifizierung eine zusätzliche Konformitätsbescheinigung nach ISO 27019 an. Damit signalisieren Energieunternehmen, dass sie die spezifischen Anforderungen an ihre Branche in besonders hohem Maße erfüllen.

"Ein erstes Unternehmen aus der Energiebranche in Münster hat sowohl die ISO 27001 als auch die ISO 27019 erfolgreich umgesetzt", so Freude. Unternehmen können dem Bundesamt aber auch eigene, branchenspezifische Sicherheitsstandards vorstellen. Ob diese ausreichend sind, entscheidet die Aufsichtsbehörde dann im Einzelfall. Ein Vor-Audit bzw. eine Bestandsaufnahme durch TÜV Rheinland kann die Chancen auf eine Zertifizierung vorab bewerten. Wer dem Gesetz nicht Folge leistet, muss mit einer Geldstrafe bis zu 100.000 Euro rechnen. Durch geeignete Maßnahmen wie Audits oder auch Zertifizierungen ist alle zwei Jahre nachzuweisen, dass die gesetzlichen Anforderungen nach dem jeweils aktuellsten Stand der Technik erfüllt werden.

Die vielfältigen Anforderungen des Gesetzes stellen vor allem Unternehmen organisatorisch und technisch vor Probleme, die sich bis dato wenig um ihre IT-Sicherheit gekümmert haben. (TÜV Rheinland: ra)

TÜV Rheinland: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Markt / Hinweise & Tipps

  • Cyber-Resilienz stärken

    Verlust sensibler Daten, enormer finanzieller Schaden oder die Störung der öffentlichen Ordnung - Cyberangriffe auf Kritische Infrastrukturen und Finanzinstitute können erhebliche gesellschaftliche Auswirkungen haben. Die Europäische Union hat deshalb die NIS2-Richtlinie und den Digital Operational Resilience Act (DORA) eingeführt, um diese zu minimieren.

  • KI im Arbeitsalltag: Werkzeug, kein Wundermittel

    Knapp 60 Prozent der deutschen Unternehmen mit mehr als 500 Mitarbeitenden nutzen laut einer Studie des Branchenverbands Bitkom inzwischen KI-basierte Chatbots. Wie gut die Ergebnisse ausfallen, die diese Bots und andere KI-Tools liefern, hängt allerdings wesentlich von der verwendeten Datengrundlage und einem wirklich sinnvollen Einsatzszenario ab.

  • Generationenkonflikt der IT-Security

    Unternehmen sind auf die Dynamik und frischen Ideen der jungen Generation angewiesen, um dem Fachkräftemangel zu begegnen und sich weiterzuentwickeln. Es darf jedoch nicht auf Kosten der IT-Sicherheit gehen. Um diesen Spagat zu meistern, braucht es einen Security-Ansatz, der Platz für Fortschritt schafft, anstatt ihn zu behindern.

  • Ist NIS-2 zu anspruchsvoll?

    Die politische Einigung über das Gesetz zur Umsetzung der EU-Richtlinie NIS-2 und der Stärkung der Cybersicherheit noch vor der Bundestagswahl ist gescheitert. SPD, Grüne und FDP konnten sich nicht auf zentrale Punkte einigen. Damit bleibt über zwei Jahre nach der Verabschiedung der EU-Richtlinie die dringend notwendige gesetzliche Verschärfung aus. Die Umsetzungsfrist wird weiter überschritten

  • Seit 1. Januar 2025 gilt die E-Rechnungspflicht

    Stellen Sie sich vor, Ihr Unternehmen kann plötzlich Rechnungen nicht mehr rechtssicher verschicken. Verzögerte Zahlungen, rechtliche Konsequenzen und möglicherweise ein belastetes Geschäftsverhältnis könnten die Folge sein - und das alles, weil Sie die E-Rechnungspflicht ohne die richtige Software kaum einhalten können.

Das IT-Problem sitzt vor dem Rechner Scoring-Daten häufig falsch und unvollständig

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen